KB2733626 - Uputstvo za korišćenje SISTEMA Server 2012 u režimu FIPS 140-2 usaglašenog

Uvod

Ovaj članak govori o instrukcijama FIPS 140-2 i o načinu korišćenja sistema Microsoft SQL Server 2012 u REŽIMU USAGLAŠENOM SA FIPS 140-2.Napomene

  • Termini "USAGLAŠENI FIPS 140-2", "USAGLAŠENOST FIPS 140-2" i "FIPS 140-2-usaglašeni režim" definisani su ovde radi upotrebe i jasnoće. Ovi uslovi nisu priznati ili definisani vladini uslovi. Sjedinjene Države i kanadske vlade prepoznaju validaciju kriptografskih modula u odnosu na standarde kao što je FIPS 140-2, a ne upotrebu kriptografskih modula na određen ili usaglašen način. U ovom članku koristimo "FIPS 140-2-compliant", "FIPS 140-2 usaglašenost" i "FIPS 140-2-compliant mode" u smislu sql Server 2012 koristi samo fiPS 140-2 proverene instance algoritama i funkcija hashinga u svim instancama u kojima se šifrovani ili hashed podaci uvoze ili izvoze iz sistema SQL Server 2012. Pored toga, to znači da će SQL Server 2012 upravljati ključevima na bezbedan način, kao što je potrebno za FIPS 140-2 proverene kriptografske module. Proces upravljanja ključevima takođe uključuje i ključnu generaciju i skladištenje ključeva.

  • Ovde koristimo "sertifikovano" da znači da je instanca algoritma FIPS 140-2 proverena ili da operativni sistem sadrži FIPS 140-2 proverene instance algoritama.

Više informacija

Šta je FIPS?

Federalni standard obrade informacija (FIPS) je standard koji su razvila sledeća dva vladina tela:

  • Nacionalni institut za standarde i tehnologiju (NIST) u Sjedinjenim Državama

  • The Communications Security Establishment (CSE) in Canada

FiPS standardi se preporučuju ili propisuju za upotrebu u IT sistemima u Sjedinjenim Državama i Kanadi kojima upravlja savezna vlada.

Šta je FIPS 140-2?

FIPS 140-2 je izjava pod nazivom "Bezbednosni zahtevi za kriptografske module". On određuje koji algoritmi šifrovanja i koji hashing algoritmi mogu da se koriste i kako ključevi za šifrovanje treba da se generišu i upravljaju. Neki hardver, softver i procesi mogu biti sertifikovani za FIPS 140-2, a neki hardver, softver i procesi mogu biti usaglašeni sa FIPS 140-2.

Koja je razlika između toga što je FIPS 140-2 usaglašen i što je FIPS 140-2 sertifikovan?

SQL Server 2012 se može konfigurisati i pokrenuti na način koji je usaglašen sa FIPS 140-2. Da biste na ovaj način konfigurisali SQL Server 2012, SQL Server 2012 mora da radi na operativnom sistemu koji je FIPS 140-2 sertifikovan ili na operativnom sistemu koji obezbeđuje kriptografski modul koji je certifikovan. Razlika između usaglašenosti i sertifikacije nije suptilna. Algoritmi se mogu overiti. Nedovoljno je koristiti algoritam sa odobrenih lista u FIPS 140-2. Umesto toga, morate da koristite instancu takvog algoritma koji je sertifikovan. Sertifikacija zahteva testiranje i verifikaciju od strane laboratorije za procenu koju je odobrila vlada. Windows Server 2003, Windows XP i Windows Server 2008 sadrže dozvoljene algoritme, a instanca svakog od ovih operativnih sistema je laboratorija za procenu testirana i potvrđena vlada.

Koji proizvodi aplikacije mogu biti usaglašeni sa FIPS 140-2?

Sve aplikacije koje vrše šifrovanje ili hashing i koje se pokreću na certifikovanu verziju operativnog sistema Windows mogu biti usaglašene samo pomoću potvrđenih instanci odobrenih algoritama i usaglašavanja sa zahtevima za kreiranje ključeva i upravljanja ključevima korišćenjem Funkcije Windows za kreiranje ključeva i upravljanje ključevima ili usaglašavanje sa zahtevima za kreiranje ključeva i upravljanje ključevima unutar aplikacije. Imajte na umu da oblasti u aplikaciji usaglašenoj sa FIPS-om mogu postojati tamo gde su omogućeni neusklađujući algoritmi ili procesi. Na primer, dozvoljeni su neki interni procesi koji ostaju unutar sistema i neki spoljni podaci koje treba dodatno šifrovati potvrđena instanca algoritma.

Da li je SQL Server 2012 uvek usaglašen sa FIPS 140-2?

Ne. SQL Server 2012 može biti usaglašen sa FIPS 140-2 jer se može konfigurisati i pokrenuti na taj način da koristi samo FIPS 140-2-certifikovane instance algoritma koje se pozivaju pomoću CryptoAPI za šifrovanje ili hashingom u svakoj instanci gde je potrebna usaglašenost FIPS 140-2.

Kako SQL Server 2012 može da se konfiguriše tako da bude usaglašen sa FIPS 140-2?

  • Zahtev operativnog sistema: Morate instalirati SQL Server 2012 na serveru koji se zasniva na jednom od sledećih operativnih sistema:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Zahtev za administraciju sistema Windows: FIPS režim mora biti podešen pre nego što se pokrene SQL Server 2012. SQL Server čita postavku pri pokretanju. Da biste podesili FIPS režim, sledite ove korake:

    1. Prijavite se na Windows kao administrator sistema Windows.

    2. Kliknite na dugme Start.

    3. Izaberite stavku Kontrolna tabla.

    4. Izaberite stavku Administrativne alatke.

    5. Izaberite stavku Lokalne bezbednosne smernice. Pojaviće se prozor Lokalne bezbednosne postavke.

    6. U oknu za navigaciju izaberite stavku Lokalne smernice, a zatim izaberite stavku Bezbednosne opcije.

    7. U desnom oknu dvaput kliknite na sistemsku kriptografiju: Koristite ALGORITME usaglašene sa FIPS-om za šifrovanje, hashing i potpisivanje.

    8. U dijalogu koji će se pojaviti kliknite na dugme Omogućeno , a zatimizaberite stavku Primeni.

    9. Kliknite na dugme U redu.

    10. Zatvorite prozor Lokalne bezbednosne postavke.

  • Zahtev administratora SQL servera

    • Kada SQL Server usluga otkrije da je FIPS režim omogućen pri pokretanju, SQL Server evidentira sledeću poruku u evidenciji grešaka sistema SQL Server:

      Transport brokera usluga radi u FIPS režimu usaglašenosti.Pored toga, u evidenciji događaja operativnog sistema Windows možete pronaći sledeću poruku:

      Možete da proverite da li je server pokrenut u FIPS režimu tako što ćete tražiti ove poruke.

    • Za bezbednost dijaloga (između usluga), šifrovanje koristi instancu AES-a potvrđenu za FIPS ako je omogućen FIPS režim. Ako je FIPS režim onemogućen, šifrovanje koristi RC4.

    • Kada konfigurišete krajnje tačku brokera usluge u FIPS režimu, administrator mora da navede "AES" za brokera usluge. Ako je endpoint konfigurisan na RC4, SQL Server će generisati grešku. Zbog toga se transportni sloj neće pokrenuti.

Kako funkcioniše SQL Server 2012 u FIPS 140-2 usaglašenom režimu?

  • Pošto je FIPS režim u operativnom sistemu Windows uključen, u svim oblastima u kojima korisnik nema izbora da li da šifruje/hash i kako će to biti urađeno, SQL Server 2012 će se izvršiti u skladu sa FIPS 140-2. (SQL Server 2012 će koristiti CryptoAPI u operativnom sistemu Windows i koristiće samo potvrđene instance algoritama.)

  • Pošto je FIPS režim u operativnom sistemu Windows uključen, u svim oblastima u kojima korisnik ima izbor da li će koristiti šifrovanje, SQL Server 2012 će omogućiti samo FIPS 140-2 usaglašeno šifrovanje ili neće omogućiti šifrovanje.

  • Važne informacije za projektante softveraU svim oblastima u kojima projektant ili korisnik upisuje sopstveni kôd za šifrovanje ili hashing, mora im se naložiti da koriste samo CryptoAPI (a samim tim i samo potvrđene instance) i da navedu samo algoritme koje DOZVOLJAVA FIPS 140-2. Konkretno, moraju da navedu samo Triple DES (3DES) ili AES za šifrovanje i samo SHA-1 za hashing.

Kakav je efekat pokretanja sistema SQL Server 2012 u FIPS 140-2 usaglašenom režimu?

  • Upotreba jačeg šifrovanja može imati mali efekat na performanse za one procese za koje je dozvoljeno manje jako šifrovanje kada proces ne funkcioniše kao usaglašen sa FIPS 140-2.

  • Izbor šifrovanja za SSIS (UseEncryption=True) će generisati poruku o grešci u kojoj se navodi da dostupno šifrovanje nije kompatibilno sa FIPS usaglašenošću i da nije dozvoljeno. Drugim rečima, ne izvršava se šifrovanje procesa poruke.

  • Upotreba šifrovanja zajedno sa zastarelim DTS-om nije usaglašena sa FIPS 140-2. Imajte na umu da za DTS nije proveren FIPS režim u operativnom sistemu Windows. Zbog toga je odgovornost korisnika da izabere da šifrovanje ne ostane usaglašeno.

  • Pošto je većina SQL Server 2012 procesa šifrovanja i hashinga već usaglašena sa FIPS 140-2, izvršavanje uz potpunu usaglašenost (odnosno, sa uključenim FIPS režimom u operativnom sistemu Windows) imaće malo ili uvek uticaja na upotrebu ili performanse proizvoda.

Gde mogu da saznam više o FIPS 140-2?

Za više informacija o STANDARDU FIPS 140-2 i kako da ga preuzmete posetite sledeću NIST Web lokaciju:

http://csrc.nist.gov/cryptval/140-2.htmMicrosoft obezbeđuje kontakt informacije nezavisnih proizvođača koje vam pomažu da pronađete tehničku podršku. Ove informacije o kontaktu mogu da se promene bez prethodne najave. Microsoft ne garantuje tačnost ovih informacija o kontaktu nezavisnog proizvođača.

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×