Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Вступ

У цій статті розповідається про інструкції FIPS 140-2 і як використовувати Microsoft SQL Server 2012 в режимі сумісності з 140-2 в програмі FIPS.Примітки

  • Терміни "FIPS 140-2 сумісний", "" FIPS 140-2 відповідність "і" FIPS 140-2-сумісний режим ", визначено тут для використання та ясності. Ці умови не розпізнаються або не визначені умовами для уряду. Сполучені Штати та канадські уряди визнають криптографічним модулям від стандартів, таких як FIPS 140-2, а не використання криптографічних модулів у вказаному або conformant манері. У цій статті ми використовуємо "FIPS 140-2-сумісний", "" FIPS 140-2 відповідність "і" FIPS 140-2-сумісний режим "в тому сенсі, що SQL Server 2012 використовує тільки FIPS 140-2-перевірені екземпляри алгоритмів і хеш-функцій у всіх випадках, у яких зашифровані або дані, що були закодовані, імпортуються до сервера SQL Server. Крім того, це означає, що SQL Server 2012 буде керувати ключами в безпечному режимі, як це потрібно для FIPS 140-2-затверджених криптографічних модулів. Процес Key-Management також включає в себе як ключові покоління, так і ключові сховища.

  • Ми використовуємо "сертифіковане" тут, щоб це означало, що екземпляр алгоритму: FIPS 140-2 перевірено або про те, що операційна система містить FIPS 140-2-перевірені екземпляри алгоритмів.

Додаткові відомості

Що таке FIPS?

Федеральний стандарт обробки інформації (FIPS) – це стандарт, розроблений такими двома урядовими органами:

  • Національний інститут стандартів і технологій (NIST) у Сполучених Штатах

  • Створення комунікаційної системи безпеки (CSE) в Канаді

Стандарти FIPS або Рекомендовані або уповноважені для використання в системах федерального урядування, що експлуатуються в Сполучених Штатах Америки та Канаді.

Що таке FIPS 140-2?

FIPS 140-2 – це твердження, що називається "вимоги до безпеки для криптографічних модулів". У ньому вказано алгоритми шифрування та алгоритми хешування, які можна використовувати для створення та керування ключами шифрування. Деякі апаратні засоби, програмне забезпечення та процеси можуть бути сертифіковані FIPS 140-2, а деякі обладнання, програмне забезпечення та процеси можуть бути сумісні з FIPS 140-2.

У чому полягає різниця між тим, що FIPS 140-2 сумісний і час FIPS 140-2 сертифікований?

SQL Server 2012 можна настроювати та виконуватися таким чином, що відповідає вимогам FIPS 140-2. Щоб настроїти SQL Server 2012 таким чином, SQL Server 2012 має працювати в операційній системі, яка має сертифікат FIPS 140-2 сертифікована або на операційній системі, яка містить криптографічний модуль, сертифікований. Різниця між відповідністю та сертифікацією не тонка. Алгоритми можна сертифікувати. У затвердженому списку в FIPS 140-2 недостатньо використовувати алгоритм. Натомість потрібно використовувати екземпляр такого алгоритму, який сертифікується. Сертифікація потребує тестування та перевірки за допомогою затверджених урядом лабораторії оцінювання. Windows Server 2003, Windows XP і Windows Server 2008 містять дозволені алгоритми, а екземпляр кожної з цих операційних систем оцінювальну перевірку та відповідну державну сертифікацію.

Які продукти програми можуть бути сумісні з FIPS 140-2?

Усі програми, які виконують шифрування або обчислення, і які виконуються в сертифікованому варіанті Windows, можуть бути сумісні, використовуючи лише сертифіковані екземпляри затверджених алгоритмів, а також відповідно до вимог ключа, а також за допомогою функції Windows для створення ключів і керування ключами, або відповідно до вимог програми. Зверніть увагу, що в областях програми, сумісних із FIPS, може існувати, де ввімкнуто несумісні алгоритми або процеси. Наприклад, деякі внутрішні процеси, які залишаються в системі, і деякі зовнішні дані, які додатково шифруються в екземплярі сертифікованого алгоритму, дозволяються.

SQL Server 2012 завжди FIPS 140-2 сумісний?

Ні. SQL Server 2012 може бути сумісний з FIPS 140-2, оскільки він може бути настроєний і виконуватися таким чином, що він використовує тільки ті випадки, сертифіковані 140-2 в алгоритмі, які називаються за допомогою Cryppapi для шифрування або хеш-сум в кожному екземплярі, де потрібно відповідність FIPS 140-2.

Як можна настроїти SQL Server 2012 на сумісність із FIPS 140-2?

  • Вимоги до операційної системи: Потрібно інсталювати SQL Server 2012 на сервері, який базується на одній із таких операційних систем:

    • Windows Server 2003.

    • Windows XP

    • Windows Server 2008

  • Вимоги до системного адміністрування Windows: Для запуску SQL Server 2012 має бути встановлено режим FIPS. SQL Server зчитує параметр під час запуску. Щоб установити режим FIPS, виконайте наведені нижче дії.

    1. Увійдіть у систему Windows як системний адміністратор Windows.

    2. Натисніть кнопку Пуск.

    3. Виберіть пункт панель керування.

    4. Виберіть пункт адміністрування.

    5. Виберіть пункт політика локальної безпеки. Відкриється вікно " Настройки локальної системи безпеки ".

    6. В області переходів клацніть елемент Локальні політики, а потім виберіть пункт Параметри безпеки.

    7. В області праворуч двічі клацніть елемент системна криптографія: використовуйте алгоритми сумісності з підтримкою FIPS для шифрування, обчислення хеш-сум та підписання.

    8. У діалоговому вікні, що Відкриється, натисніть кнопку увімкнуто, а потім натисніть кнопку Додати.

    9. Клацніть OK.

    10. Закрийте вікно " Локальні параметри безпеки ".

  • Вимоги адміністратора сервера SQL Server

    • Коли служба SQL Server виявляє, що режим "FIPS" ввімкнуто під час запуску, SQL Server реєструє таке повідомлення в журналі помилок SQL Server:

      Служба брокерських перевезень працює в режимі відповідності FIPS.Крім того, у журналі подій Windows може бути записано таке повідомлення:

      Ви можете перевірити, чи сервер працює в режимі FIPS, шукаючи ці повідомлення.

    • У разі використання діалогового вікна Безпека (між службами) шифрування використовує екземпляр FIPS, завірену в AES, якщо ввімкнуто режим FIPS. Якщо режим FIPS вимкнуто, шифрування використовує RC4.

    • Коли ви настроюєте кінцеву точку служби "брокер" в режимі FIPS, адміністратор повинен указати "AES" для брокера служби. Якщо кінцева точка налаштована на RC4, SQL Server створить помилку. Таким чином, транспортний шар не почнеться.

Як SQL Server 2012 працює в режимі FIPS 140-2-сумісний?

  • З режимом FIPS в ОС Windows увімкнуто, у всіх областях, де користувач не має вибору про те, чи потрібно шифрувати/хеш, і як це буде виконано, SQL Server 2012 виконає відповідно до FIPS 140-2. (SQL Server 2012 буде використовувати Cryppapi в ОС Windows і використовуватиметься лише сертифіковані екземпляри алгоритмів).

  • За допомогою режиму FIPS в ОС Windows увімкнуто в усіх областях, де користувач має вибір того, чи слід використовувати шифрування, SQL Server 2012 або ввімкнути тільки FIPS 140-2 сумісні шифрування або не вмикати шифрування.

  • Важлива інформація для розробників програмного забезпеченняУ всіх областях, де розробник або користувач записує власний код для шифрування або хешування, вони повинні бути призначені для використання тільки cryptapi (і, відповідно, лише сертифіковані екземпляри) і для визначення лише алгоритмів, дозволених за допомогою FIPS 140-2. Зокрема, вони мають вказувати лише потрійне значення DES (3DES) або AES для шифрування та лише SHA-1 для обчислення хеш-значення.

Вплив запуску SQL Server 2012 у режимі FIPS 140-2 – сумісний?

  • Використання сильнішого шифрування може мати невеликий вплив на продуктивність для цих процесів, для яких дозволяється зменшення кількості надійних шифрування, якщо процес не функціонує в режимі FIPS 140-2.

  • Під час набору шифрування для SSIS (UseEncryption = TRUE) буде згенето повідомлення про помилку, яке свідчить про те, що наявне шифрування несумісний із відповідністю FIPS і не дозволяється. Інакше кажучи, не виконується шифрування процесу повідомлення.

  • Використання шифрування разом із успадкованими DTS не відповідає вимогам FIPS 140-2. Зверніть увагу, що в режимі DTS в ОС Windows не установлено прапорець "режим FIPS". Таким чином, відповідальність за користувача не може вибрати жодного шифрування, щоб залишатися сумісним.

  • Оскільки більшість процесів шифрування та хешування SQL Server 2012 вже сумісні з FIPS 140-2, які виконуються на повну відповідність (тобто в режимі FIPS в ОС Windows) матиме практично незначний вплив на використання або продуктивність продукту.

Де можна дізнатися більше про FIPS 140-2?

Щоб отримати додаткові відомості про стандарт FIPS 140-2 і як його завантажити, перейдіть на веб-сайт нижче NIST:

http://csrc.nist.gov/cryptval/140-2.htmКорпорація Майкрософт надає контактну інформацію третьої сторони, щоб допомогти вам отримати технічну підтримку. Ця Контактна інформація може змінюватися без попереднього повідомлення. Корпорація Майкрософт не гарантує точність цієї контактної інформації про сторонні особи.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×