Поделиться через

Инструкции по использованию SQL Server 2014 в режиме соответствия FIPS 140-2

  • Статья

В этой статье рассматриваются инструкции по публикации 140-2 (FIPS 140-2) и использованию Microsoft SQL Server 2014 в режиме, совместимом с FIPS 140-2.

Исходная версия продукта: SQL Server 2014
Исходный номер базы знаний: 3141890

Примечание.

  • Термины "СООТВЕТСТВИЕ FIPS 140-2", "соответствие FIPS 140-2" и "режим соответствия FIPS 140-2" определены здесь для использования и ясности. Эти термины не распознаются или не определены правительственными терминами. США и канадские правительства признают проверку криптографических модулей в соответствии со стандартами, такими как FIPS 140-2, но не использование криптографических модулей определенным или соответствующим образом. В этой статье мы используем режим соответствия FIPS 140-2, "соответствие FIPS 140-2" и "РЕЖИМ соответствия FIPS 140-2" в том смысле, что SQL Server 2014 использует только проверенные экземпляры алгоритмов и хэширования в всех экземплярах, в которых зашифрованные или хэшированные данные импортируются в SQL Server 2014 или экспортируются из SQL Server 2014. Кроме того, это означает, что SQL Server 2014 управляет ключами в безопасном режиме, так как требуется криптографические модули FIPS 140-2. Процесс управления ключами также включает как создание ключей, так и хранилище ключей.

  • Мы используем "сертифицированный" здесь, чтобы означать, что экземпляр алгоритма является FIPS 140-2-проверенным или что операционная система содержит FIPS 140-2-проверенные экземпляры алгоритмов.

Что такое FIPS?

Федеральный стандарт обработки информации (FIPS) — это стандарт, разработанный следующими двумя государственными органами:

  • Национальный институт стандартов и технологий (NIST) в США
  • Создание системы безопасности связи (CSE) в Канаде

Стандарты FIPS рекомендуется использовать в ит-системах, управляемых федеральным правительством, в США и Канаде.

Что такое FIPS 140-2?

FIPS 140-2 — это инструкция, которая называется "Требования к безопасности для модулей шифрования". Он указывает, какие алгоритмы шифрования и какие алгоритмы хэширования можно использовать, а также способ создания и управления ключами шифрования. Некоторые аппаратные, программные и процессы, содержащие алгоритмы, можно считать сертифицированными FIPS 140-2. Другие аппаратные, программные и процессы, которые вызывают правильные алгоритмы, могут соответствовать FIPS 140-2.

Какова разница между сертифицированными FIPS 140-2 и FIPS 140-2?

SQL Server 2014 можно настроить и запустить таким образом, который соответствует FIPS 140-2. Чтобы настроить SQL Server 2014 таким образом, SQL Server 2014 должен работать в операционной системе, сертифицированной FIPS 140-2 или в операционной системе, которая предоставляет сертифицированные криптографические модули.

Разница между соответствием и сертификацией не является тонкой. Алгоритмы могут быть сертифицированы. Недостаточно использовать алгоритм только потому, что он указан в утвержденных списках в FIPS 140-2. Вместо этого необходимо использовать экземпляр такого алгоритма, сертифицированного. Это означает, что экземпляр проверен правительством. Сертификация требует тестирования и проверки США или утвержденной правительством лаборатории оценки. Windows Server 2012 и более поздних версий, а также Windows 8 и более поздних версий содержат сертифицированный экземпляр каждого разрешенного алгоритма. Самое важное— вызов каждого из этих алгоритмов предоставляет только сертифицированный экземпляр.

Какие продукты приложения могут быть совместимыми с FIPS 140-2?

Все приложения, выполняющие шифрование или хэширование, и которые выполняются в сертифицированной версии Windows, могут соответствовать только сертифицированным экземплярам утвержденных алгоритмов и требованиям к управлению ключами. Это можно сделать одним из следующих методов:

  • Использование функции Windows для создания ключей и управления ключами
  • Соблюдение требований к управлению ключами и ключами в приложении

Помните, что приложение, совместимое с FIPS, может содержать области, в которых включены несоответствующие алгоритмы или процессы. Например, некоторые внутренние процессы, остающиеся в системе, и некоторые внешние данные, которые должны быть дополнительно зашифрованы сертифицированным экземпляром алгоритма, разрешены.

Соответствует ли SQL Server 2014 ВСЕГДА FIPS 140-2?

№ SQL Server 2014 может быть совместим с FIPS 140-2, так как его можно настроить и запустить таким образом, чтобы он использовал только экземпляры алгоритма FIPS 140-2, которые вызываются с помощью CryptoAPI для шифрования или хэширования в каждом экземпляре, в котором требуется соответствие FIPS 140-2.

Как настроить SQL Server 2014 на соответствие FIPS 140-2?

Требование к операционной системе

Установите SQL Server 2014 на сервере, основанном на одной из следующих операционных систем:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 8.1
  • Windows 10

Требование к системе администрирования Windows

Перед запуском SQL Server 2014 необходимо задать режим FIPS. SQL Server считывает параметр при запуске. Чтобы задать режим FIPS, выполните следующие действия.

  1. Войдите в Windows в качестве системного администратора Windows.
  2. Щелкните Начать.
  3. Выберите элемент Панель управления.
  4. Щелкните Администрирование. (Возможно, вам придется переключиться на ЗначкиLarge для следующего шага.)
  5. Щелкните локальную политику безопасности. Откроется окно параметров безопасностиLocal.
  6. В области навигации щелкните"Локальные политики" и выберите пункт "Параметры безопасности".
  7. В правой области дважды щелкните системную криптографию: используйте алгоритмы, совместимые с FIPS для шифрования, хэширования и подписывания.
  8. В появившемся диалоговом окне нажмите кнопку "Включить" и нажмите кнопку "Применить".
  9. Нажмите кнопку ОК.
  10. Закройте окно "Локальные параметры безопасности".

Требование администратора SQL Server

Если служба SQL Server (если конечная точка настроена для service Broker или зеркального отображения базы данных) обнаруживает, что режим FIPS включен при запуске, SQL Server записывает следующее сообщение в журнал ошибок SQL Server:

Транспорт Service Broker выполняется в режиме соответствия FIPS.

Кроме того, можно найти следующее сообщение, вошедшее в журнал событий Windows:

Транспорт зеркального отображения базы данных выполняется в режиме соответствия FIPS.

Вы можете убедиться, что сервер работает в режиме FIPS, найдите эти сообщения.

  • Для безопасности диалогов (между службами) шифрование использует сертифицированный FIPS экземпляр расширенного шифрования (AES), если включен режим FIPS. Если режим FIPS отключен, шифрование использует RC4.

  • При настройке конечной точки компонента Service Broker в режиме FIPS администратор должен указать AES для брокера служб. Если конечная точка настроена на RC4, SQL Server создаст ошибку. Поэтому уровень транспорта не начнется.

Как SQL Server 2014 работает в режиме, совместимом с FIPS 140-2?

  • С включенным режимом FIPS в Windows во всех областях, в которых пользователь не имеет выбора о том, следует ли шифровать или хэшировать, а также о том, как это будет сделано, SQL Server 2014 будет работать в соответствии с FIPS 140-2. (SQL Server 2014 будет использовать CryptoAPI в Windows и будет использовать только сертифицированные экземпляры алгоритмов.)

  • С включенным режимом FIPS в Windows во всех областях, в которых пользователь может использовать шифрование, SQL Server 2014 будет включать только шифрование FIPS 140-2 или не будет включать шифрование.

  • Важная информация для разработчиков программного обеспечения: во всех областях, в которых разработчик или пользователь пишет собственный код для шифрования или хэширования, им необходимо указать использовать только CryptoAPI (и, следовательно, только сертифицированные экземпляры) и указать только алгоритмы, разрешенные FIPS 140-2. Для официального национального института стандартов и технологий (NIST) списка FIPS 140-2 утвержденных алгоритмов шифрования, перейдите к приложениям A, C и D в программе проверки криптографических модулей.

Как работает SQL Server 2014 в режиме соответствия FIPS 140-2?

  • Использование более строгого шифрования может оказать небольшое влияние на производительность этих процессов, для которых допускается менее строгое шифрование, если процесс не работает в соответствии с FIPS 140-2.

  • Выбор шифрования для служб SSIS (UseEncryption=True) приведет к возникновению сообщения об ошибке, которое указывает, что доступное шифрование несовместимо с соответствием FIPS и не допускается. Другими словами, шифрование процесса сообщения не выполняется.

  • Использование шифрования вместе с устаревшими DTS не соответствует FIPS 140-2. Для DTS режим FIPS в Windows не установлен. Таким образом, это ответственность за то, что пользователь не выбирает шифрование, чтобы оставаться совместимым.

  • Так как большинство процессов шифрования и хэширования SQL Server 2014 уже соответствуют требованиям FIPS 140-2, работая в полном соответствии (то есть с включенным режимом FIPS в Windows) не будет влиять на использование или производительность продукта.

Где можно узнать больше о FIPS 140-2?

Дополнительные сведения о стандарте FIPS 140-2 см. в следующей публикации NIST:

Требования к безопасности для модулей шифрования

Заявление об отказе от ответственности за сведения о продуктах сторонних производителей

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.