Инструкции по использованию SQL Server 2014 в режиме, совместимом с FIPS 140-2

  • Статья

В этой статье рассматриваются инструкции по публикации 140-2 Федерального стандарта обработки информации (FIPS 140-2) и использование Microsoft SQL Server 2014 в режиме, совместимом с FIPS 140-2.

Исходная версия продукта: SQL Server 2014 г.
Исходный номер базы знаний: 3141890

Примечание.

  • Термины "FIPS 140-2–совместимый", "соответствие FIPS 140-2" и "режим соответствия FIPS 140-2" определены здесь для использования и ясности. Эти термины не являются распознаваемыми или определенными государственными терминами. Правительства США и Канады признают проверку криптографических модулей на соответствие стандартам, таким как FIPS 140-2, но не использование криптографических модулей указанным или соответствующим образом. В этой статье мы используем "FIPS 140-2–совместимый", "соответствие FIPS 140-2" и "fips 140-2-совместимый режим" в том смысле, что SQL Server 2014 использует только проверенные FIPS 140-2 экземпляры алгоритмов и хэш-функций во всех экземплярах, в которых зашифрованные или хэшированные данные импортируются или экспортируются из SQL Server 2014 года. Кроме того, это означает, что SQL Server 2014 безопасно управляет ключами, как это требуется для криптографических модулей, проверенных FIPS 140-2. Процесс управления ключами также включает в себя создание ключей и хранение ключей.

  • Здесь мы используем "сертифицировано", чтобы означать, что экземпляр алгоритма проверен fips 140-2 или что операционная система содержит экземпляры алгоритмов, проверенные FIPS 140-2.

Что такое FIPS?

Федеральный стандарт обработки информации (FIPS) — это стандарт, разработанный следующими двумя государственными органами:

  • Национальный институт стандартов и технологий (NIST) в США
  • Управление по обеспечению безопасности связи (CSE) в Канаде

Стандарты FIPS рекомендуются или предписываются для использования в ит-системах, управляемых федеральным правительством в США и Канаде.

Что такое FIPS 140-2?

FIPS 140-2 — это инструкция, которая называется "Требования к безопасности для криптографических модулей". Он указывает, какие алгоритмы шифрования и какие хэш-алгоритмы можно использовать, а также способы создания и управления ключами шифрования. Некоторые оборудование, программное обеспечение и процессы, содержащие алгоритмы, можно считать сертифицированными по FIPS 140-2. Другое оборудование, программное обеспечение и процессы, вызывающие правильные алгоритмы, могут быть совместимыми с FIPS 140-2.

В чем разница между стандартом FIPS 140-2 и fips 140-2?

SQL Server 2014 можно настроить и запустить в соответствии с FIPS 140-2. Чтобы настроить SQL Server 2014 таким образом, SQL Server 2014 должен работать в операционной системе, сертифицированной по FIPS 140-2, или в операционной системе, предоставляющей сертифицированные криптографические модули.

Разница между соответствием требованиям и сертификацией не является незначительной. Алгоритмы можно сертифицировать. Недостаточно использовать алгоритм только потому, что он указан в утвержденных списках в FIPS 140-2. Вместо этого необходимо использовать экземпляр такого алгоритма, который сертифицирован. Это означает, что экземпляр проверяется правительством. Для сертификации требуется тестирование и проверка с помощью США или канадской лаборатории оценки, утвержденной правительством. Windows Server 2012 и более поздних версиях, а также Windows 8 и более поздних версиях содержат сертифицированный экземпляр каждого разрешенного алгоритма. Самое главное, что вызов каждого из этих алгоритмов предоставляет только сертифицированный экземпляр.

Какие продукты приложений могут соответствовать стандарту FIPS 140-2?

Все приложения, выполняющие шифрование или хэширование и выполняемые в сертифицированной версии Windows, могут соответствовать требованиям, используя только сертифицированные экземпляры утвержденных алгоритмов и соблюдая требования к генерации ключей и управлению ключами. Это можно сделать одним из следующих методов:

  • Использование функции Windows для создания ключей и управления ключами
  • Соблюдение требований к генерации ключей и управлению ключами в приложении

Имейте в виду, что приложение, совместимое с FIPS, может содержать области, в которых включены несоответствующие алгоритмы или процессы. Например, разрешены некоторые внутренние процессы, которые находятся в системе, и некоторые внешние данные, которые должны быть дополнительно зашифрованы экземпляром сертифицированного алгоритма.

Соответствует ли SQL Server 2014 fips 140-2?

Нет. SQL Server 2014 может быть совместим с FIPS 140-2, так как его можно настроить и запустить таким образом, чтобы он использовал только экземпляры алгоритма, сертифицированные FIPS 140-2, которые вызываются с помощью CryptoAPI для шифрования или путем хэширования в каждом экземпляре, в котором требуется соответствие FIPS 140-2.

Как настроить SQL Server 2014 на соответствие FIPS 140-2?

Требования к операционной системе

Установите SQL Server 2014 на сервере, основанном на одной из следующих операционных систем:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 8.1
  • Windows 10

Требования системного администрирования Windows

Режим FIPS необходимо задать до запуска SQL Server 2014. SQL Server считывает параметр при запуске. Чтобы настроить режим FIPS, выполните следующие действия.

  1. Войдите в Windows с правами системного администратора Windows.
  2. Нажмите Пуск.
  3. Выберите элемент Панель управления.
  4. Щелкните Администрирование. (Для следующего шага может потребоваться переключиться наLarge Icons.)
  5. Щелкните Локальная политика безопасности. Откроется окно Локальные параметры безопасности.
  6. В области навигации щелкнитеЛокальные политики, а затем — Параметры безопасности.
  7. В области справа дважды щелкните Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания.
  8. В появившемся диалоговом окне щелкните Включено, а затем нажмите кнопку Применить.
  9. Нажмите кнопку OK.
  10. Закройте окно Локальные параметры безопасности.

требование администратора SQL Server

Когда служба SQL Server (когда конечная точка настроена для компонента Service Broker или зеркального отображения базы данных) обнаруживает, что режим FIPS включен при запуске, SQL Server регистрирует следующее сообщение в журнале ошибок SQL Server:

Транспорт компонента Service Broker работает в режиме соответствия FIPS.

Кроме того, в журнале событий Windows может быть зарегистрировано следующее сообщение:

Транспорт зеркального отображения базы данных выполняется в режиме соответствия FIPS.

Чтобы убедиться, что сервер работает в режиме FIPS, найдите эти сообщения.

  • Для обеспечения безопасности диалога (между службами) шифрование использует сертифицированный FIPS экземпляр расширенного стандарта шифрования (AES), если включен режим FIPS. Если режим FIPS отключен, шифрование использует rc4.

  • При настройке конечной точки компонента service broker в режиме FIPS администратор должен указать "AES" для компонента service broker. Если конечная точка настроена для rc4, SQL Server вызовет ошибку. Таким образом, транспортный слой не запускается.

Как SQL Server 2014 работает в режиме, совместимом с FIPS 140-2?

  • После включения режима FIPS в Windows во всех областях, в которых пользователь не имеет выбора о том, следует ли шифровать или хэшировать, а также о том, как это будет сделано, SQL Server 2014 будет выполняться в соответствии с FIPS 140-2. (SQL Server 2014 будет использовать CryptoAPI в Windows и будет использовать только сертифицированные экземпляры алгоритмов.)

  • После включения режима FIPS в Windows во всех областях, где пользователь может выбрать, следует ли использовать шифрование, SQL Server 2014 либо включает только шифрование, совместимое с FIPS 140-2, либо не включает шифрование.

  • Важная информация для разработчиков программного обеспечения: во всех областях, где разработчик или пользователь пишет собственный код для шифрования или хэширования, им необходимо проинструктировать использовать только CryptoAPI (и, следовательно, только сертифицированные экземпляры) и указывать только алгоритмы, разрешенные FIPS 140-2. Список утвержденных алгоритмов шифрования FIPS 140-2 национального института стандартов и технологий (NIST) см. в разделе Приложения A, C и D в программе проверки криптографических модулей.

Как работает SQL Server 2014 году в режиме, совместимом с FIPS 140-2?

  • Использование более надежного шифрования может незначительно влиять на производительность тех процессов, для которых допускается менее надежное шифрование, если процесс не работает в соответствии с FIPS 140-2.

  • При выборе шифрования для служб SSIS (UseEncryption=True) будет создано сообщение об ошибке с сообщением о том, что доступное шифрование несовместимо с соответствием FIPS и запрещено. Иными словами, шифрование процесса сообщения не выполняется.

  • Использование шифрования вместе с устаревшими DTS не соответствует FIPS 140-2. Для DTS режим FIPS в Windows не установлен. Таким образом, пользователь несет ответственность за отсутствие шифрования для обеспечения соответствия требованиям.

  • Так как большинство процессов шифрования и хэширования SQL Server 2014 года уже соответствуют стандарту FIPS 140-2, выполнение в полном соответствии (то есть с включенным режимом FIPS в Windows) практически не повлияет на использование или производительность продукта.

Где можно узнать больше о FIPS 140-2?

Дополнительные сведения о стандарте FIPS 140-2 см. в следующей публикации NIST:

Требования к безопасности для модулей шифрования

Заявление об отказе от ответственности за сведения о продуктах сторонних производителей

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.