Instructies voor het gebruik van SQL Server 2008 in de FIPS 140-2-compatibele modus

In dit artikel wordt FIPS 140-2 beschreven en wordt beschreven hoe u SQL Server 2008 gebruikt in de FIPS 140-2-compatibele modus.

Oorspronkelijke productversie: SQL Server
Oorspronkelijk KB-nummer: 955720

Inleiding

In dit artikel worden fips-instructies (Federal Information Processing Standard) 140-2 beschreven en wordt beschreven hoe u Microsoft SQL Server 2008 gebruikt in de FIPS 140-2-compatibele modus.

Notitie

De termen 'FIPS 140-2-compliant', 'FIPS 140-2-compliance' en 'FIPS 140-2-compatibele modus' worden hier gedefinieerd voor gebruik en duidelijkheid. Deze voorwaarden worden niet herkend of gedefinieerde overheidstermen. De Verenigde Staten en Canadese regeringen herkennen de validatie van cryptografische modules aan standaarden zoals FIPS 140-2 en niet het gebruik ervan op een opgegeven of conforme manier. In dit artikel definiëren we 'FIPS 140-2-compliant', 'FIPS 140-2 compliance' en 'FIPS 140-2-compatibele modus' om te betekenen dat SQL Server 2008 alleen FIPS 140-2-gevalideerde exemplaren van algoritmen en hashingfuncties gebruikt in alle exemplaren waarin versleutelde of hashgegevens worden geïmporteerd of geëxporteerd naar SQL Server 2008. Bovendien betekenen deze termen dat MET SQL Server 2008 sleutels op een veilige manier worden beheerd, zoals vereist is voor cryptografische modules die zijn gevalideerd met FIPS 140-2. Het sleutelbeheerproces bevat ook de functies voor het genereren van sleutels en sleutelopslag.

Wat is FIPS?

FIPS betekent Federal Information Processing Standards. FIPS zijn standaarden die door twee overheidsinstanties zijn ontwikkeld. Een daarvan is het National Institute of Standards and Technology in de Verenigde Staten. De andere is de communicatiebeveiligingsinstelling in Canada. FIPS zijn standaarden die worden aanbevolen of verplicht voor gebruik in federale (Verenigde Staten of Canadese) door de overheid beheerde IT-systemen.

Wat is FIPS 140-2?

FIPS 140-2 is een verklaring van de 'Beveiligingsvereisten voor cryptografische modules'. Hiermee geeft u op welke versleutelingsalgoritmen en welke hash-algoritmen kunnen worden gebruikt en hoe versleutelingssleutels moeten worden gegenereerd en beheerd. Sommige hardware, software en processen kunnen FIPS 140-2 worden gevalideerd door een goedgekeurd validatielab. Sommige van deze kunnen ook worden beschreven als FIPS 140-2-compatibel, omdat de term in dit artikel wordt gedefinieerd.

Wat is het verschil tussen een toepassing die voldoet aan FIPS 140-2 en een toepassing die is gevalideerd met FIPS 140-2

U kunt SQL Server 2008 configureren voor uitvoering als een FIPS 140-2-compatibele toepassing. Hiervoor moet u SQL Server 2008 uitvoeren op een besturingssysteem dat gebruikmaakt van een door FIPS 140-2 gevalideerde cryptografische serviceprovider of die een cryptografische module biedt die is gevalideerd. Het verschil tussen naleving en validatie is niet subtiel. Algoritmen kunnen worden gevalideerd. Realiseer u dat het onvoldoende is om algoritmen te gebruiken uit de goedgekeurde lijsten in FIPS 140-2. U moet exemplaren van algoritmen gebruiken die door FIPS 140-2 zijn gevalideerd. Validatie vereist testen en verificatie door een door de overheid goedgekeurd evaluatielab. Windows Server 2008, Windows Server 2003 en Windows XP bevatten de goedgekeurde cryptografische modules en de modules, inclusief de specifieke exemplaren van de algoritmen, zijn getest en door de overheid gevalideerd.

Welke toepassingen compatibel kunnen zijn met FIPS 140-2

Alle toepassingen die versleuteling of hashing uitvoeren en die worden uitgevoerd op een gevalideerde versie van een Cryptografische Windows-serviceprovider, kunnen compatibel zijn als ze alleen de gevalideerde exemplaren van de goedgekeurde algoritmen gebruiken. Deze toepassingen moeten ook voldoen aan de vereisten voor sleutelgeneratie en sleutelbeheer met behulp van een Windows-sleutelfunctie of door te voldoen aan de vereisten voor sleutelgeneratie en sleutelbeheer in de toepassing. Bovendien zijn in sommige gevallen niet-compatibele algoritmen of processen toegestaan in een FIPS 140-2-compatibele toepassing. Gegevens kunnen bijvoorbeeld worden versleuteld met behulp van een niet-compatibel algoritme als de gegevens in dit versleutelde formulier binnen de toepassing blijven, dat wil gezegd, de gegevens niet in dit formulier worden geëxporteerd of als de gegevens verder worden versleuteld (verpakt) met behulp van een FIPS-compatibel algoritme.

Betekent dit dat SQL Server 2008 altijd FIPS 140-2-compatibel is

Nee Dit betekent dat SQL Server 2008 kan worden geconfigureerd voor uitvoering in de FIPS 140-2-compatibele modus.

Hoe kan SQL Server 2008 worden geconfigureerd voor het gebruik van een cryptografische module die is gevalideerd met FIPS 140-2

• Besturingssysteemvereisten

  U moet SQL Server 2008 installeren op een Windows Server 2008-computer, een Windows Vista-computer, een Windows Server 2003-computer of een Windows XP-computer.

• Windows-systeembeheervereisten

  U moet de FIPS-modus inschakelen voordat u SQL Server 2008 start. Dit komt doordat SQL Server 2008 de FIPS-instelling leest bij het opstarten. Volg deze stappen om FIPS in te schakelen.

  • Voor Windows Server 2008 en Windows Vista

    1. Gebruik beheerdersreferenties om u aan te melden bij de computer.
    2. Als u Windows Server 2008 gebruikt, klikt u op Start, klikt u op Uitvoeren, typt u gpedit.msc en drukt u op Enter. De editor voor lokaal groepsbeleid wordt geopend. Als u een windows Vista-computer gebruikt, klikt u op Start, typt u gpedit.msc in het vak Zoeken starten en drukt u op Enter.
    3. Dubbelklik in de editor voor lokaal groepsbeleid op Windows-instellingen onder het knooppunt Computerconfiguratie en dubbelklik vervolgens op Beveiligingsinstellingen.
    4. Dubbelklik onder het knooppunt Beveiligingsinstellingen op Lokaal beleid en klik vervolgens op Beveiligingsopties.
    5. Dubbelklik in het detailvenster op Systeemcryptografie: FIPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening.
    6. In de systeemcryptografie: FIPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening in het dialoogvenster, klikt u op Ingeschakeld en vervolgens op OK om het dialoogvenster te sluiten.
    7. Sluit de editor voor lokaal groepsbeleid.

  • Voor Windows Server 2003 en Windows XP

    1. Gebruik beheerdersreferenties om u aan te melden bij de computer.
    2. Klik op Start, klik op Uitvoeren, typ gpedit.msc en druk vervolgens op Enter.
    3. Dubbelklik in het venster Groepsbeleid op Windows-instellingen onder het knooppunt Computerconfiguratie en dubbelklik vervolgens op Beveiligingsinstellingen.
    4. Dubbelklik onder het knooppunt Beveiligingsinstellingen op Lokaal beleid en klik vervolgens op Beveiligingsopties.
    5. Dubbelklik in het detailvenster op Systeemcryptografie: FIPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening.
    6. In de systeemcryptografie: FIPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening in het dialoogvenster, klikt u op Ingeschakeld en vervolgens op OK om het dialoogvenster te sluiten.
    7. Sluit het venster Groepsbeleid .

Sql Server 2008-beheerdersnotities

• Wanneer de SQL Server 2008-service detecteert dat de FIPS-modus is ingeschakeld bij het opstarten, registreert SQL Server 2008 het volgende bericht in het foutenlogboek van SQL Server:

  Service Broker-transport wordt uitgevoerd in de FIPS-nalevingsmodus

  Daarnaast kan het volgende bericht worden vastgelegd in het toepassingslogboek:

  Het transport voor databasespiegeling wordt uitgevoerd in de FIPS-nalevingsmodus

  Als u wilt controleren of de server wordt uitgevoerd in de FIPS-modus, zoekt u deze berichten.

• Voor het verkrijgen van dialoogvensterbeveiliging tussen services gebruikt het versleutelingsproces het FIPS-gecertificeerde exemplaar van de Advanced Encryption Standard (AES) als de FIPS-modus is ingeschakeld. Als de FIPS-modus is uitgeschakeld, gebruikt het versleutelingsproces RC4.

• Wanneer u een Service Broker-eindpunt configureert in de FIPS-modus, moet u AES opgeven voor de Service Broker. Als het eindpunt is geconfigureerd voor RC4, genereert SQL Server een fout. Daarom wordt de transportlaag niet gestart.

Hoe werkt SQL Server 2008 in de FIPS 140-2-compatibele modus

• Als de FIPS-modus in Windows is ingeschakeld en als de gebruiker geen keuze heeft om gegevens te versleutelen of hashen en hoe deze wordt uitgevoerd, werkt SQL Server 2008 in de FIPS 140-2-compatibele modus. SQL Server 2008 gebruikt de CryptoAPI en gebruikt alleen de gevalideerde exemplaren van de algoritmen.

• Als de FIPS-modus is ingeschakeld en als de gebruiker een keuze heeft of er versleuteling moet worden gebruikt, staat SQL Server 2008 alleen FIPS 140-2-compatibele versleuteling toe of staat geen versleuteling toe.

• Belangrijke informatie voor ontwikkelaars

  Als u uw eigen code schrijft voor versleuteling of hashing, moet u alleen de CryptoAPI gebruiken. U moet alleen de algoritmen opgeven die zijn toegestaan door FIPS 140-2. Gebruik met name alleen de Triple Data Encryption Standard (3DES) of AES voor versleuteling en alleen SHA-1 voor hashing. U kunt de volgende trefwoorden in SQL Server 2008 gebruiken voor de respectieve FIPS 140-2-gevalideerde algoritmen:

  • DESX (drie-sleutel drievoudigE DES)
  • Triple-DES (twee-sleutel drievoudigE DES)
  • TRIPLE_DES_3KEY (drie-sleutel drievoudige DES)
  • TRIPLE_DES_2KEY (drievoudige DES met twee sleutels)

  Notitie

  Het selecteren van DESX biedt geen DESX-algoritme in SQL Server 2005 of in SQL Server 2008. In beide gevallen biedt het selecteren van DESX een gevalideerd exemplaar van drie-sleutel drievoudigE DES.

• Belangrijke informatie voor ontwikkelaars

  SQL Server 2008 ondersteunt een EKM-functie (Enterprise Key Management) waarmee cryptografische sleutels kunnen worden beheerd op een afzonderlijke hardwareopslagmodule (HSM) van derden. Als u in de FIPS 140-2-compatibele modus wilt werken en EKM wilt gebruiken, moet aan een van de volgende twee voorwaarden worden voldaan:

  • De externe cryptografische module moet FIPS 140-2 zijn gevalideerd.
  • Sommige algoritmen die door de cryptografische module worden gebruikt, moeten worden gevalideerd met FIPS 140-2. Gebruik alleen die exemplaren van gevalideerde algoritmen wanneer FIPS 140-2-gebaseerde versleuteling of ontsleuteling vereist is voor het importeren of exporteren van gegevens naar of van SQL Server.

  Daarnaast moeten gegevens die door de externe cryptografische module worden versleuteld of ontsleuteld, in versleutelde vorm worden doorgegeven met behulp van een met FIPS 140-2 gevalideerd exemplaar.

Wat is het effect van het uitvoeren van SQL Server 2008 in de FIPS 140-2-compatibele modus

• Het gebruik van sterkere versleuteling kan een klein effect hebben op de prestaties voor deze processen waarbij minder sterke versleuteling is toegestaan wanneer het proces niet werkt als FIPS 140-2-compatibel.

• Selectie van versleuteling voor SSIS (UseEncryption=True) genereert een foutbericht dat de beschikbare versleuteling niet compatibel is met FIPS-naleving en niet is toegestaan. Met andere woorden, er wordt geen versleuteling van het berichtproces uitgevoerd.

• Het gebruik van versleuteling in combinatie met verouderde DTS (Data Transformation Services) is niet compatibel met FIPS 140-2. Voor DTS is de FIPS-modus in Windows niet ingeschakeld. Als u compatibel wilt blijven, moet u geen versleuteling selecteren.

• De meeste versleutelings- en hashprocessen van SQL Server 2008 maken al gebruik van een cryptografische module die is gevalideerd met FIPS 140-2. Als u een toepassing uitvoert in de FIPS 140-2-compatibele modus wanneer de FIPS-modus is ingeschakeld in Windows, is er weinig of geen effect op het gebruik of de prestaties van de toepassing.

Disclaimer van derden

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.