Aracılığıyla paylaş

FIPS 140-2 uyumlu modda SQL Server 2016 ve sonraki sürümleri kullanma

Bu makalede FIPS 140-2 yönergeleri ve FIPS 140-2 uyumlu modda SQL Server2016'nın nasıl kullanılacağı açıklanır.

Özgün ürün sürümü: SQL Server 2016 ve üzeri Özgün KB numarası: 4014354

Not

  • Kullanım ve netlik için "FIPS 140-2 uyumlu", "FIPS 140-2 uyumluluğu" ve "FIPS 140-2 uyumlu mod" terimleri burada tanımlanmıştır. Bu koşullar tanınmıyor veya tanımlanmamış kamu koşullarıdır. Birleşik Devletler ve Kanada hükümetleri şifreleme modüllerini belirtilen veya uyumlu bir şekilde kullanmak yerine FIPS 140-2 gibi standartlara göre şifreleme modüllerinin doğrulanmasından yararlanmaktadır.

    Bu makalede, SQL Server 2016 ve sonraki sürümlerde şifrelenmiş veya karma verilerin SQL Server 2016 ve sonraki sürümlerine aktarıldığı veya bu sürümlerden dışarı aktarıldığı tüm örneklerde yalnızca FIPS 140-2 doğrulanmış algoritma örnekleri ve karma işlevleri kullandığı anlamına gelen FIPS 140-2 uyumlu, FIPS 140-2 uyumluluğu ve FIPS 140-2 uyumlu mod kullanılır. Buna ek olarak, BU, SQL Server 2016 ve üzeri köşelerin, FIPS 140-2 ile doğrulanmış şifreleme modüllerinin gerektirdiği gibi anahtarları güvenli bir şekilde yöneteceği anlamına gelir. Anahtar yönetimi işlemi hem anahtar oluşturma hem de anahtar depolamayı da içerir.

  • Burada algoritma örneğinin FIPS 140-2 doğrulanmış olduğu veya işletim sisteminin FIPS140-2 doğrulanmış algoritma örnekleri içerdiği anlamına gelen "sertifikalı" kullanırız.

FIPS nedir?

Federal Bilgi İşleme Standardı (FIPS), aşağıdaki iki kamu kuruluşu tarafından geliştirilen bir standarttır:

  • Birleşik Devletler Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)
  • Kanada'da İletişim Güvenliği Kuruluşu (CSE)

FIPS standartları, Birleşik Devletler ve Kanada'da kamu tarafından işletilen federal BT sistemlerinde kullanılması önerilir veya zorunlu kılınmaktadır.

FIPS 140-2 nedir?

FIPS 140-2, "Şifreleme Modülleri için Güvenlik Gereksinimleri" başlıklı bir deyimdir. Hangi şifreleme algoritmalarının ve hangi karma algoritmaların kullanılabileceğini ve şifreleme anahtarlarının nasıl oluşturulup yönetilebileceğini belirtir. Algoritmaları içeren bazı donanım, yazılım ve işlemler FIPS 140-2 sertifikalı, doğru algoritmaları çağıran diğer donanım, yazılım ve işlemler ise FIPS 140-2 uyumlu olarak değerlendirilebilir.

FIPS 140-2 uyumlu olmak ile FIPS 140-2 sertifikalı olmak arasındaki fark nedir?

SQL Server 2016 ve sonraki sürümleri, FIPS 140-2 ile uyumlu bir şekilde yapılandırılabilir ve çalıştırılabilir. SQL Server 2016 ve sonraki sürümleri bu şekilde yapılandırmak için, FIPS 140-2 sertifikalı veya sertifikalı şifreleme modülleri sağlayan bir işletim sisteminde çalıştırılmalıdır. Uyumluluk ve sertifikasyon arasındaki fark hafif değildir. Algoritmalar onaylanabilir. FiPS 140-2'de onaylanan listelerde listelendiği için algoritma kullanmak yeterli değildir. Bunun yerine, sertifikalı böyle bir algoritmanın örneğini kullanmanız gerekir. Bu, örneğin kamu tarafından doğrulanmış olduğu anlamına gelir. Sertifikasyon, ABD veya Kanada kamu onaylı bir değerlendirme laboratuvarı tarafından test ve doğrulama gerektirir. Windows Server 2012 ve sonraki sürümleri ile Windows 8 ve sonraki sürümleri, izin verilen her algoritmanın sertifikalı örneğini içerir. En önemlisi, bu algoritmaların her birine yapılan çağrı yalnızca sertifikalı örneği sağlar.

Hangi uygulamalar FIPS 140-2 uyumlu olabilir?

Şifreleme veya karma oluşturma gerçekleştiren ve Windows'un sertifikalı bir sürümünde çalışan tüm uygulamalar, yalnızca onaylı algoritmaların onaylı örnekleri kullanılarak ve anahtar oluşturma ve anahtar yönetimi gereksinimlerine uygun olarak uyumlu olabilir. Bunun için anahtar oluşturma ve anahtar yönetimi için Windows işlevinin kullanılması veya uygulama içindeki anahtar oluşturma ve anahtar yönetimi gereksinimlerine uyması gerekir. FIPS uyumlu bir uygulamadaki uyumsuz algoritmaların veya işlemlerin etkinleştirildiği alanlar olabilir. Örneğin, sistemde kalan bazı iç işlemlere ve sertifikalı bir algoritma örneği tarafından ek olarak şifrelenmek üzere planlanan bazı dış verilere izin verilir.

SQL Server 2016 ve sonraki sürümleri her zaman FIPS 140-2 uyumlu mu?

Hayır SQL Server 2016 ve sonraki sürümleri, yalnızca FIPS 140-2 sertifikalı algoritma örneklerini kullanacak şekilde yapılandırılıp çalıştırılabildiği için FIPS 140-2 uyumlu olabilir. Ayrıca bu örnekler şifreleme için CryptoAPI veya CGN kullanılarak veya FIPS 140-2 uyumluluğu gerektiren her örnekte karma olarak çağrılır.

SQL Server 2016 ve sonraki sürümleri FIPS 140-2 uyumlu olacak şekilde nasıl yapılandırılabilir?

İşletim sistemi gereksinimleri

SQL Server 2016 ve sonraki sürümleri aşağıdaki Windows istemcilerinden ve sunucularından birini çalıştıran bir konağa yüklemeniz gerekir.

Windows sistem yönetimi gereksinimleri

SQL Server 2016 veya sonraki bir sürüm başlatılmadan önce FIPS modu ayarlanmalıdır. SQL Server başlangıçta ayarı okur. FIPS modunu ayarlamak için şu adımları izleyin:

  1. Windows'ta Windows sistem yöneticisi olarak oturum açın.
  2. Başlat'ı seçin.
  3. Denetim Masası'nı seçin.
  4. Yönetim Araçları'nı seçin. (Sonraki adım için büyük Simgeler'e geçmeniz gerekebilir.)
  5. Yerel Güvenlik İlkesi'ni seçin. Yerel Güvenlik Ayarları penceresi görüntülenir.
  6. Gezinti bölmesinde Yerel İlkeler Güvenlik Seçenekleri'ni seçin.>
  7. Sağdaki bölmede Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmaları kullan'a çift tıklayın.
  8. Görüntülenen iletişim kutusunda Etkin Uygula'yı> seçin.
  9. Tamam'ı seçin.
  10. Yerel Güvenlik Ayarları penceresini kapatın.

SQL Server yönetici gereksinimi

SQL Server hizmeti (Hizmet Aracısı veya Veritabanı Yansıtması için bir uç nokta yapılandırıldığında), başlangıçta FIPS modunun etkinleştirildiğini algıladığında, SQL Server SQL Server hata günlüğüne aşağıdaki iletiyi günlüğe kaydeder:

Hizmet Aracısı aktarımı FIPS uyumluluk modunda çalışıyor.

Ayrıca, Windows olay günlüğüne kaydedilen aşağıdaki iletiyi bulabilirsiniz:

Veritabanı Yansıtma aktarımı FIPS uyumluluk modunda çalışıyor.

Bu iletileri arayarak sunucunun FIPS modunda çalıştığını doğrulayabilirsiniz.

Not

  • İletişim kutusu güvenliği için (hizmetler arasında), FIPS modu etkinse şifreleme işlemi AES'nin FIPS sertifikalı örneğini kullanır. FIPS modu devre dışı bırakılırsa şifreleme işlemi yine de AES kullanır.
  • FIPS modunda bir hizmet aracısı uç noktası yapılandırdığınızda, yöneticinin hizmet aracısı için "AES" belirtmesi gerekir. Uç nokta RC4 olarak yapılandırılmışsa, SQL Server bir hata oluşturur. Bu nedenle, aktarım katmanı başlatılmaz.

SQL Server 2016 ve sonraki sürümleri FIPS 140-2 uyumlu modda nasıl çalıştırılır?

  • Windows'ta FIPS modu açıkken, kullanıcının şifreleme veya karma ve bunun nasıl yapılacağı konusunda seçeneği olmayan tüm alanlarda, SQL Server 2016 ve sonraki sürümleri FIPS 140-2 ile uyumlu olarak çalışır. (SQL Server 2016 ve sonraki sürümleri Windows'ta CryptoAPI kullanır ve yalnızca algoritmaların sertifikalı örneklerini kullanır.)

  • Windows'ta FIPS modu açıkken, kullanıcının şifreleme kullanıp kullanmama seçeneğinin olduğu tüm alanlarda SQL Server 2016 ve sonraki sürümleri yalnızca FIPS 140-2 uyumlu şifrelemeyi etkinleştirir veya herhangi bir şifrelemeyi etkinleştirmez.

  • Yazılım geliştiricileri için önemli bilgiler: Geliştiricinin veya kullanıcının şifreleme veya karma için kendi kodunu yazdığı tüm alanlarda, yalnızca CryptoAPI (ve dolayısıyla yalnızca sertifikalı örnekler) kullanmaları ve yalnızca FIPS 140-2 tarafından izin verilen algoritmaları belirtmeleri istenir. FIPS 140-2 onaylı şifreleme algoritmalarının resmi NIST listesi için, Bkz. Şifreleme Modülü Doğrulama Programı'nda Ek A, C ve D.

FIPS 140-2 uyumlu modda SQL Server 2016 veya sonraki bir sürümü çalıştırmanın etkisi nedir?

  • Daha güçlü şifreleme kullandığınızda, işlem FIPS 140-2 uyumlu olarak çalışmadığında daha az güçlü şifrelemeye izin verilen işlemler için performans üzerinde küçük bir etkisi olabilir.

  • SSIS (UseEncryption=True) için şifreleme seçimi, kullanılabilir şifrelemenin FIPS uyumluluğuyla uyumsuz olduğunu ve izin verilmediğini belirten bir hata oluşturur. Başka bir deyişle, ileti işleminin şifrelemesi yapılmaz.

  • Şifrelemeyi eski DTS ile birlikte kullandığınızda, şifreleme FIPS 140-2 ile uyumlu değildir. DTS için Windows'ta FIPS modu denetlenmiyor. Bu nedenle, uyumlu kalmak için şifreleme seçmemek kullanıcının sorumluluğundadır.

  • ÇOĞU SQL Server 2016 ve sonraki sürüm şifreleme ve karma işlemleri zaten FIPS 140-2 uyumlu olduğundan, tam uyumlulukta yürütmenin (Windows'ta FIPS modu açıkken) uygulamanın kullanımına veya performansına çok az etkisi olur veya hiç etkisi olmaz.

FIPS 140-2 hakkında nereden daha fazla bilgi edinebilirim?

FIPS 140-2 hakkında daha fazla bilgi için bkz . CMVP FIPS 140-2 Standartları ve Belgeleri.

Microsoft, teknik destek bulmanıza yardımcı olmak üzere üçüncü taraf iletişim bilgilerini sağlamaktadır. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft, bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.