Fips 140 что это
Федеральный стандарт обработки информации (FIPS) Публикация 140-2
Стандартный обзор FIPS 140-2
Публикация 140-2 Федерального стандарта обработки информации (FIPS) — это стандарт правительства США, определяющий минимальные требования к безопасности криптографических модулей в продуктах информационных технологий, как это определено в разделе 5131 Закона о реформе управления информационными технологиями 1996 года.
Программа проверки криптографического модуля (CMVP), совместная работа Национального института стандартов и технологий США (NIST) и Канадского центра кибербезопасности (CCCS), проверяет криптографические модули на требования к безопасности для стандарта криптографических модулей (например, FIPS 140-2) и связанных стандартов криптографии FIPS. Требования к безопасности FIPS 140-2 охватывают 11 областей, связанных с проектированием и реализацией криптографического модуля. Лаборатория информационных технологий NIST управляет связанной программой, которая проверяет утвержденные FIPS криптографические алгоритмы в модуле.
Подход Корпорации Майкрософт к проверке FIPS 140-2
Корпорация Майкрософт активно поддерживает выполнение 140-2 требований, проверяя криптографические модули с момента создания стандарта в 2001 году. Корпорация Майкрософт проверяет свои криптографические модули в рамках Программы проверки криптографических модулей Национального института стандартов и технологий (NIST). Эти криптографические модули используют несколько продуктов Майкрософт, в том числе многие облачные службы.
Технические сведения о криптографических модулях Microsoft Windows, политике безопасности для каждого модуля и каталоге сведений о сертификате CMVP см. в Windows и Windows Server FIPS 140-2.
Затрагиваемые облачные платформы и службы Майкрософт
Хотя текущее руководство по внедрению CMVP FIPS 140-2 исключает проверку FIPS 140-2 для самой облачной службы; Поставщики облачных служб могут выбрать для получения и эксплуатации проверенных криптографических модулей FIPS 140 для вычислительных элементов, составляющих их облачную службу. В число веб-служб Microsoft, включающих компоненты, которые были проверены fiPS 140-2, относятся, в частности, следующие:
Azure, Dynamics 365 и FIPS 140-2
Дополнительные сведения о соответствии Azure, Dynamics 365 и другим сетевым службам см. в предложении Azure FIPS 140-2.
Office 365 и FIPS 140-2
Облачные среды Office 365
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
Этот раздел посвящен следующим облачным средам Office 365.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Office 365, GCC, GCC, DoD | Проверка FIPS 140-2 |
Вопросы и ответы
В чем разница между ‘FIPS 140 Validated’ и ‘FIPS 140 compliant’?
«FIPS 140 Validated» означает, что криптографический модуль или продукт, который встраивал модуль, был проверен (‘certified’) cmVP как соответствует требованиям FIPS 140-2. «FIPS 140 compliant» является отраслевым термином для ИТ-продуктов, которые используют продукты FIPS 140 Validated для криптографических функций.
Когда корпорация Майкрософт проводит проверку FIPS 140?
Каденция для запуска проверки модуля совпадает с обновлениями функций Windows 10 и Windows Server. По мере развития индустрии программного обеспечения операционные системы выпускаются чаще, с ежемесячными обновлениями программного обеспечения. Корпорация Майкрософт проводит проверку для выпусков функций, но в период между выпусками стремится свести к минимуму изменения в криптографических модулях.
Какие компьютеры включены в проверку FIPS 140?
Корпорация Майкрософт проверяет криптографические модули в представительном примере конфигураций оборудования, Windows 10 и Windows Server. Это распространенная отраслевая практика, чтобы принять эту проверку FIPS 140-2, когда среда использует оборудование, которое похоже на образцы, используемые для процесса проверки.
На веб-сайте NIST перечислены многие модули. Как узнать, какое из них применимо к моему агентству?
Если требуется использовать криптографические модули, проверенные с помощью FIPS 140-2, необходимо убедиться, что используемая версия отображается в списке проверки. CmVP и Microsoft поддерживают список проверенных криптографических модулей, организованных выпуском продукта, а также инструкции по идентификации модулей, установленных в Windows системе. Дополнительные сведения о настройке систем, которые должны быть совместимы, см. в Windows и Windows содержимого Server FIPS 140-2.
Что означает «При операции в режиме FIPS» в сертификате?
Это предостерегает читателя о необходимости соблюдать правила конфигурации и безопасности, чтобы использовать криптографический модуль таким образом, чтобы он соответствовал политике безопасности FIPS 140-2. Каждый модуль имеет собственную политику безопасности — точную спецификацию правил безопасности, в соответствии с которыми он будет работать, и использует утвержденные алгоритмы шифрования, управление ключами криптографии и методы проверки подлинности. Правила безопасности определяются в политике безопасности для каждого модуля. Дополнительные сведения, в том числе ссылки на политику безопасности для каждого модуля, проверенного с помощью CMVP, см. в Windows и Windows-сервере FIPS 140-2.
Требуется ли проверке FIPS 140-2 fedRAMP?
Да, Федеральная программа управления рисками и авторизацией (FedRAMP) опирается на базовые уровни управления, определенные NIST SP 800-53 Revision 4,включая шифрование SC-13, определяющее использование криптографии с проверкой FIPS или криптографии, утвержденной NSA.
Можно ли использовать присоединение Корпорации Майкрософт к FIPS 140-2 в процессе сертификации моего агентства?
Чтобы соответствовать ТРЕБОВАНИЯМ FIPS 140-2, необходимо настроить систему для работы в утвержденном режиме работы FIPS, который включает в себя обеспечение того, чтобы криптографический модуль использовал только утвержденные FIPS алгоритмы. Дополнительные сведения о настройке систем, которые должны быть совместимы, см. в Windows и Windows содержимого Server FIPS 140-2.
Какова связь между FIPS 140-2 и общими критериями?
Это два отдельных стандарта безопасности с разными, но взаимодополняющими целями. FIPS 140-2 предназначен специально для проверки программных и аппаратных криптографических модулей, а общие критерии предназначены для оценки функций безопасности в ИТ-программах и аппаратных продуктах. При оценке общих критериев часто используются проверки FIPS 140-2 для обеспечения правильной реализации базовых функций криптографии.
Стандарт FIPS 140-2 и жесткие диски с самошифрованием
Вопросы и ответы
Что такое FIPS 140-2?
FIPS (федеральный стандарт по обработке информации) 140-2 — это государственный стандарт США, описывающий требования к шифрованию и связанных с ним мерам безопасности в ИТ-продуктах, которые используются для обработки конфиденциальной информации, не имеющей грифа секретности.
Какие требования определяет стандарт FIPS 140-2?
Стандарт определяет использование в продуктах надежных методик безопасности, включая утвержденные алгоритмы и методы стойкого шифрования. Кроме того, стандарт описывает работу пользователей и процессов для использования продуктов, а также правила проектирования модулей и компонентов для безопасного взаимодействия с другими системами.
Почему шифрование необходимо?
Жесткие диски постоянно выводятся из эксплуатации (возвращаются по гарантии, на ремонт или по истечении аренды, устанавливаются для использования в другие системы или продаются), они могут быть утеряны или украдены. Если незащищенные данные выходят из-под контроля владельца и попадают в чужие руки, компания может потерять прибыль, лишиться своего положения на рынке и утратить доверие клиентов. Компания также может подвергнуться судебному преследованию за нарушение законов о защите конфиденциальности данных. Это может повлечь крайне тяжелые последствия для любой организации, особенно для предприятий малого и среднего бизнеса.
Ведущие отраслевые исследовательские организации, такие как институт Ponemon, считают, что ущерб от утечки данных возрастает с каждым годом. Величина такого ущерба в 2008 году составляла в среднем 6,6 миллионов долларов, или 202 доллара на каждую единицу информации, вышедшей из-под контроля. 1
По данным института Ponemon, на 81 % ноутбуков хранятся конфиденциальные данные, а 10 % всех ноутбуков бывают утеряны или украдены за время своего использования. Кроме того, только в аэропортах США количество утерянных или украденных ноутбуков достигает 12 тыс. еженедельно. Средний ущерб для бизнеса при пропаже ноутбука, содержащего конфиденциальные, но незашифрованные данные, достигает 50 тыc. долларов. В исключительных случаях размер ущерба может достигать 1 миллиона долларов. 2
Какие уровни предусмотрены стандартом FIPS 140-2?
Стандарт FIPS 140-2 определяет 4 уровня безопасности. В ходе проверки соответствия стандарту FIPS 140-2 указывается уровень безопасности, которому соответствует продукт.
Какой уровень стандарта FIPS 140-2 использует компания Seagate?
Жесткие диски Seagate ® с самошифрованием сертифицированы на соответствие стандарту FIPS 140-2 уровня 2.
Зачем компания Seagate прошла сертификацию по стандарту FIPS 140-2 уровня 2?
Организациям всех видов все чаще требуется шифрование хранящихся данных для защиты от утери или кражи. Сертификация по стандарту FIPS 140-2 уровня 2 подтверждает высокое качество и безопасность продуктов, гарантирует всем покупателям, что жесткие диски Seagate с самошифрованием по стандарту FIPS соответствуют федеральным требованиям США для продуктов в области безопасности.
На какие типы продуктов распространяется стандарт FIPS 140-2?
Стандарт FIPS 140-2 применяется ко всем продуктам, выполняющим хранение или передачу конфиденциальных данных. В частности, стандарт касается оборудования, например, модулей шифрования, жестких дисков, флэш-накопителей и других съемных носителей информации. Также стандарт распространяется на программные продукты, шифрующие данные во время их передачи или хранения.
Действительно ли нужен такой уровень безопасности? Разве пароля операционной системы недостаточно?
Меры безопасности операционной системы, такие как ввод пароля, можно легко обойти: для этого достаточно извлечь жесткий диск из компьютера и подключить его к другому компьютеру. Даже хранение паролей жестких дисков с интерфейсом ATA в BIOS компьютера являются уязвимым, если использовать его с обычными жесткими дисками, а не с жесткими дисками Seagate c самошифрованием. Шифрование данных на жестких дисках или других носителях информации является надежным способом защиты данных.
Какие организации или компании требуют соответствия стандарту FIPS 140-2?
В США, согласно требованию Национального института стандартов и технологий (NIST), все федеральные учреждения должны использовать продукты, сертифицированные по стандарту FIPS 140-2 уровня 2 для защиты данных класса Sensitive but Unclassifed (конфиденциальные, но не секретные), в компьютерных системах и системах связи (включая системы голосовой связи). 3 В Канаде, согласно требованию Управления защиты связи (CSE), федеральные учреждения должны использовать модули шифрования, сертифицированные по стандарту FIPS 140-2 уровня 2, для защиты данных класса Protected Information (защищенные) (типа A или B), в компьютерных системах и системах связи (включая системы голосовой связи). Соответствие стандарту FIPS 140 необходимо для того, чтобы продукт с шифрованием был указан в списке продуктов, отвечающих требованиям по ИТ-безопасности правительства Канады. 3 В Великобритании Группа по безопасности связи и электронного оборудования (Communications-Electronics Security Group) рекомендует использовать модули шифрования, cертифицированные по стандарту FIPS 140. 4
Компании во всем мире, работающие по контракту с федеральными государственными организациями США, Канады и Великобритании, в которых требуется шифрование по стандарту FIPS 140-2, также обязаны соблюдать требования этого стандарта. Коммерческие компании, особенно в области финансов, здравоохранения, образования и инфраструктуры (национальной безопасности) во всем мире все чаще требуют соблюдения стандарта FIPS 140-2. Таким компаниям необходимы самые надежные стандарты защиты данных. Компании признают надежность сертификации по стандарту FIPS 140-2, используют его для шифрования своих данных и выбирают в качестве основного стандарта безопасности.
Что такое проверка на соответствие стандарту FIPS 140-2?
Проверка на соответствие стандарту FIPS 140-2 — это программа тестирования и сертификации, удостоверяющая соответствие продуктов требованиям стандарта FIPS 140-2. Национальный институт стандартов и технологий (NIST) утвердил программу проверки модулей шифрования (CMVP) для проверки продуктов на соответствие требованиям стандарта.
Что необходимо для получения сертификата FIPS 140-2?
Для получения сертификата FIPS 140-2 продукт должен соответствовать установленным стандартам по конструкции и изготовлению и должен быть проверен и утвержден одной из 13 независимых лабораторий, аккредитованных Национальным институтом стандартов и технологий (NIST).
Какой из стандартов FIPS 140 действует в настоящее время?
Публикации FIPS серии 140 представляют собой набор стандартов безопасности, касающихся требований к модулям шифрования. Стандарт FIPS 140-1 был выпущен в 1994 году, но ему на смену пришел стандарт FIPS 140-2, который был выпущен в 2001 году и используется в настоящее время. FIPS 140-3 — это новая версия стандарта, ее разработка началась в 2005 году. Черновик этого стандарта был выпущен в декабре 2009 года, но, по всей видимости, этот стандарт заменит FIPS 140-2 не ранее, чем через год.
Существует ли список продуктов, проверенных на соответствие стандарту FIPS 140-2?
Почему стандарт FIPS 140-2 важен для торговых партнеров компании Seagate?
Торговые партнеры компании Seagate могут использовать сертификацию по стандарту FIPS 140-2 в качестве эффективного маркетингового средства для демонстрации качества и важных функций безопасности, отсутствующих в других продуктах. Это важный отличительный фактор для современных потребителей, заинтересованных в соблюдении мер безопасности.
1 Институт Ponemon, 2008 Annual Study: U.S. Cost of a Data Breach, февраль 2009 г., www.ponemon.org, приводится по тексту в статье Data-breach costs rising, study finds, Эллен Месмер (Ellen Messmer), Network World, 2 февраля 2009 г.
2 Исследование компании Intel: Stolen Laptops Cost to Business; журнал eWeek, 23 апреля 2009 г.; исследование института Ponemon, апрель 2009 г.
По состоянию на октябрь 2020 года FIPS 140-2 и FIPS 140-3 принимаются как текущие и активные. FIPS 140-3 был утвержден 22 марта 2019 г. в качестве преемника FIPS 140-2 и вступил в силу 22 сентября 2019 г. Тестирование FIPS 140-3 началось 22 сентября 2020 г., хотя сертификатов проверки FIPS 140-3 не было. выдано еще. Тестирование FIPS 140-2 по-прежнему доступно до 21 сентября 2021 года (позже оно было изменено для приложений, которые уже обрабатываются до 1 апреля 2022 года), что создает перекрывающийся переходный период в один год. Отчеты об испытаниях FIPS 140-2, которые остаются в очереди CMVP, по-прежнему будут получать проверки после этой даты, но все проверки FIPS 140-2 будут перемещены в Исторический список 21 сентября 2026 года, независимо от их фактической даты окончательной проверки.
СОДЕРЖАНИЕ
Назначение FIPS 140
Пользовательские агентства, желающие внедрить криптографические модули, должны подтвердить, что на модуль, который они используют, распространяется существующий сертификат проверки. Сертификаты проверки FIPS 140-1 и FIPS 140-2 указывают точное имя модуля, оборудование, программное обеспечение, микропрограммное обеспечение и / или номера версий апплета. Для Уровней 2 и выше также указана операционная платформа, к которой применима проверка. Поставщики не всегда поддерживают свои базовые проверки.
Программа проверки криптографических модулей (CMVP) осуществляется совместно Национальным институтом стандартов и технологий (NIST) правительства США и Управлением безопасности связи (CSE) правительства Канады. Правительство США требует использования проверенных криптографических модулей для всех несекретных видов использования криптографии. Правительство Канады также рекомендует использовать проверенные FIPS 140 криптографические модули в несекретных приложениях своих ведомств.
Уровни безопасности
FIPS 140-2 определяет четыре уровня безопасности, называемых просто от «Уровень 1» до «Уровень 4». В нем не указывается подробно, какой уровень безопасности требуется для того или иного конкретного приложения.
В дополнение к указанным уровням в разделе 4.1.1 спецификации описаны дополнительные атаки, которые могут потребовать смягчения, такие как дифференциальный анализ мощности. Если продукт содержит меры противодействия этим атакам, они должны быть задокументированы и протестированы, но для достижения заданного уровня защиты не требуется. Таким образом, критика FIPS 140-2 заключается в том, что стандарт дает ложное ощущение безопасности на Уровнях 2 и выше, поскольку стандарт подразумевает, что модули будут иметь защиту от несанкционированного доступа и / или защищены от несанкционированного доступа, но при этом для модулей разрешено иметь побочный канал. уязвимости, позволяющие легко извлечь ключи.
Объем требований
FIPS 140 предъявляет требования в одиннадцати различных областях:
Краткая история
FIPS 140-1, выпущенный 11 января 1994 года, был разработан правительственной и отраслевой рабочей группой, состоящей из поставщиков и пользователей криптографического оборудования. Группа определила четыре «уровня безопасности» и одиннадцать «областей требований», перечисленных выше, и определила требования для каждой области на каждом уровне.
Критика
Эта критика была недавно опровергнута некоторыми отраслевыми экспертами, которые вместо этого возложили ответственность на поставщика за сужение границ своей валидации. Поскольку большая часть усилий по повторной проверке вызвана ошибками и исправлениями безопасности, выходящими за рамки основных криптографических операций, правильно подобранная проверка не подлежит общей повторной проверке, как описано.
Федеральный стандарт США FIPS 140-2 «Требования безопасности для криптографических модулей»
Основные понятия и идеи стандарта FIPS 140-2
Согласно стандарту, перед криптографическим модулем ставятся следующие высокоуровневые функциональные цели безопасности :
Модель в виде конечного автомата должна описывать деление на обязательные и дополнительные состояния.
Меры физической самозащиты модуля включают замки, защитные кожухи, сохраняющие свидетельства вторжений пломбы, средства оперативного выявления и реагирования на попытки вторжений, меры по противодействию атакам, основанным на использовании нештатных внешних условий.
На требованиях электромагнитной совместимости мы останавливаться не будем.
На втором уровне требуются:
К третьему уровню предъявляются следующие дополнительные требования:
Четвертый уровень самый сильный. Его требования предусматривают полный спектр мер физической защиты, включая меры по противодействию атакам, берущим на вооружение нештатные внешние условия (электрические или температурные). Операционная система должна соответствовать оценочному уровню доверия не ниже четвертого.
Далее будут детально рассмотрены наиболее содержательные группы требований. Здесь же обратим внимание на параллель с профилем защиты для смарт-карт, общность целого ряда целей, предположений и требований безопасности для криптографических модулей и смарт-карт (что, разумеется, вполне естественно). На наш взгляд, сравнительный анализ этого профиля и стандарта FIPS 140-2 позволяет в полной мере оценить достоинства «Общих критериев» и ассоциированных спецификаций, высокую степень их полноты и систематичности. Конечно, » Общие критерии » можно критиковать, их нужно развивать и совершенствовать, но перевод стандарта FIPS 140-2 на рельсы «Общих критериев», несомненно, повысил бы его качество.
Инструкции по использованию SQL Server 2008 г. в режиме FIPS 140-2-compliant
В этой статье описывается FIPS 140-2 и использование SQL Server 2008 года в режиме FIPS 140-2-compliant.
Оригинальная версия продукта: SQL Server
Исходный номер КБ: 955720
Общие сведения
В этой статье обсуждаются инструкции федерального стандарта обработки информации (FIPS) 140-2 и инструкции по использованию Microsoft SQL Server 2008 г. в режиме FIPS 140-2-compliant.
Здесь для использования и ясности определяются термины «соответствие ТРЕБОВАНИЯМ FIPS 140-2», «соответствие ТРЕБОВАНИЯМ FIPS 140-2» и «режим СООТВЕТСТВИЯ FIPS 140-2″. Эти термины не признаются или не определяются государственными терминами. Правительства США и Канады признают проверку криптографических модулей в соответствии со стандартами, например FIPS 140-2, а не их использование указанным или соответствующим образом. В этой статье мы определяем»FIPS 140-2-compliant», «СООТВЕТСТВИЕ FIPS 140-2» и «РЕЖИМ СООТВЕТСТВИЯ FIPS 140-2», чтобы означать, что SQL Server 2008 использует только экземпляры алгоритмов и функций хаширования с проверкой FIPS 140-2 во всех экземплярах, в которых зашифрованные или хашируемые данные импортируются или экспортируются в SQL Server 2008 г. Кроме того, эти термины означают, что SQL Server 2008 г. будет управлять ключами безопасно, как это необходимо для криптографических модулей FIPS 140-2.2. Процесс управления ключами также включает в себя функции генерации ключей и хранения ключей.
Что такое FIPS
FIPS — это федеральные стандарты обработки информации. FIPS — это стандарты, разработанные двумя государственными органами. Одним из них является Национальный институт стандартов и технологий в США. Другой — это Учреждение безопасности связи в Канаде. FIPS — это стандарты, которые рекомендуются или предписываются для использования в федеральных (или канадских) государственных ИТ-системах.
Что такое FIPS 140-2
FIPS 140-2 — это утверждение «Требования безопасности для криптографических модулей». В нем указывается, какие алгоритмы шифрования и какие алгоритмы хаширования можно использовать и как должны быть созданы и управляются ключи шифрования. Некоторые аппаратные, программные и процессы могут быть проверены в утвержденной лаборатории проверки FIPS 140-2. Некоторые из них также можно описать как FIPS 140-2-compliant, так как термин определен в этой статье.
В чем разница между приложением, которое является «FIPS 140-2-compliant» и приложением, которое является «FIPS 140-2-validated»
Вы можете настроить SQL Server 2008 г. для запуска в качестве приложения с соответствием требованиям FIPS 140-2. Для этого необходимо запустить SQL Server 2008 г. в операционной системе, использующей проверенный поставщик криптографических служб FIPS 140-2 или который предоставляет проверенный криптографический модуль. Разница между соответствием требованиям и проверкой не является тонкой. Алгоритмы можно проверить. Пойми, что недостаточно использовать алгоритмы из утвержденных списков в FIPS 140-2. Необходимо использовать экземпляры алгоритмов, которые были проверены FIPS 140-2. Проверка требует тестирования и проверки в утвержденной правительством лаборатории оценки. Windows Server 2008, Windows Server 2003 и Windows XP содержат утвержденные криптографические модули, а модули, включая конкретные экземпляры алгоритмов, были протестированы и проверены правительством.
Какие приложения могут быть совместимыми с FIPS 140-2
Все приложения, которые выполняют шифрование или хашинг и работают в проверенной версии поставщика Windows криптографических служб, могут быть совместимы, если они используют только проверенные экземпляры утвержденных алгоритмов. Эти приложения также должны соответствовать требованиям к генерации ключей и ключевым требованиям к управлению, используя функцию Windows или отвечая требованиям к генерации ключей и ключевым требованиям к управлению в приложении. Кроме того, в некоторых случаях в приложении FIPS 140-2-compliant допускаются некомплиентные алгоритмы или процессы. Например, данные могут быть зашифрованы с помощью некомплиентного алгоритма, если в этой зашифрованной форме данные остаются в приложении, то есть данные не экспортируются в этой форме или если данные еще больше шифруются (завернуты) с помощью алгоритма, совместимого с FIPS.
Означает ли это, что SQL Server 2008 всегда соответствует требованиям FIPS 140-2
Нет. Это означает, SQL Server 2008 можно настроить для работы в режиме FIPS 140-2-compliant.
Как настроить SQL Server 2008 г. для использования криптографического модуля FIPS 140-2 с проверкой
Требования к операционной системе
Необходимо установить SQL Server 2008 г. на компьютере на Windows Server 2008, компьютере на основе Windows Vista, компьютере Windows Server 2003 или компьютере Windows XP.
Windows системного администрирования
Необходимо включить режим FIPS перед началом SQL Server 2008 года. Это потому, SQL Server 2008 г. читает параметр FIPS при запуске. Чтобы включить FIPS, выполните следующие действия.
Для Windows Server 2008 и Windows Vista
Для Windows Server 2003 и Windows XP
SQL Server 2008 г. заметки администратора
Когда служба SQL Server 2008 года обнаруживает, что режим FIPS включен при запуске, SQL Server 2008 г. в журнале ошибок SQL Server:
Транспорт Service Broker запущен в режиме соответствия требованиям FIPS
Кроме того, следующее сообщение может быть в журнале приложения:
Транспорт зеркального зеркального управления базой данных запущен в режиме соответствия требованиям FIPS
Чтобы убедиться, что сервер работает в режиме FIPS, найдите эти сообщения.
Чтобы получить диалоговую безопасность между службами, процесс шифрования будет использовать экземпляр стандарта предварительного шифрования (AES) с сертификатом FIPS, если включен режим FIPS. Если режим FIPS отключен, в процессе шифрования используется RC4.
При настройке конечной точки service Broker в режиме FIPS необходимо указать AES для брокера-службы. Если конечная точка настроена на RC4, SQL Server создает ошибку. Поэтому транспортный слой не начинается.
Как SQL Server 2008 г. в режиме FIPS 140-2-compliant
Если режим FIPS в Windows включен и у пользователя нет выбора, следует ли шифровать или использовать данные с хашом и как это будет сделано, SQL Server 2008 работает в режиме FIPS 140-2-compliant. SQL Server 2008 будет использовать CryptoAPI и будет использовать только проверенные экземпляры алгоритмов.
Если включен режим FIPS и у пользователя есть выбор, следует ли использовать шифрование, SQL Server 2008 г. либо будет позволять только шифрование fiPS 140-2-совместимым, либо оно не позволяет шифрование.
Важная информация для разработчиков
Если вы пишете собственный код для шифрования или хашинга, необходимо использовать только CryptoAPI. Необходимо указать только алгоритмы, разрешенные FIPS 140-2. В частности, для шифрования используйте только тройной стандарт шифрования данных (3DES) или AES, а для хашинга — только SHA-1. Вы можете использовать следующие ключевые слова в SQL Server 2008 г. для соответствующих алгоритмов FIPS 140-2-validated:
Выбор DESX не предоставляет алгоритм DESX в SQL Server 2005 или SQL Server 2008. В обоих случаях выбор DESX предоставляет проверенный экземпляр трех ключей three-key triple DES.
Важная информация для разработчиков
SQL Server 2008 г. поддерживает функцию управления ключами Enterprise (EKM), которая позволяет управление криптографическими ключами на отдельном модуле хранения оборудования стороннего оборудования (HSM). Чтобы работать в режиме FIPS 140-2-compliant и использовать EKM, одно из следующих двух условий должно быть верным:
Кроме того, данные, которые будут зашифрованы или расшифрованы внешним криптографическим модулем, должны передаваться в зашифрованной форме с помощью экземпляра FIPS 140-2-validated.
Каков эффект запуска SQL Server 2008 в режиме FIPS 140-2-compliant
Использование более мощного шифрования может иметь небольшое влияние на производительность для тех процессов, где допускается менее сильное шифрование, если процесс не работает в соответствии с FIPS 140-2-compliant.
Выбор шифрования для SSIS (UseEncryption=True) создает сообщение об ошибке, что доступное шифрование несовместимо с соответствием ТРЕБОВАНИЯМ FIPS и не допускается. Другими словами, шифрование процесса сообщения не выполняется.
Использование шифрования вместе с устаревшими службами преобразования данных (DTS) не соответствует требованиям FIPS 140-2. Для DTS режим FIPS в Windows не проверяется. Чтобы оставаться совместимым, не следует выбирать шифрование.
В SQL Server 2008 г. процессы шифрования и хашинга уже используют зашифрованный модуль FIPS 140-2. Поэтому при запуске приложения в режиме FIPS 140-2, когда режим FIPS включен в Windows, это практически не влияет на использование или производительность приложения.
Отказ от сторонних сторон
Заявление об отказе от ответственности за сведения о продуктах сторонних производителей
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.