Delen via

Instructies voor het gebruik van SQL Server 2014 in de FIPS 140-2-compatibele modus

  • Artikel

In dit artikel worden de instructies voor Federal Information Processing Standard Publication 140-2 (FIPS 140-2) beschreven en wordt beschreven hoe u Microsoft SQL Server 2014 gebruikt in de FIPS 140-2-compatibele modus.

Oorspronkelijke productversie: SQL Server 2014
Oorspronkelijk KB-nummer: 3141890

Notitie

  • De termen 'FIPS 140-2-compliant', 'FIPS 140-2-compliance' en 'FIPS 140-2-compatibele modus' worden hier gedefinieerd voor gebruik en duidelijkheid. Deze voorwaarden worden niet herkend of gedefinieerde overheidstermen. De Verenigde Staten en Canadese regeringen herkennen de validatie van cryptografische modules aan standaarden zoals FIPS 140-2, maar niet het gebruik van cryptografische modules op een opgegeven of conforme manier. In dit artikel gebruiken we 'FIPS 140-2-compliant', 'FIPS 140-2 compliance' en 'FIPS 140-2-compatibele modus' in de zin dat SQL Server 2014 alleen FIPS 140-2 gevalideerde exemplaren van algoritmen en hash-functies gebruikt in alle exemplaren waarin versleutelde of hashgegevens worden geïmporteerd of geëxporteerd uit SQL Server 2014. Bovendien betekent dit dat SQL Server 2014 sleutels op een veilige manier beheert, zoals vereist is voor cryptografische modules die zijn gevalideerd met FIPS 140-2. Het sleutelbeheerproces omvat ook sleutelgeneratie en sleutelopslag.

  • We gebruiken hier 'gecertificeerd' om te betekenen dat het exemplaar van het algoritme FIPS 140-2-gevalideerd is of dat het besturingssysteem FIPS 140-2 gevalideerde exemplaren van algoritmen bevat.

Wat is FIPS?

Federal Information Processing Standard (FIPS) is een standaard die is ontwikkeld door de volgende twee overheidsinstanties:

  • Het National Institute of Standards and Technology (NIST) in de Verenigde Staten
  • De Communications Security Establishment (CSE) in Canada

FIPS-standaarden worden aanbevolen of verplicht voor gebruik in door de overheid beheerde IT-systemen in de Verenigde Staten en Canada.

Wat is FIPS 140-2?

FIPS 140-2 is een instructie met de titel 'Beveiligingsvereisten voor cryptografische modules'. Hiermee geeft u op welke versleutelingsalgoritmen en welke hash-algoritmen kunnen worden gebruikt en hoe versleutelingssleutels moeten worden gegenereerd en beheerd. Sommige hardware, software en processen die de algoritmen bevatten, kunnen worden beschouwd als FIPS 140-2-gecertificeerd. Andere hardware, software en processen die de juiste algoritmen aanroepen, kunnen FIPS 140-2-compatibel zijn.

Wat is het verschil tussen FIPS 140-2-compatibel en FIPS 140-2 gecertificeerd?

SQL Server 2014 kan worden geconfigureerd en uitgevoerd op een manier die compatibel is met FIPS 140-2. Als u SQL Server 2014 op deze manier wilt configureren, moet SQL Server 2014 worden uitgevoerd op een besturingssysteem dat fips 140-2 is gecertificeerd of op een besturingssysteem dat cryptografische modules biedt die zijn gecertificeerd.

Het verschil tussen naleving en certificering is niet subtiel. Algoritmen kunnen worden gecertificeerd. Het is onvoldoende om een algoritme te gebruiken, alleen omdat het wordt vermeld op de goedgekeurde lijsten in FIPS 140-2. In plaats daarvan moet u een exemplaar van een dergelijk algoritme gebruiken dat is gecertificeerd. Dit betekent dat het exemplaar door de overheid is gevalideerd. Certificering vereist testen en verificatie door een Verenigde Staten of een door de Canadese overheid goedgekeurd evaluatielab. Windows Server 2012 en latere versies en ook Windows 8 en latere versies bevatten het gecertificeerde exemplaar van elke toegestane algoritmen. Het belangrijkste is dat een aanroep van elk van deze algoritmen alleen het gecertificeerde exemplaar biedt.

Welke toepassingsproducten kunnen FIPS 140-2-compatibel zijn?

Alle toepassingen die versleuteling of hashing uitvoeren en die worden uitgevoerd op een gecertificeerde versie van Windows, kunnen voldoen aan het beleid door alleen de gecertificeerde exemplaren van de goedgekeurde algoritmen te gebruiken en door te voldoen aan de vereisten voor sleutelgeneratie en sleutelbeheer. U kunt dit op een van de volgende manieren doen:

  • Door de Windows-functie te gebruiken voor het genereren van sleutels en sleutelbeheer
  • Door te voldoen aan de vereisten voor sleutelgeneratie en sleutelbeheer binnen de toepassing

Houd er rekening mee dat een FIPS-compatibele toepassing gebieden kan bevatten waarin niet-compatibele algoritmen of processen zijn ingeschakeld. Sommige interne processen die binnen het systeem blijven en enkele externe gegevens die extra moeten worden versleuteld door een gecertificeerd algoritmeexemplaren, zijn bijvoorbeeld toegestaan.

Voldoet SQL Server 2014 altijd aan FIPS 140-2?

Nee SQL Server 2014 kan FIPS 140-2-compatibel zijn, omdat deze zodanig kan worden geconfigureerd en uitgevoerd dat alleen de FIPS 140-2-gecertificeerde algoritmeexemplaren worden gebruikt die worden aangeroepen met cryptoAPI voor versleuteling of door hashing in elk exemplaar waarin FIPS 140-2-naleving is vereist.

Hoe kan SQL Server 2014 worden geconfigureerd als FIPS 140-2-compatibel?

Besturingssysteemvereiste

Installeer SQL Server 2014 op een server die is gebaseerd op een van de volgende besturingssystemen:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 8.1
  • Windows 10

Windows-systeembeheervereiste

De FIPS-modus moet worden ingesteld voordat SQL Server 2014 wordt gestart. SQL Server leest de instelling bij het opstarten. Voer de volgende stappen uit om de FIPS-modus in te stellen:

  1. Meld u als een Windows-systeembeheerder aan bij Windows.
  2. Klik op Start.
  3. Klik op Configuratiescherm.
  4. Klik op Systeembeheer. (Mogelijk moet u voor de volgende stap overschakelen naarLarge-pictogrammen.)
  5. Klik op Lokaal beveiligingsbeleid. Het venster Lokale beveiligingsinstellingen wordt weergegeven.
  6. Klik in het navigatiedeelvenster opLokaal beleid en klik vervolgens op Beveiligingsopties.
  7. Dubbelklik in het rechterdeelvenster op Systeemcryptografie: FiPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening.
  8. Klik in het dialoogvenster dat wordt weergegeven op Ingeschakeld en klik vervolgens op Toepassen.
  9. Klik op OK.
  10. Sluit het venster Lokale beveiligingsinstellingen.

Sql Server-beheerdersvereiste

Wanneer de SQL Server-service (wanneer een eindpunt is geconfigureerd voor Service Broker of Database Mirroring) detecteert dat de FIPS-modus is ingeschakeld bij het opstarten, registreert SQL Server het volgende bericht in het SQL Server-foutenlogboek:

Service Broker-transport wordt uitgevoerd in de FIPS-nalevingsmodus.

Daarnaast vindt u mogelijk het volgende bericht dat is vastgelegd in het Windows-gebeurtenislogboek:

Het transport voor databasespiegeling wordt uitgevoerd in de FIPS-nalevingsmodus.

U kunt controleren of de server wordt uitgevoerd in de FIPS-modus door naar deze berichten te zoeken.

  • Voor dialoogvensterbeveiliging (tussen services) gebruikt de versleuteling het FIPS-gecertificeerde exemplaar van Advanced Encryption Standard (AES) als de FIPS-modus is ingeschakeld. Als de FIPS-modus is uitgeschakeld, gebruikt de versleuteling RC4.

  • Wanneer u een service broker-eindpunt configureert in de FIPS-modus, moet de beheerder AES opgeven voor de servicebroker. Als het eindpunt is geconfigureerd voor RC4, genereert SQL Server een fout. Daarom wordt de transportlaag niet gestart.

Hoe wordt SQL Server 2014 beheerd in de FIPS 140-2-compatibele modus?

  • Als de FIPS-modus in Windows is ingeschakeld, wordt SQL Server 2014 uitgevoerd in overeenstemming met FIPS 140-2, op alle gebieden waarin de gebruiker geen keuze heeft om te versleutelen of hashen en hoe deze wordt uitgevoerd. (SQL Server 2014 gebruikt CryptoAPI in Windows en gebruikt alleen de gecertificeerde exemplaren van de algoritmen.)

  • Als de FIPS-modus in Windows is ingeschakeld, schakelt u in alle gebieden waar de gebruiker een keuze heeft of versleuteling moet worden gebruikt, in SQL Server 2014 alleen FIPS 140-2-compatibele versleuteling in of schakelt u geen versleuteling in.

  • Belangrijke informatie voor softwareontwikkelaars: in alle gebieden waarin de ontwikkelaar of de gebruiker hun eigen code schrijft voor versleuteling of hashing, moeten ze worden geïnstrueerd om alleen CryptoAPI (en dus alleen de gecertificeerde instanties) te gebruiken en alleen de algoritmen op te geven die zijn toegestaan door FIPS 140-2. Ga voor de officiële lijst met door FIPS 140-2 goedgekeurde cryptografische algoritmen naar bijlagen A, C en D in het cryptografische modulevalidatieprogramma voor de officiële National Institute of Standards and Technology (NIST).

Wat is het effect van het uitvoeren van SQL Server 2014 in de FIPS 140-2-compatibele modus?

  • Het gebruik van sterkere versleuteling kan een klein effect hebben op de prestaties voor die processen waarvoor minder sterke versleuteling is toegestaan wanneer het proces niet werkt als FIPS 140-2-compatibel.

  • De selectie van versleuteling voor SSIS (UseEncryption=True) genereert een foutbericht waarin wordt aangegeven dat de beschikbare versleuteling niet compatibel is met FIPS-naleving en niet is toegestaan. Met andere woorden, er wordt geen versleuteling van het berichtproces uitgevoerd.

  • Het gebruik van versleuteling in combinatie met verouderde DTS voldoet niet aan FIPS 140-2. Voor DTS is de FIPS-modus in Windows niet ingeschakeld. Daarom is het de verantwoordelijkheid van de gebruiker om geen versleuteling te selecteren om compatibel te blijven.

  • Omdat de meeste SQL Server 2014-versleutelings- en hashprocessen al fips 140-2-compatibel zijn, die worden uitgevoerd op volledige naleving (dat wil gezegd, met de FIPS-modus in Windows ingeschakeld) hebben weinig of geen invloed op het gebruik of de prestaties van het product.

Waar vind ik meer informatie over FIPS 140-2?

Zie de volgende NIST-publicatie voor meer informatie over de FIPS 140-2-standaard:

Beveiligingsvereisten voor cryptografische modules

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.