DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 955720 - Geändert am: Donnerstag, 19. März 2009 - Version: 3.0

 

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel beschreibt FIPS (Federal Information Processing Standard) 140-2-Anweisungen und wie Sie Microsoft SQL Server 2008 in FIPS 140-2-konformen Modus verwenden.

Hinweis: Die Begriffe "FIPS 140-2–compliant," "FIPS 140-2-Kompatibilität" und "FIPS 140-2-konformen Modus" Hier werden die für die Verwendung und Klarheit definiert. Diese Begriffe werden nicht erkannt oder gesetzlichen Bestimmungen definiert. Die USA und Kanada Regierungen erkennen die Überprüfung der kryptografischen Modulen mit Standards wie FIPS 140-2 und nicht die Verwendung von in einer angegebenen oder konforme Weise. In diesem Artikel wir “ FIPS 140-2-kompatibel"“ FIPS 140-2-Kompatibilität" definieren und “ FIPS 140-2-konformen Modus eingeben, bedeuten, dass SQL Server 2008 nur FIPS 140-2-überprüft Instanzen von Algorithmen verwendet und importiert oder exportiert auf SQL Server 2008 ist hashing Funktionen in allen Instanzen in der verschlüsselt oder gehashte Daten. Diese Begriffe bedeutet außerdem, dass SQL Server 2008 Schlüssel auf sichere Weise nach Bedarf von FIPS 140-2-überprüft kryptografische Module verwaltet wird. Der Schlüsselverwaltung-Prozess umfasst auch die Schlüsselgenerierung und die Schlüsselspeicherung Funktionalitäten.

Weitere Informationen

Was ist FIPS?

FIPS bedeutet Federal Information Processing Standards. FIPS sind Standards, die von zwei Regierung Nachrichtentext entwickelt werden. Eine ist das National Institute of Standards und Technologie in den USA. Der andere ist der Communications Security Establishment in Kanada. FIPS sind Standards, die empfohlen oder für die Verwendung in (USA oder Kanada) Bundes-Regierung betrieben IT-Systeme verlangt werden.

Was ist FIPS 140-2?

FIPS 140-2 ist eine der "Security Requirements for Cryptographic Modules"-Anweisung Gibt die Verschlüsselungsalgorithmen und welche Hashalgorithmen verwendet werden können und wie Verschlüsselungsschlüssel sind, generiert und verwaltet werden. Einige Hardware, Software und Prozesse können FIPS 140-2 vom ein Labor genehmigten Validierung überprüft werden. Einige davon können auch beschrieben werden als FIPS 140-2-kompatible wie der Begriff in diesem Artikel definiert.

Was ist der Unterschied zwischen einer Anwendung, die "FIPS 140-2-kompatible" ist und eine Anwendung, die "FIPS 140-2-bestätigt" ist?

Sie können SQL Server 2008 als eine FIPS 140-2-kompatible Anwendung konfigurieren. Zu diesem Zweck müssen Sie SQL Server 2008 auf einem Betriebssystem ausführen, der ein FIPS 140-2-bestätigt Kryptografiedienstanbieter verwendet oder enthält ein kryptografische Modul, das validiert wurde. Der Unterschied zwischen Kompatibilität und Validierung ist nicht Subtile. Algorithmen können überprüft werden. Beachten Sie, dass es aus der Liste genehmigter Algorithmen in FIPS 140-2 verwenden nicht ausreichend ist. Sie müssen Instanzen der Algorithmen verwenden, die FIPS 140-2 überprüft wurden. Überprüfung erfordert testen und die Überprüfung durch eine Übungseinheit Auswertung Regierung genehmigt. Windows Server 2008, Windows Server 2003 und Windows XP genehmigten kryptografische Module enthalten, und die Module, einschließlich der Algorithmen, der spezifischen Instanzen wurden Labor getestet und überprüft Regierung.

Welche Anwendungen kann FIPS 140-2-kompatible?

Alle Anwendungen, die Verschlüsselung oder hashing ausführen und auf einer überprüfte Version von Microsoft Windows Cryptographic Service Provider ausgeführt, sind kompatibel, wenn Sie nur die überprüften Instanzen genehmigten Algorithmen verwenden. Diese Anwendungen müssen auch Schlüsselgenerierung und Schlüsselverwaltung Anforderungen entweder mithilfe einer Windows-Key-Funktion oder von Besprechungen die Schlüsselgenerierung und Schlüsselverwaltung Anforderungen in der Anwendung entsprechen. Darüber hinaus sind in einigen Fällen nicht kompatiblen Algorithmen oder Prozesse in einer FIPS 140-2-kompatible Anwendung zulässig. Daten können z. B. durch einen nicht kompatiblen Algorithmus, wenn diese verschlüsselt die Daten bleiben innerhalb der Anwendung, die Daten in diesem Formular nicht exportiert werden, oder wenn die Daten weiter verschlüsselt werden (umgebrochen) mit einem FIPS-konformen Algorithmus verschlüsselt werden.

Bedeutet dies, dass SQL Server 2008 immer FIPS 140-2-konforme ist?

Nein. Es bedeutet, dass SQL Server 2008 im FIPS 140-2-konformen Modus konfiguriert werden können.

Wie können SQL Server 2008 mit einem FIPS 140-2-überprüft kryptografische Modul werden konfiguriert?

Betriebssystemanforderungen

Sie müssen SQL Server 2008 auf einem Windows Server 2008-Computer, einem Vista-Computer, einem Windows Server 2003-Computer oder einem XP-Computer installieren.

Anforderungen für die Verwaltung der Windows-system

Sie müssen die FIPS-Modus aktivieren, bevor Sie SQL Server 2008. Dies liegt daran, dass SQL Server 2008 die FIPS-Einstellung beim Start liest. Gehen Sie folgendermaßen vor um FIPS zu aktivieren.

für Windows Server 2008 und Windows Vista
  1. Verwenden Sie administrative Anmeldeinformationen zum Anmelden am Computer.
  2. Wenn Sie Windows Server 2008 verwenden, klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie gpedit.msc ein und drücken Sie anschließend die [EINGABETASTE]. Der lokale Gruppenrichtlinien-Editor wird geöffnet. Wenn Sie einem Vista-Computer verwenden, klicken Sie auf Start , geben Sie gpedit.msc in das Feld Suche starten ein, und drücken Sie anschließend die [EINGABETASTE].
  3. Doppelklicken Sie in den lokalen Gruppenrichtlinien-Editor auf Windows-Einstellungen unter dem Knoten Computerkonfiguration , und doppelklicken Sie dann auf Sicherheitseinstellungen .
  4. Doppelklicken Sie auf Lokale Richtlinien , und klicken Sie dann auf Sicherheitsoptionen , unter dem Knoten Sicherheitseinstellungen .
  5. Doppelklicken Sie im Detailfenster auf Systemkryptografie: verwenden FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur .
  6. In der Systemkryptografie: verwenden FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur Dialogfeld, klicken Sie auf aktiviert , und klicken Sie dann auf OK , um das Dialogfeld zu schließen.
  7. Schließen Sie den lokalen Gruppe Richtlinien-Editor.
für Windows Server 2003 und Windows XP
  1. Verwenden Sie administrative Anmeldeinformationen zum Anmelden am Computer.
  2. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie gpedit.msc ein und drücken Sie anschließend die [EINGABETASTE].
  3. Doppelklicken Sie im Fenster Gruppenrichtlinien auf Windows-Einstellungen unter dem Knoten Computerkonfiguration , und doppelklicken Sie dann auf Sicherheitseinstellungen .
  4. Doppelklicken Sie auf Lokale Richtlinien , und klicken Sie dann auf Sicherheitsoptionen , unter dem Knoten Sicherheitseinstellungen .
  5. Doppelklicken Sie im Detailfenster auf Systemkryptografie: verwenden FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur .
  6. In der Systemkryptografie: verwenden FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur Dialogfeld, klicken Sie auf aktiviert , und klicken Sie dann auf OK , um das Dialogfeld zu schließen.
  7. Schließen Sie das Fenster Gruppenrichtlinie.

SQL Server 2008 Administrator Notizen

  • Wenn der SQL Server 2008-Dienst erkennt, dass beim Start FIPS-Modus aktiviert ist, protokolliert SQL Server 2008 die folgende Meldung im Fehlerprotokoll von SQL Server:
    Service Broker-Transport wird im FIPS-Kompatibilität-Modus ausgeführt.
    Darüber hinaus wird möglicherweise die folgende Meldung im Anwendungsprotokoll protokolliert.
    Datenbank Mirroring Transport wird im FIPS-Kompatibilität-Modus ausgeführt.
    Überprüfen, ob der Server im FIPS-Modus ausgeführt wird, suchen Sie diese Nachrichten.
  • Dialogfeld Sicherheit zwischen Diensten erhalten Sie wird der Prozess der Verschlüsselung die FIPS-zertifizierten Instanz des der Advanced Encryption Standard (AES) verwenden, wenn der FIPS-Modus aktiviert ist. Wenn der FIPS-Modus deaktiviert ist, wird der Verschlüsselungsprozess RC4 verwendet.
  • Wenn Sie einen Service Broker-Endpunkt im FIPS-Modus konfigurieren, müssen Sie für Service Broker "AES" angeben. Wenn der Endpunkt für RC4 konfiguriert ist, generiert SQL Server einen Fehler. Daher wird die Transportebene nicht gestartet.

Funktioniert SQL Server 2008 wie in FIPS 140-2-konformen Modus?

  • Wenn die FIPS-Modus in Windows aktiviert ist und der Benutzer hat keine Auswahl zu, ob verschlüsselt oder Hashdaten und wie es ausgeführt wird, arbeitet SQL Server 2008 im FIPS 140-2-konformen Modus. SQL Server 2008 wird die CryptoAPI verwenden und nur die überprüften Instanzen der Algorithmen verwenden.
  • Wenn FIPS-Modus eingeschaltet ist und wenn der Benutzer eine Auswahl an, ob Verschlüsselung verwendet hat, SQL Server 2008 eine führt für nur FIPS 140-2-konforme Verschlüsselung zulassen oder lässt nicht für die Verschlüsselung.
  • wichtige Informationen für Entwickler

    Wenn Sie Ihren eigenen Code für die Verschlüsselung oder hashing schreiben, müssen Sie nur die CryptoAPI verwenden. Sie müssen nur die Algorithmen angeben, die durch FIPS 140-2 zugelassen sind. Insbesondere verwenden nur den dreifachen Data Encryption Standard () oder AES für die Verschlüsselung und nur SHA-1 für das hashing. Sie können die folgenden Schlüsselwörter für die jeweiligen FIPS 140-2-bestätigt Algorithmen in SQL Server 2008 verwenden:
    • DESX (3-Key Triple DES)
    • Triple-DES (2-Key triple DES)
    • TRIPLE_DES_3KEY (3-Key triple DES)
    • TRIPLE_DES_2KEY (2-Key triple DES)
    Hinweis: Auswählen der DESX bieten keine DESX-Algorithmus in SQL Server 2005 oder SQL Server 2008. In beiden Fällen bietet die DESX auswählen eine überprüfte Instanz der 3-Key triple DES.
  • wichtige Informationen für Entwickler

    SQL Server 2008 unterstützt ein Enterprise Key Management (EKM) Feature, das die Verwaltung der kryptografischen Schlüssel auf einer separaten Hardware von Drittanbietern-Speichermodul (HSM) ermöglicht. Im FIPS 140-2-konformen Modus betrieben werden und EKM verwenden können, muss eine der folgenden zwei Bedingungen erfüllt sein:
    • Das externe kryptografische Modul muss FIPS 140-2 überprüft.
    • Einige Algorithmen, die vom kryptografischen Module verwendet werden muss FIPS 140-2 überprüft. Verwenden Sie nur die Instanzen des überprüften Algorithmen, wenn FIPS 140-2-basierte Verschlüsselung oder Entschlüsselung für importieren oder Exportieren von Daten zu oder von SQL Server erforderlich ist.
    Darüber hinaus müssen Daten, die verschlüsselt oder entschlüsselt das externe kryptografische Modul in verschlüsselter Form mithilfe einer FIPS 140-2-bestätigt Instanz übergeben werden.

Was ist die Auswirkung der Ausführung von SQL Server 2008 im FIPS 140-2-kompatible Modus?

  • Verwendung von stärkere Verschlüsselung kann eine kleine Auswirkungen auf Leistung für diese Prozesse haben, in dem weniger starker Verschlüsselung zulässig ist, wenn der Prozess nicht als FIPS 140-2-kompatible betrieben wird.
  • Auswahl der Verschlüsselung für SSIS (UseEncryption = True) generiert ein Fehlermeldung, die verfügbare Verschlüsselung inkompatibel mit FIPS-Konformität ist und ist nicht zulässig. Mit anderen Worten, wird keine Verschlüsselung der Nachricht-Prozess ausgeführt.
  • Verwendung der Verschlüsselung zusammen mit älteren (DTS) ist nicht FIPS 140-2-kompatible. Für DTS wird der FIPS-Modus in Windows nicht überprüft. Kompatibel bleiben, müssen Sie die Verschlüsselung nicht auswählen.
  • Verwenden die meisten SQL Server 2008-Verschlüsselung und hashing Prozesse bereits ein FIPS 140-2-überprüft kryptografische Modul. Wenn Sie eine Anwendung im FIPS-140-2-kompatible Modus ausführen Wenn die FIPS-Modus in Windows aktiviert ist, besteht daher nur wenige oder keine Auswirkungen auf die Verwendung oder Leistung der Anwendung.

Wo kann ich mehr über FIPS 140-2 erfahren?

Weitere Informationen zu den FIPS-Standard und zum download der folgenden NIST-Website:
http://csrc.nist.gov/cryptval/140-2.htm (http://csrc.nist.gov/cryptval/140-2.htm)
Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft garantiert nicht die Genauigkeit dieser Kontaktinformationen von Drittanbietern.

Informationsquellen

Weitere Informationen zum SQL Server 2005 im FIPS-140-2-kompatible Modus verwenden finden Sie im folgenden Artikel der Microsoft Knowledge Base:
920995  (http://support.microsoft.com/kb/920995/ ) Anweisungen zur Verwendung SQL Server 2005 Service Pack 1 oder eine höhere Version von SQL Server in den FIPS 140-2-kompatiblen Modus

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Standard
Keywords: 
kbmt sql2008relnoteconfiguration sql2008relnote kbhowto kbexpertiseadvanced kbinfo KB955720 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 955720  (http://support.microsoft.com/kb/955720/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: