Rational DOORS Web Access можно настроить для взаимодействия
с использованием защищенных сокетов в соответствии с руководством по
шифрованию Национальной службы безопасности (NSA) Suite B. Руководство
Suite B повышает надежность существующих стратегий шифрования
FIPS-2 и SP800-131a.
Об этой задаче
Для того чтобы настроить Rational DOORS Web Access для
соответствия Suite B, требуется изменить значения параметров
конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты
которых не отвечают требованиям относительно минимальной длины
криптографического ключа.
Вы должны пользоваться провайдером защиты,
который отвечает FIPS 140-2, и настроить его системные свойства для
работы в режиме Suite B. Эта конфигурация гарантирует, что вы
используете надлежащие протоколы и комплекты шифров. Соответствие
Suite B допускает только протокол TLS версии 1.2. Вы должны обеспечить
соответствие сертификатов, ключей и генератора секретного случайного числа,
если указан, стандарту Suite B.
Важное замечание: Если указана версия TLS 1.2, обратитесь к документации поставщика, чтобы
узнать, поддерживает ли ваш браузер эту версию.
Для настройки Rational DOORS
Web Access для соответствия Suite B выполните следующие действия:
- В файле сценария запуска включите системное свойство, которое задает
режим Suite B.
- Измените конфигурацию сервера Apache Tomcat для принятия только протокола
TLS версии 1.2 и поддерживаемых комплектов шифров.
- Обеспечьте соответствие криптографических ключей требованию к минимальной
криптографической стойкости.
- Убедитесь, что цифровые подписи имеют по крайней мере минимальную требуемую
стойкость.
Система, которая настроена для Suite B с использованием TLS
и с минимальным уровнем защиты 128 разрядов, должна использовать версию TLS 1.2
и либо ECDSA-256, либо ECDSA-384 для клиентской или серверной идентификации.
Для поддержки профиля Suite B предусмотрено следующее системное свойство:
com.ibm.jsse2.suiteB=128|192|false
Параметры этого
системного свойства таковы:
- 128 задает минимальный уровень защиты 128 разрядов.
- 192 задает минимальный уровень защиты 192 разряда.
- false указывает, что система не соответствует
Suite B. Это значение указано по умолчанию.
Когда задается значение
системного свойства
com.ibm.jsse2.suiteB, IBMJSSE2 обеспечивает
соответствие указанному уровню защиты.
IBMJSSE2 проверяет соответствие протокола, ключей и сертификатов запрошенному
профилю.
Дальнейшие действия
Обновите клиентские браузеры для поддержки TLS 1.2.
Убедитесь
в правильности подписания клиентских и серверных сертификатов. Проверьте
ключи в хранилищах ключей.