Настройка соответствия шифрования NSA Suite B в Rational DOORS Web Access

Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с руководством по шифрованию Национальной службы безопасности (NSA) Suite B. Руководство Suite B повышает надежность существующих стратегий шифрования FIPS-2 и SP800-131a.

Прежде чем начать

Настройте посредник Rational DOORS Web Access, который является адаптацией Apache ActiveMQ. Смотрите Предварительные требования к установке Rational DOORS Web Access.

Об этой задаче

Для того чтобы настроить Rational DOORS Web Access для соответствия Suite B, требуется изменить значения параметров конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты которых не отвечают требованиям относительно минимальной длины криптографического ключа.

Вы должны пользоваться провайдером защиты, который отвечает FIPS 140-2, и настроить его системные свойства для работы в режиме Suite B. Эта конфигурация гарантирует, что вы используете надлежащие протоколы и комплекты шифров. Соответствие Suite B допускает только протокол TLS версии 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту Suite B.

Важное замечание: Если указана версия TLS 1.2, обратитесь к документации поставщика, чтобы узнать, поддерживает ли ваш браузер эту версию.
Для настройки Rational DOORS Web Access для соответствия Suite B выполните следующие действия:
  • В файле сценария запуска включите системное свойство, которое задает режим Suite B.
  • Измените конфигурацию сервера Apache Tomcat для принятия только протокола TLS версии 1.2 и поддерживаемых комплектов шифров.
  • Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической стойкости.
  • Убедитесь, что цифровые подписи имеют по крайней мере минимальную требуемую стойкость.
Система, которая настроена для Suite B с использованием TLS и с минимальным уровнем защиты 128 разрядов, должна использовать версию TLS 1.2 и либо ECDSA-256, либо ECDSA-384 для клиентской или серверной идентификации. Для поддержки профиля Suite B предусмотрено следующее системное свойство:
com.ibm.jsse2.suiteB=128|192|false
Параметры этого системного свойства таковы:
  • 128 задает минимальный уровень защиты 128 разрядов.
  • 192 задает минимальный уровень защиты 192 разряда.
  • false указывает, что система не соответствует Suite B. Это значение указано по умолчанию.
Когда задается значение системного свойства com.ibm.jsse2.suiteB, IBMJSSE2 обеспечивает соответствие указанному уровню защиты. IBMJSSE2 проверяет соответствие протокола, ключей и сертификатов запрошенному профилю.

Процедура

  1. Откройте файл сценария запуска Apache Tomcat в редакторе.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки Rational DOORS Web Access. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. В нижней части файла после записи Dcom.ibm.jsse2.usefipsprovider добавьте запись set JAVA_OPTS для Dcom.ibm.jsse2.suiteB. Затем убедитесь, что записи выглядят так:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Важное замечание: Если в файле указано свойство Dcom.ibm.jsse2.sp800-131, то удалите это свойство.
    • В UNIX файл сценария server.start.sh расположен в каталоге установки Rational DOORS Web Access. Добавьте запись JAVA_OPTS для Dcom.ibm.jsse2.suiteB после записи JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Эти записи должны иметь следующий вид:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      Важное замечание: Если в файле указано свойство Dcom.ibm.jsse2.sp800-131, то удалите это свойство.
  2. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл расположен в каталоге установки Rational DOORS Web Access в подкаталоге server/conf. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. Присвойте параметру sslProtocol значение версии TLS 1.2. Пример:
    sslProtocol="TLSv1.2"
  4. Укажите комплекты шрифтов, совместимые со Suite B. Пример:
    ciphers=”SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256”
    Убедитесь, что SSL настроен для использования только того комплекта шифров, который утвержден для соответствия Suite B.

Дальнейшие действия

Обновите клиентские браузеры для поддержки TLS 1.2.

Убедитесь в правильности подписания клиентских и серверных сертификатов. Проверьте ключи в хранилищах ключей.


Комментарии