Konformität mit NIST SP800-131a in Rational DOORS Web Access konfigurieren

Sie können Rational DOORS Web Access so konfigurieren, dass die Kommunikation über sichere Sockets unter Einhaltung des Standards NIST Special Publications 800-131a (SP800-13a) erfolgt. Dieser Standard gibt Algorithmen zur Erhöhung der Sicherheit sowie die Mindestverschlüsselungsstärken an, die für die Algorithmen erforderlich sind.

Vorbereitende Schritte

Konfigurieren Sie Rational DOORS Web Access zur Einhaltung von FIPS 140-2.

Informationen zu diesem Vorgang

Um Rational DOORS Web Access für die Einhaltung von SP800-131a zu konfigurieren, müssen Sie die Apache Tomcat-Serverkonfigurationswerte so ändern, dass Anforderungen mit Zertifikaten zurückgewiesen werden, die nicht den erforderlichen Mindestverschlüsselungsstärken entsprechen. Sie müssen einen Sicherheitsprovider verwenden, der mit FIPS 140-2 konform ist, und die zugehörigen Systemeigenschaften so konfigurieren, dass die Ausführung im SP 800-131a-Modus erfolgt. Diese Konfiguration stellt sicher, dass Sie das richtige Protokoll und die richtigen Cipher-Suites verwenden.

Für eine strikte Einhaltung werden auch die Schlüsselstärke und die Signaturalgorithmen geprüft. Eine strikte Einhaltung ist nur mit dem TLS-Protokoll Version 1.2 möglich. Sie müssen sicherstellen, dass sowohl die Zertifikate, als auch die Schlüssel und der Zufallszahlengenerator (falls angegeben) mit SP 800-131a konform sind.

Wichtig: Wenn Sie TLS Version 1.2 angeben, müssen Sie anhand der Dokumentation des Anbieters ermitteln, ob Ihr Browser diese Version unterstützt.
Gehen Sie wie folgt vor, um Rational DOORS Web Access zur Einhaltung von NIST SP800-131a zu konfigurieren:
  • Legen Sie die Systemeigenschaft fest, die den SP800-131a-Modus angibt.
  • Ändern Sie die Apache Tomcat-Serverkonfiguration, sodass nur bestimmte Protokolle und Cipher-Suites akzeptiert werden.
  • Stellen Sie sicher, dass die Verschlüsselungsschlüssel über eine Mindestschlüsselstärke von 112 Bit verfügen.
  • Stellen Sie sicher, dass digitale Signaturen mindestens über SHA2-Verschlüsselung verfügen.

Vorgehensweise

  1. Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
    • Auf Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access. Beispiel: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Fügen Sie in der Nähe des Dateiendes nach dem Eintrag für Dcom.ibm.jsse2.usefipsprovider den Eintrag set JAVA_OPTS für Dcom.ibm.jsse2.sp800-131 hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie folgt aussehen:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Auf UNIX-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Fügen Sie den Eintrag JAVA_OPTS für Dcom.ibm.jsse2.sp800-131 nach dem Eintrag JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie unten angegeben aussehen. Dabei kann com.ibm.jsse2.sp800-131 auf 'transition' oder 'strict' eingestellt werden:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    Für eine strikte Einhaltung werden auch die Schlüsselstärke und die Signaturalgorithmen geprüft. Eine strikte Einhaltung ist nur mit dem TLS-Protokoll Version 1.2 möglich. Sie müssen sicherstellen, dass sowohl die Zertifikate, als auch die Schlüssel und der Zufallszahlengenerator (falls angegeben) mit SP 800-131a konform sind.

    'transition' steht für den von SP 800-131a definierten Übergangszeitraum, der heute beginnt und bis Ende 2013 reicht. Der Übergangszeitraum ist eine Karenzzeit, in der Sie ein Upgrade auf die neuen Mindestverschlüsselungsanforderungen durchführen können.

  2. Speichern und schließen Sie die Datei.
  3. Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf. Beispiel: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. Legen Sie den sslProtocol-Wert auf die mindestens erforderliche TLS-Version fest. Diese basiert auf dem Wert, der durch den Systemeigenschaftswert com.ibm.jsse2.sp800-131 bestimmt wird. Beispiel:
    sslProtocol="TLSv1.2"
  5. Legen Sie für die Cipher-Suites SP800-131a-konforme Verschlüsselungen fest. Beispiel:
    ciphers=”SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256”
    Stellen Sie sicher, dass Secure Sockets Layer (SSL) so konfiguriert wurde, dass nur eine für SP800-131a genehmigte Cipher-Suite verwendet werden kann. Eine Liste unterstützter Cipher-Suites finden Sie unter "IBM JSSE2 Cipher Suites" in den unten angegebenen Links mit zugehörigen Informationen.

Nächste Schritte

Geben Sie einen Client-Browser an, der die mindestens erforderliche TLS-Version unterstützt. Die mindestens erforderliche TLS-Version wird durch den in der Eigenschaft server.xml sslProtocol angegebenen Wert bestimmt.

Stellen Sie sicher, dass die Client- und Serverzertifikate - einschließlich Stamm- und Zwischenzertifikate - eine Mindestschlüssellänge von 112 Bit haben und richtig signiert sind (entsprechend der hier beschriebenen Prozedur). Überprüfen Sie die Schlüssel in Keystores und die vertrauenswürdigen Zertifikate in Truststores.

Weitere Informationen finden Sie in der Technote Configuring the Rational DOORS database server and client for compliance with NIST SP800-131a.


Feedback