Настройка соответствия NIST SP800-131a в Rational DOORS Web Access

Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии со специальными публикациями NIST 800-131a (SP800-13a). В этом стандарте указаны алгоритмы, которые следует использовать для укрепления защиты, и минимальные длины криптографических ключей, которых требуют алгоритмы.

Прежде чем начать

Настройка Rational DOORS Web Access для соответствия FIPS 140-2.

Об этой задаче

Для того чтобы настроить Rational DOORS Web Access для соответствия SP800-131a, требуется изменить значения параметров конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты которых не отвечают требованиям относительно минимальной длины криптографического ключа. Вы должны пользоваться провайдером защиты, который отвечает FIPS 140-2, и настроить его системные свойства для работы в режиме SP 800-131a. Эта конфигурация гарантирует, что вы используете надлежащие протоколы и комплекты шифров.

Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS версии 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131a.

Важное замечание: Если указана версия TLS 1.2, обратитесь к документации поставщика, чтобы узнать, поддерживает ли ваш браузер эту версию.
Для настройки Rational DOORS Web Access для соответствия NIST SP800-131a выполните следующие действия:
  • Включите системное свойство, задающее режим SP800-131a.
  • Измените конфигурацию сервера Apache Tomcat для принятия только определенных протоколов и комплектов шифров.
  • Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической стойкости (112 бит).
  • Используйте цифровые подписи, использующие по крайней мере алгоритм SHA2.

Процедура

  1. Откройте файл сценария запуска Apache Tomcat в редакторе.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки Rational DOORS Web Access. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. В нижней части файла после записи Dcom.ibm.jsse2.usefipsprovider добавьте запись set JAVA_OPTS для Dcom.ibm.jsse2.sp800-131. Затем убедитесь, что записи выглядят так:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • В системах UNIX файл сценария server.start.sh расположен в каталоге установки Rational DOORS Web Access. Добавьте запись JAVA_OPTS для Dcom.ibm.jsse2.sp800-131 после записи JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Затем убедитесь, что записи выглядят следующим образом, где com.ibm.jsse2.sp800-131 может иметь либо значение transition, либо значение strict:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS версии 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131a.

    Смена - это период смены, определенный стандартом SP 800-131a с сегодняшнего дня до конца 2013 года. Период смены - это период отсрочки, во время которого можно произвести обновление до новых минимальных криптографических требований.

  2. Сохраните и закройте файл.
  3. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл находится в каталоге установки Rational DOORS Web Access в подкаталоге server/conf. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. Присвойте параметру sslProtocol значение минимальной версии TLS, которое определяется значением системного свойства com.ibm.jsse2.sp800-131. Пример:
    sslProtocol="TLSv1.2"
  5. Укажите комплекты шрифтов, совместимые с SP800-131a. Пример:
    ciphers=”SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256”
    Убедитесь, что Secure Sockets Layer (SSL) настроен для использования только утвержденных для SP800-131a комплектов шрифтов. Список комплектов шрифтов можно найти по расположенной ниже ссылке "Комплекты шрифтов IBM JSSE2" в разделе ссылок на связанную информацию.

Дальнейшие действия

Обновите клиентские браузеры до версий, поддерживающих минимальную версию TLS. Минимальная версия TLS определяется значением, которое присвоено системному свойству server.xml sslProtocol.

Сертификаты клиентов и серверов, в том числе корневые и промежуточные, должны иметь длину по крайней мере 112 бит и должны быть надлежащим образом подписаны, как определено в этой процедуре. Проверьте ключи в хранилищах ключей и доверенные сертификаты в доверенных хранилищах.

Ознакомьтесь с комментарием Настройка сервера и клиента баз данных Rational DOORS для соответствия NIST SP800-131a.


Комментарии