Configurando a Conformidade para NIST SP800-131a no Rational DOORS Web Access

É possível configurar o Rational DOORS Web Access para se comunicar usando soquetes seguros em conformidade com o padrão NIST Special Publications 800-131a (SP800-13a). Esse padrão especifica os algoritmos que devem ser usados para intensificar a segurança e os requisitos mínimos de segurança de criptografia necessários para os algoritmos.

Antes de Iniciar

Configurar o Rational DOORS Web Access para Conformidade com FIPS 140-2.

Sobre Esta Tarefa

Para configurar o Rational DOORS Web Access para conformidade com SP800-131a, modifique os valores de configuração do servidor Apache Tomcat para rejeitar solicitações com certificados que não atendam aos requisitos mínimos de segurança de criptografia necessários. Você deve usar um provedor de segurança compatível com FIPS 140-2 e configurar suas propriedades de sistema para executar no modo SP 800-131a. Essa configuração assegura que você esteja usando o protocolo e os conjuntos de cifras adequados.

Para conformidade exata, os algoritmos da segurança da chave e da assinatura também são verificados. A conformidade exata permite somente o protocolo TLS versão 1.2. Você deve assegurar-se de que os certificados, as chaves e o gerador seguro de números aleatórios, se especificados, sejam todos compatíveis com SP 800-131a.

Importante: Se você especificar o TLS versão 1.2, consulte a documentação do fornecedor para determinar se seu navegador suporta essa versão.
Para configurar o Rational DOORS Web Access para conformidade com NIST SP800-131a:
  • Configure a propriedade de sistema que especifica o modo SP800-131a.
  • Modifique a configuração do servidor Apache Tomcat para aceitar apenas protocolos e conjuntos de cifras específicos.
  • Assegure-se de que as chaves criptográficas atendam aos requisitos mínimos de segurança da chave de 112 bits.
  • Assegure-se de que as assinaturas digitais sejam, no mínimo, SHA2.

Procedimento

  1. Abra o arquivo de script de inicialização do Apache Tomcat em um editor.
    • Em sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do Rational DOORS Web Access; por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Perto do final do arquivo, depois da entrada para Dcom.ibm.jsse2.usefipsprovider, inclua a entrada set JAVA_OPTS para Dcom.ibm.jsse2.sp800-131. Em seguida, certifique-se de que as entradas sejam mostradas da seguinte forma:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Em sistemas UNIX, o arquivo de script server.start.sh está no diretório de instalação do Rational DOORS Web Access. Inclua a entrada JAVA_OPTS para Dcom.ibm.jsse2.sp800-131 depois da entrada JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Em seguida, certifique-se de que as entradas sejam mostradas como a seguir, em que com.ibm.jsse2.sp800-131 pode ser configurado como transição ou exato:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    Para conformidade exata, os algoritmos da segurança da chave e da assinatura também são verificados. A conformidade exata permite somente o protocolo TLS versão 1.2. Você deve assegurar-se de que os certificados, as chaves e o gerador seguro de números aleatórios, se especificados, sejam todos compatíveis com SP 800-131a.

    Transição é o período de transição definido por SP 800-131a, da data de hoje até o final de 2013. O período de transição é um período de carência durante o qual é possível atualizar para os novos requisitos criptográficos mínimos.

  2. Salve e feche o arquivo.
  3. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do Rational DOORS Web Access no diretório server/conf; por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. Configure o valor sslProtocol com a versão mínima do TLS, que se baseia no valor determinado pelo valor da propriedade do sistema com.ibm.jsse2.sp800-131; por exemplo:
    sslProtocol="TLSv1.2"
  5. Configure os conjuntos de cifras para cifras compatíveis com SP800-131a; por exemplo:
    ciphers=”SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256”
    Assegure-se de que o Secure Sockets Layer (SSL) seja configurado para usar apenas um conjunto de cifras aprovado para SP800-131a. Para obter uma lista de conjuntos de cifras, consulte "Conjuntos de Cifras IBM JSSE2" nos links de informações relacionadas a seguir.

O que Fazer Depois

Atualize os navegadores clientes com um que suporte a versão mínima do TLS. A versão mínima do TLS é determinada pelo valor especificado na propriedade server.xml sslProtocol.

Assegure-se de que os certificados de cliente e servidor, incluindo certificados raízes e intermediários, tenham pelo menos 112 bits e estejam assinados adequadamente, conforme definido neste procedimento. Verifique as chaves nos armazenamentos de chaves e os certificados confiáveis nos armazenamentos confiáveis.

Consulte a nota técnica Configuring the Rational DOORS database server and client for compliance with NIST SP800-131a.


Feedback