Konformität mit NIST SP 800-131A in Rational DOORS Web Access konfigurieren

Sie können Rational DOORS Web Access für die Kommunikation über sichere Sockets in Konformität mit dem Standard 800-131A des National Institute of Standards and Technology (NIST) Special Publication (SP) konfigurieren. Dieser Standard gibt Algorithmen zur Erhöhung der Sicherheit sowie die Mindestverschlüsselungsstärken an, die für die Algorithmen erforderlich sind.

Vorbereitende Schritte

Konfigurieren Sie Rational DOORS Web Access für die Einhaltung von FIPS 140-2.

Informationen zu diesem Vorgang

Um Rational DOORS Web Access für die Einhaltung des Standards SP 800-131A zu konfigurieren, müssen Sie die Konfigurationswerte des Apache Tomcat-Servers so ändern, dass Anforderungen mit Zertifikaten, die nicht den erforderlichen Mindestverschlüsselungstärken entsprechen, zurückgewiesen werden. Sie müssen einen Sicherheitsprovider verwenden, der mit FIPS 140-2 konform ist, und die zugehörigen Systemeigenschaften so konfigurieren, dass die Ausführung im SP 800-131A-Modus erfolgt. Diese Konfiguration stellt sicher, dass Sie das richtige Protokoll und die richtigen Cipher-Suites verwenden.

Für eine strikte Einhaltung werden auch die Schlüsselstärke und die Signaturalgorithmen geprüft. Eine strikte Konformität ist nur mit dem TLS 1.2-Protokoll möglich. Sie müssen sicherstellen, dass die Zertifikate, Schlüssel und der sichere Zufallszahlengenerator (falls angegeben) mit SP 800-131A konform sind.

Wichtig: Wenn Sie das TLS 1.2-Protokoll angeben, können Sie anhand der Dokumentation des Anbieters ermitteln, ob Ihr Browser diese Version unterstützt.
So konfigurieren Sie Rational DOORS Web Access für die Einhaltung von NIST SP 800-131A:
  • Legen Sie die Systemeigenschaft fest, die den SP 800-131A-Modus angibt.
  • Ändern Sie die Apache Tomcat-Serverkonfiguration, sodass nur bestimmte Protokolle und Cipher-Suites akzeptiert werden.
  • Stellen Sie sicher, dass die Verschlüsselungsschlüssel über eine Mindestschlüsselstärke von 112 Bit verfügen.
  • Stellen Sie sicher, dass digitale Signaturen mindestens über SHA2-Verschlüsselung verfügen.

Vorgehensweise

  1. Öffnen Sie die Apache Tomcat-Startscriptdatei in einem Editor.
    • Unter Windows-Systemen befindet sich die Scriptdatei server.start.bat im Installationsverzeichnis von Rational DOORS Web Access, beispielsweise C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Fügen Sie in der Nähe des Dateiendes nach dem Eintrag für Dcom.ibm.jsse2.usefipsprovider den Eintrag set JAVA_OPTS für Dcom.ibm.jsse2.sp800-131 hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie folgt aussehen:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Unter UNIX-Systemen befindet sich die Scriptdatei server.start.sh im Installationsverzeichnis von Rational DOORS Web Access. Fügen Sie den Eintrag JAVA_OPTS für Dcom.ibm.jsse2.sp800-131 nach dem Eintrag JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true hinzu. Vergewissern Sie sich anschließend, dass die Einträge wie unten angegeben aussehen. Dabei kann com.ibm.jsse2.sp800-131 auf 'transition' oder 'strict' eingestellt werden:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    Für eine strikte Einhaltung werden auch die Schlüsselstärke und die Signaturalgorithmen geprüft. Eine strikte Konformität ist nur mit dem TLS 1.2-Protokoll möglich. Sie müssen sicherstellen, dass die Zertifikate, Schlüssel und der sichere Zufallszahlengenerator (falls angegeben) mit SP 800-131A konform sind.

    'transition' steht für den von SP 800-131A definierten Übergangszeitraum, der heute beginnt und bis Ende 2013 reicht. Der Übergangszeitraum ist eine Karenzzeit, in der Sie ein Upgrade auf die neuen Mindestverschlüsselungsanforderungen durchführen können.

  2. Speichern und schließen Sie die Datei.
  3. Öffnen Sie die Apache Tomcat-Datei server.xml in einem Editor. Diese Datei befindet sich bei der Rational DOORS Web Access-Installation im Verzeichnis server/conf, beispielsweise C:\Programme (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. Legen Sie den sslProtocol-Wert auf die mindestens erforderliche TLS-Version fest. Diese basiert auf dem Wert, der durch den Systemeigenschaftswert com.ibm.jsse2.sp800-131 bestimmt wird. Beispiel:
    sslProtocol="TLSv1.2"
  5. Legen Sie für die Cipher-Suites Verschlüsselungen fest, die mit dem Standard SP 800-131A konform sind. Beispiel:
    ciphers="SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
    Stellen Sie sicher, dass SSL (Secure Sockets Layer) so konfiguriert wurde, dass nur eine für SP 800-131A genehmigte Cipher-Suite verwendet wird. Eine Liste der Cipher-Suites finden Sie unter "IBM® JSSE2 Cipher Suites" in den unten angegebenen Links mit zugehörigen Informationen.

Nächste Schritte

Geben Sie einen Client-Browser an, der die mindestens erforderliche TLS-Version unterstützt. Die mindestens erforderliche TLS-Version wird durch den in der Datei 'server.xml' in der Eigenschaft sslProtocol angegebenen Wert bestimmt.

Stellen Sie sicher, dass die Client- und Serverzertifikate - einschließlich Stamm- und Zwischenzertifikate - eine Mindestschlüssellänge von 112 Bit haben und richtig signiert sind (entsprechend der hier beschriebenen Prozedur). Überprüfen Sie die Schlüssel in Keystores und die vertrauenswürdigen Zertifikate in Truststores.

Siehe Konformität mit NIST SP 800-131A im Datenbankserver und Client konfigurieren.


Feedback