Configurando a Conformidade com o NIST SP 800-131A no Rational DOORS Web Access

É possível configurar o Rational DOORS Web Access para se comunicar por meio de soquetes seguros em conformidade com a norma National Institute of Standards and Technology (NIST) Special Publication (SP) 800-131A. Esse padrão especifica os algoritmos que devem ser usados para intensificar a segurança e os requisitos mínimos de segurança de criptografia necessários para os algoritmos.

Antes de Iniciar

Configure o Rational DOORS Web Access para conformidade com o FIPS 140-2.

Sobre Esta Tarefa

Para configurar o Rational DOORS Web Access para obedecer ao SP 800-131A, modifique os valores de configuração do servidor Apache Tomcat para rejeitar solicitações com certificados que não atenderem à intensidade de criptografia mínima obrigatória. Você deve utilizar um provedor de segurança que esteja em conformidade com o FIPS 140-2 e configurar suas propriedades de sistema para executarem no modo SP 800-131A. Essa configuração assegura que você esteja usando o protocolo e os conjuntos de cifras adequados.

Para conformidade exata, os algoritmos da segurança da chave e da assinatura também são verificados. A conformidade estrita permite apenas o protocolo TLS 1.2. Você deve assegurar-se de que os certificados, chaves e o gerador de números aleatórios seguros, se especificados, estejam todos em conformidade com o SP 800-5131A.

Importante: Se você especificar o protocolo TLS 1.2, consulte a documentação do fornecedor para determinar se o seu navegador suporta essa versão.
Para configurar o Rational DOORS Web Access para obedecer ao NIST SP 800-131A:
  • Configure a propriedade do sistema que especifica o modo SP 800-131A.
  • Modifique a configuração do servidor Apache Tomcat para aceitar apenas protocolos e conjuntos de cifras específicos.
  • Assegure-se de que as chaves criptográficas atendam aos requisitos mínimos de segurança da chave de 112 bits.
  • Assegure-se de que as assinaturas digitais sejam, no mínimo, SHA2.

Procedimento

  1. Abra o arquivo de script de inicialização do Apache Tomcat em um editor.
    • Em sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do Rational DOORS Web Access; por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Perto do final do arquivo, depois da entrada para Dcom.ibm.jsse2.usefipsprovider, inclua a entrada set JAVA_OPTS para Dcom.ibm.jsse2.sp800-131. Em seguida, certifique-se de que as entradas sejam mostradas da seguinte forma:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Em sistemas UNIX, o arquivo de script server.start.sh está no diretório de instalação do Rational DOORS Web Access. Inclua a entrada JAVA_OPTS para Dcom.ibm.jsse2.sp800-131 depois da entrada JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Em seguida, certifique-se de que as entradas sejam mostradas como a seguir, em que com.ibm.jsse2.sp800-131 pode ser configurado como transição ou exato:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    Para conformidade exata, os algoritmos da segurança da chave e da assinatura também são verificados. A conformidade estrita permite apenas o protocolo TLS 1.2. Você deve assegurar-se de que os certificados, chaves e gerador de número aleatório seguro, se especificados, estejam todos em conformidade com o SP 800-5131A.

    Transição é o período de transição definido por SP 800-131A, da data de hoje até o final de 2013. O período de transição é um período de carência durante o qual é possível atualizar para os novos requisitos criptográficos mínimos.

  2. Salve e feche o arquivo.
  3. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do Rational DOORS Web Access no diretório server/conf, por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. Configure o valor sslProtocol com a versão mínima do TLS, que se baseia no valor determinado pelo valor da propriedade do sistema com.ibm.jsse2.sp800-131; por exemplo:
    sslProtocol="TLSv1.2"
  5. Configure os conjuntos de cifras para cifras que estejam em conformidade com o SP 800-131A; por exemplo:
    ciphers="SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
    Assegure-se que o Secure Sockets Layer (SSL) seja configurado para usar apenas um conjunto de cifras aprovado para SP 800-131A. Para obter uma lista de conjuntos de cifras, consulte "Conjuntos de Cifras IBM® JSSE2" nos links de informações relacionados abaixo.

O que Fazer Depois

Atualize os navegadores clientes com um que suporte a versão mínima do TLS. A versão do TLS mínima é determinada pelo valor especificado na propriedade sslProtocol que está no arquivo server.xml.

Assegure-se de que os certificados de cliente e servidor, incluindo certificados raízes e intermediários, tenham pelo menos 112 bits e estejam assinados adequadamente, conforme definido neste procedimento. Verifique as chaves nos armazenamentos de chaves e os certificados confiáveis nos armazenamentos confiáveis.

Configurando a Conformidade com o NIST SP 800-131A no Servidor e Cliente do Banco de Dados


Feedback