Configuration de la conformité à NIST SP 800-131A dans Rational DOORS Web Access

Vous pouvez configurer Rational DOORS Web Access en vue de communiquer via une connexion sécurisée, conformément à la norme NIST (National Institute of Standards and Technology) Special Publication (SP) 800-131A. Cette norme spécifie les algorithmes à utiliser pour renforcer la sécurité et les niveaux de chiffrement minimum requis pour les algorithmes.

Avant de commencer

Configurez Rational DOORS Web Access conformément à la norme FIPS 140-2.

Pourquoi et quand exécuter cette tâche

Pour configurer Rational DOORS Web Access conformément à la norme SP 800-131A, modifiez les valeurs de configuration du serveur Apache Tomcat afin de rejeter les requêtes avec des certificats ne répondant pas aux niveaux de chiffrement minimum requis. Vous devez utiliser un fournisseur de sécurité conforme à FIPS 140-2 et configurer ses propriétés système en vue d'une exécution en mode SP 800-131A. Cette configuration garantit que vous utilisez le protocole et les algorithmes de cryptographie appropriés.

Pour une conformité stricte, le niveau de chiffrement de la clé et les algorithmes de signature sont également vérifiés. La conformité stricte n'autorise que le protocole TLS 1.2. Vous devez vérifier que les certificats, les clés et le générateur de nombres aléatoires sécurisé, le cas échéant, sont tous conformes à SP 800-131A.

Important : Si vous spécifiez le protocole TLS 1.2, reportez-vous à la documentation du fournisseur pour déterminer si votre navigateur prend en charge cette version.
Pour configurer Rational DOORS Web Access conformément à la norme NIST SP 800-131A :
  • Définissez la propriété système spécifiant le mode SP 800-131A.
  • Modifiez la configuration du serveur Apache Tomcat pour accepter uniquement des protocoles et des algorithmes de cryptographie spécifiques.
  • Vérifiez que les clés cryptographiques adhèrent à un niveau de chiffrement minimal de 112 bits.
  • Vérifiez que les signatures numériques sont au minimum SHA2.

Procédure

  1. Ouvrez le fichier de script de démarrage Apache Tomcat dans un éditeur.
    • Sur les systèmes Windows, le fichier de script server.start.bat se trouve dans le répertoire d'installation de Rational DOORS Web Access ; par exemple, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Vers la fin du fichier, après l'entrée pour Dcom.ibm.jsse2.usefipsprovider, ajoutez l'entrée set JAVA_OPTS pour Dcom.ibm.jsse2.sp800-131. Vérifiez ensuite que les entrées s'affichent comme suit :
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Sur les systèmes UNIX, le fichier de script server.start.sh se trouve dans le répertoire d'installation de Rational DOORS Web Access. Ajoutez l'entrée JAVA_OPTS pour Dcom.ibm.jsse2.sp800-131 après l'entrée JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Vérifiez ensuite que les entrées s'affichent comme suit, où com.ibm.jsse2.sp800-131 peut être défini sur transition ou strict :
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    Pour une conformité stricte, le niveau de chiffrement de la clé et les algorithmes de signature sont également vérifiés. La conformité stricte n'autorise que le protocole TLS 1.2. Vous devez vérifier que les certificats, les clés et le générateur de nombres aléatoires sécurisé, le cas échéant, sont tous conformes à SP 800-131A.

    La transition est la période de transition définie par SP 800-131A, d'aujourd'hui à la fin 2013. La période de transition est un délai autorisé durant lequel vous pouvez effectuer la mise à niveau avec les nouvelles exigences cryptographiques minimales.

  2. Enregistrez et fermez le fichier.
  3. Ouvrez le fichier Apache Tomcat server.xml dans un éditeur. Ce fichier se trouve dans le répertoire d'installation de Rational DOORS Web Access, dans le répertoire server/conf ; par exemple, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. Définissez la valeur sslProtocol sur la version TLS minimale, basée sur la valeur déterminée par la valeur de la propriété système com.ibm.jsse2.sp800-131. Par exemple :
    sslProtocol="TLSv1.2"
  5. Définissez les algorithmes de cryptographie sur un chiffrement conforme à SP 800-131A ; par exemple :
    ciphers="SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
    Vérifiez que Secure Sockets Layer (SSL) est configuré en vue d'utiliser uniquement un algorithme de cryptographie approuvé pour SP 800-131A. Pour obtenir une liste des algorithmes de cryptographie, voir "IBM® JSSE2 Cipher Suites" dans les liens d'informations connexes ci-dessous.

Que faire ensuite

Mettez à jour les navigateurs client avec un navigateur prenant en charge la version TLS minimale. La version TLS minimale est déterminée par la valeur spécifiée dans la propriété sslProtocol du fichier server.xml.

Vérifiez que les certificats client et serveur, notamment les certificats root et intermédiaires, font au moins 112 bits et sont correctement signés, comme défini dans cette procédure. Vérifiez les clés dans les fichiers de clés et les certificats de confiance dans les magasins de clés de confiance.

Voir Configuration de la conformité à NIST SP 800-131A dans le client et le serveur de base de données.


Commentaires en retour