Configurando a Conformidade com o NSA Suite B Cryptography no Rational DOORS Web Access

É possível configurar o IBM® Rational DOORS Web Access para se comunicar por meio de soquetes seguros em conformidade com a diretriz de criptografia National Security Agency (NSA) Suite B. A diretriz Suite B fortalece as políticas de conformidade para Federal Information Processing Standard (FIPS) 140-2 e National Institute of Standards and Technology (NIST) Special Publication (SP) 800-131A.

Antes de Iniciar

Configure o Rational DOORS Web Access para conformidade com o FIPS 140-2.

Sobre Esta Tarefa

Para configurar o Rational DOORS Web Access para obedecer ao Suite B, modifique os valores de configuração do servidor Apache Tomcat para rejeitar solicitações com certificados que não atenderem à segurança de criptografia mínima obrigatória.

Deve-se usar um provedor de segurança compatível com FIPS 140-2 e configurar suas propriedades de sistema para executar no modo Suite B. Essa configuração assegura que você esteja usando o protocolo e os conjuntos de cifras adequados. A conformidade do Suite B permite apenas o protocolo TLS 1.2. Deve-se assegurar-se de que todos os certificados, chaves e o gerador seguro de números aleatórios, se especificados, estejam em conformidade com o Suite B.

Importante: Se você especificar o protocolo TLS 1,2, consulte a documentação do fornecedor para determinar se seu navegador suporta essa versão.
A configuração do Rational DOORS Web Access para obedecer ao Suite B envolve estas etapas:
  • No arquivo de script de inicialização, configure os parâmetros que especificam o protocolo SSL e o modo Suite B.
  • Modifique as configurações do servidor Apache Tomcat para aceitar apenas o protocolo TLS 1.2 e conjuntos de cifras suportados.
  • Assegure-se de que as chaves criptográficas atendam aos requisitos de segurança mínimos necessários da chave.
  • Assegure-se de que as assinaturas digitais atendam aos requisitos mínimos de segurança necessários.
Um sistema que é configurado para o Suite B com o TLS e um nível mínimo de segurança de 128 bits deve usar o TLS 1.2 e o ECDSA-256 ou ECDSA-384 para autenticação de cliente ou servidor. Para suportar o perfil de Suite B, a seguinte propriedade de sistema é fornecida:
com.ibm.jsse2.suiteB=128|192|false
Essa propriedade de sistema possui estes parâmetros:
  • 128 especifica o nível mínimo de segurança de 128 bits.
  • 192 especifica o nível mínimo de segurança de 192 bits.
  • false especifica que o sistema não é compatível com Suite B. Esse é o valor padrão.
Ao configurar a propriedade de sistema com.ibm.jsse2.suiteB, IBMJSSE2 garante o cumprimento de requisitos para o nível de segurança especificado. O IBMJSSE2 valida que o protocolo, as chaves e os certificados que obedecem ao perfil solicitado.

Procedimento

  1. Abra o arquivo de script de inicialização do Apache Tomcat em um editor e inclua parâmetros para o protocolo SSL, o nível de bits e os conjuntos de cifras. Na entrada com.ibm.jsse2.usefipsprovider, inclua entradas para estes parâmetros:
    Parâmetro Valor
    https.protocols Configure para TLSv1.2.
    com.ibm.jsse2.suiteB Configure para 128 ou 192.
    https.cipherSuites Insira um conjunto de cifras suportado. Esse parâmetro restringe as cifras que são usadas por solicitações realizadas para serviços remotos. Esses conjuntos de cifras devem ser compatíveis com os conjuntos de cifras configurados para o servidor remoto.
    • Em sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do Rational DOORS Web Access; por exemplo, C:\Arquivos de programas (x86)\IBM\Rational\DOORS Web Access\versão. Este exemplo inclui os valores mínimos necessários para o protocolo SSL e os parâmetros de nível de conformidade, e um exemplo de conjuntos de cifras suportados :
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Importante: Se a propriedade com.ibm.jsse2.sp800-131 estiver no arquivo, remova essa propriedade.
    • No UNIX, o arquivo de script server.start.sh está no diretório de instalação do Rational DOORS Web Access. Este exemplo inclui os valores mínimos necessários para o protocolo SSL e os parâmetros de nível de conformidade, e um exemplo de conjuntos de cifras suportados :
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      Importante: Se a propriedade com.ibm.jsse2.sp800-131 estiver no arquivo, remova essa propriedade.
  2. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do Rational DOORS Web Access no diretório server/conf; por exemplo, C:\Arquivos de Programas (x86)\IBM\Rational\DOORS Web Access\versão\server\conf
  3. Configure o valor de sslProtocol para TLS 1.2; por exemplo:
    sslProtocol="TLSv1.2"
  4. Configure os conjuntos de cifras que obedecem ao Suite B. O valor para essa entrada deve corresponder ao valor usado no parâmetro https.cipherSuites, no script de inicialização do servidor, conforme descrito na etapa 1; por exemplo:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    Assegure-se de que o Secure Sockets Layer (SSL) esteja configurado para usar apenas um conjunto de cifras que é aprovado pela conformidade Suite B.

O que Fazer Depois

Atualize os navegadores clientes para suportar TLS 1.2.

Assegure-se de que os certificados de cliente e servidor sejam assinados adequadamente. Verifique as chaves nos armazenamentos de chaves.


Feedback