Настройка соответствия шифрования NSA Suite B в Rational DOORS Web Access

IBM® Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с руководством по шифрованию Национальной службы безопасности (NSA) Suite B. Suite B позволяет усилить стратегии соответствия требованиям федерального стандарта обработки информации (FIPS) 140-2 и требованиям стандарта Special Publication (SP) 800-131A национального института стандартов и технологий (NIST).

Прежде чем начать

Настройка Rational DOORS Web Access для соответствия FIPS 140-2.

Об этой задаче

Для того чтобы настроить Rational DOORS Web Access для соответствия Suite B, требуется изменить значения параметров конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты которых не отвечают требованиям относительно минимальной длины криптографического ключа.

Вы должны пользоваться провайдером защиты, который отвечает FIPS 140-2, и настроить его системные свойства для работы в режиме Suite B. Эта конфигурация гарантирует, что вы используете надлежащие протоколы и комплекты шифров. Соответствие Suite B допускает только протокол TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту Suite B.

Важное замечание: Если указан протокол TLS версии 1.2, обратитесь к документации вендора, чтобы определить, поддерживается ли она браузером.
Для настройки Rational DOORS Web Access для соответствия требованиям Suite B выполните следующие действия:
  • В файле сценария запуска укажите параметры протокола SSL и режима Suite B.
  • Измените конфигурацию сервера Apache Tomcat для принятия только протокола TLS 1.2 и поддерживаемых комплектов шифров.
  • Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической стойкости.
  • Убедитесь, что цифровые подписи имеют по крайней мере минимальную требуемую стойкость.
Система, которая настроена для Suite B с использованием TLS и с минимальным уровнем защиты 128 разрядов, должна использовать версию TLS 1.2 и либо ECDSA-256, либо ECDSA-384 для клиентской или серверной идентификации. Для поддержки профиля Suite B предусмотрено следующее системное свойство:
com.ibm.jsse2.suiteB=128|192|false
Параметры этого системного свойства таковы:
  • 128 задает минимальный уровень защиты 128 разрядов.
  • 192 задает минимальный уровень защиты 192 разряда.
  • false указывает, что система не соответствует Suite B. Это значение указано по умолчанию.
Когда задается значение системного свойства com.ibm.jsse2.suiteB, IBMJSSE2 обеспечивает соответствие указанному уровню защиты. IBMJSSE2 проверяет соответствие протокола, ключей и сертификатов запрошенному профилю.

Процедура

  1. Откройте файл сценария запуска Apache Tomcat в редакторе и добавьте параметры для протокола SSL, разрядности и комплектов шифров. В записи com.ibm.jsse2.usefipsprovider добавьте следующие параметры:
    Параметр Значение
    https.protocols Укажите значение TLSv1.2.
    com.ibm.jsse2.suiteB Укажите значение 128 или 192.
    https.cipherSuites Укажите поддерживаемый комплект шифров. Этот параметр ограничивает шифры, применяемые исходящими запросами для удаленных служб. Эти комплекты шифров должны быть совместимыми с комплектами шифров, настроенными на удаленном сервере.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки Rational DOORS Web Access. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\версия. В следующем примере приведены минимальные требуемые значения для параметров протокола SSL и уровня соответствия, а также поддерживаемые комплекты шифров:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Важное замечание: Если в файле указано свойство com.ibm.jsse2.sp800-131, то удалите это свойство.
    • В системах UNIX файл сценария server.start.sh расположен в каталоге установки Rational DOORS Web Access. В следующем примере приведены минимальные требуемые значения для параметров протокола SSL и уровня соответствия, а также поддерживаемые комплекты шифров:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      Важное замечание: Если в файле указано свойство com.ibm.jsse2.sp800-131, то удалите это свойство.
  2. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл расположен в установочном каталоге Rational DOORS Web Access в подкаталоге server/conf. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\версия\server\conf
  3. Присвойте параметру sslProtocol значение TLS 1.2. Пример:
    sslProtocol="TLSv1.2"
  4. Укажите комплекты шифров, соответствующие требованиям Suite B. Значение этой записи должно совпадать со значением, применяемым в параметре https.cipherSuites из сценария запуска сервера (см. описание шага 1); пример:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    Убедитесь, что Secure Sockets Layer (SSL) настроен для использования только того комплекта шифров, который утвержден для соответствия Suite B.

Дальнейшие действия

Обновите клиентские браузеры для поддержки TLS 1.2.

Убедитесь в правильности подписания клиентских и серверных сертификатов. Проверьте ключи в хранилищах ключей.


Комментарии