Настройка соответствия NIST SP 800-131A в Rational DOORS Web Access

IBM® Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с требованиями стандарта Special Publication (SP) 800-131A национального института стандартов и технологий (NIST). В этом стандарте указаны алгоритмы, которые следует использовать для укрепления защиты, и минимальные длины криптографических ключей, которых требуют алгоритмы.

Прежде чем начать

Настройка Rational DOORS Web Access для соответствия требованиям федерального стандарта по обработке информации (FIPS) 140-2.

Об этой задаче

Для того чтобы настроить Rational DOORS Web Access для соответствия SP 800-131A, требуется изменить значения параметров конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты которых не отвечают требованиям относительно минимальной длины криптографического ключа. Вы должны пользоваться провайдером защиты, который отвечает FIPS 140-2, и настроить его системные свойства для работы в режиме SP 800-131A. Эта конфигурация гарантирует, что вы используете надлежащие протоколы и комплекты шифров.

Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131A.

Важное замечание: Если указан протокол TLS версии 1.2, обратитесь к документации вендора, чтобы определить, поддерживается ли она браузером.

Если Rational DOORS Web Access настроен для поддержки SP800-131A в строгом режиме, то все удаленные службы также должны быть настроены для поддержки строгого режима SP 800-131A. Если удаленная служба не поддерживает минимальные требования строгого режима SP 800-131A, то служба не сможет обрабатывать запросы.

Для настройки Rational DOORS Web Access для соответствия NIST SP 800-131A выполните следующие действия:
  • В сценарии запуска Apache Tomcat укажите системные параметры, указывающие протокол SSL и режим SP 800-131A. Укажите параметр комплекта шифров для ограничения исходящих запросов для удаленных служб.
  • Измените конфигурацию сервера Apache Tomcat для принятия только определенных протоколов и комплектов шифров.
  • Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической стойкости (112 бит).
  • Используйте цифровые подписи, использующие по крайней мере алгоритм SHA2 и 2048 бит.

Процедура

  1. Откройте файл сценария запуска Apache Tomcat в редакторе и добавьте параметры для протокола SSL, уровня соответствия SP 800-131A и комплектов шифров. В записи com.ibm.jsse2.usefipsprovider, добавленную для FIPS 140-2, укажите записи JAVA_OPTS для следующих параметров:
    Параметр Значение
    https.protocols Укажите значение TLSv1.2. Протокол должен быть совместим с протоколами, настроенными на удаленном сервере.
    com.ibm.jsse2.sp800-131 Укажите значение strict.
    https.cipherSuites Укажите поддерживаемый комплект шифров. Этот параметр ограничивает шифры, применяемые исходящими запросами для удаленных служб. Эти комплекты шифров должны быть совместимыми с комплектами шифров, настроенными на удаленном сервере.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки Rational DOORS Web Access. Пример: C:\Program Files\IBM\Rational\DOORS Web Access\версия. В следующем примере приведены требуемые значения для параметров протокола SSL и уровня соответствия, а также поддерживаемые комплекты шифров:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • В системах Linux файл сценария server.start.sh расположен в каталоге установки Rational DOORS Web Access. В следующем примере приведены требуемые значения для параметров протокола SSL и уровня соответствия, а также поддерживаемые комплекты шифров:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131A.

  2. Сохраните и закройте файл.
  3. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл находится в установочном каталоге Rational DOORS Web Access в подкаталоге server/conf. Пример: C:\Program Files\IBM\Rational\DOORS Web Access\версия\server\conf
  4. В разделе Коннектор HTTPS присвойте параметрам sslProtocol и sslEnabledProtocols значения минимальной версии TLS, которые определяются значением системного свойства com.ibm.jsse2.sp800-131; например:
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    Дополнительная информация о коннекторе HTTPS приведена в разделе Настройка Rational DOORS Web Access для использования SSL или TLS.
  5. Укажите комплекты шифров, чтобы дополнительно ограничить шифры, принимаемые сервером. Значение этой записи должно совпадать со значением, применяемым в параметре https.cipherSuites из сценария запуска сервера (см. описание шага 1); пример:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Убедитесь, что Secure Sockets Layer (SSL) настроен для использования только утвержденных для SP 800-131A комплектов шифров. Список комплектов шифров можно найти по расположенной ниже ссылке "Комплекты шифров IBM JSSE2" в разделе Связанная информация.

Дальнейшие действия

Обновите клиентские браузеры до версий, поддерживающих минимальную версию TLS. Минимальная версия TLS определяется значением, которое присвоено свойству sslProtocol из файла server.xml.

Сертификаты клиентов и серверов, в том числе корневые и промежуточные, должны иметь длину по крайней мере 112 бит и должны быть надлежащим образом подписаны, как определено в этой процедуре. Проверьте ключи в хранилищах ключей и доверенные сертификаты в доверенных хранилищах.

См. Настройка соответствия NIST SP 800-131A для сервера базы данных и клиента Rational DOORS.


Комментарии