Cúram-Digest-Eigenschaften

Interne und externe Cúram-Benutzer, die über eine ausschließliche Authentifizierung nach Identität nicht aufgerufen werden, werden anhand einer formularbasierten Anmeldung authentifiziert. Das in das Formular eingegebene Kennwort wird mittels Digest verschlüsselt und mit dem Digest-Wert verglichen, der in der Datenbank für den Benutzer gespeichert wurde.

Anmerkung: Diese Verarbeitung wird nicht auf Benutzer angewendet, die in Drittanbietersystemen wie LDAP authentifiziert werden.

Die Cúram-Verschlüsselungskonfiguration ist sofort einsatzfähig (OOTB, out-of-the-box). Es wird jedoch empfohlen, diese Einstellungen in Hinblick auf Ihre lokalen Sicherheitsanforderungen zu modifizieren. So sind die OOTB-Einstellungen in Entwicklungsumgebungen möglicherweise gut geeignet, es wird jedoch dringend empfohlen, in Produktionsumgebungen diese Einstellungen zu modifizieren (z. B. verschlüsselter Digest-Salt-Wert).

Die Digest-Einstellungen sind in der Datei CryptoConfig.properties gespeichert. Die Eigenschaften und ihre Werte lauten wie folgt:

curam.security.crypto.digest.algorithm
- Gültige Werte: in der JCE-Dokumentation beispielsweise http://docs.oracle.com/javase/6/docs/technotes/guides/security/StandardNames.html#MessageDigest. Die unterstützten Digests sind SHA-Varianten (1, 256 usw.) und MD5.
- Standard: SHA-256 (konform mit FIPS 140-2 und SP800-131a)
- Zweck: Spezifikation des Digest-Algorithmus.
curam.security.crypto.digest.salt.location
- Gültige Werte: ein Pfad, der die Datei identifiziert, die den verschlüsselten, geheimen Digest-Salt enthält.
- Standard: keiner
- Zweck: eine optionale Datei zur Angabe des Salt (verschlüsselt) für die Digest-Verschlüsselung.
curam.security.crypto.digest.iterations
- Gültige Werte: 0 eine positive Ganzzahl.
- Standard: 0
- Zweck: Höhere Werte bedeuten in der Regel höhere Sicherheit, aber zu Lasten der Verarbeitung (z. B. bei der Anmeldezeit).

Es gibt eine Reihe von "ersetzten" Eigenschaften, die beim Migrieren von einem Satz von Digest-Einstellungen oder Standards auf den anderen Satz eine höhere Flexibilität erlauben. Folgendes hat eine ähnliche Funktion wie ihre Entsprechung oben, aber die werden von der Cúram-Verschlüsselungsfunktion zur Unterstützung alter und neuer Einstellung für die Migrationsphase unterstützt:

curam.security.crypto.superseded.digest.algorithm
curam.security.crypto.superseded.digest.salt.location
curam.security.crypto.superseded.digest.iterations

Die Verwendung und das Verhalten der ersetzten Eigenschaften wird von der Eigenschaft curam.security.convertsupersededpassworddigests.enabled gesteuert, die von der Benutzerschnittstelle der Eigenschaftenverwaltung verwaltet werden. Weitere Informationen zur Verwendung ersetzter Eigenschaften finden Sie in Vorgehensweise beim Verwenden der ersetzten Digest-Einstellungen für einen Migrationszeitraum.