Configuration d'un profil Liberty à exécuter conformément à SP800-131a
Vous pouvez configurer un profil Liberty afin de satisfaire les exigences de la norme SP800-131a énoncée par le National Institute of Standards and Technology (NIST).
Pourquoi et quand exécuter cette tâche
SP800-131a requiert des clés plus longues et un chiffrement plus fort. La spécification fournit également une configuration de transition permettant aux utilisateurs de passer à un application stricte de SP800-131a. La configuration de transition permet également aux utilisateurs de travailler avec une combinaison de paramètres issus de FIPS140-2 et de SP800-131a. La norme SP800-131a peut être exécutée dans deux modes, transition et strict. Le mode transition propose à l'utilisateur un paramètre permettant de passer son environnement en mode strict SP800-131a. En mode transition, il est facultatif d'utiliser les certificats requis par SP800-131a et de définir le protocole SP800-131a.
- L'utilisation du protocole TLSv1.2 pour le contexte SSL (Secure Sockets Layer)
- Que les certificats doivent avoir une longueur minimale de 2048. Les certificats à courbe elliptique requièrent des courbes d'une taille minimale de 244 bits.
- Que les certificats doivent être signés avec l'algorithme de signature SHA256,
SHA384 ou SHA512. Les algorithmes de signature valides sont les suivants :
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
Remarque :Si SHA384withECDSA ou SHA512withECDSA est utilisé, le fichier de règles non restreintes doit être en place pour le JDK IBM®.
- Des suites de chiffrement approuvées par SP800-131a
Pour plus d'informations sur la norme SP800-131a, voir la page National Institute of Standards and Technology.
Vous pouvez configurer le profil Liberty en vue de son exécution en mode SP800-131a strict ou en mode transition comme suit :