SP800-131a で稼働するための Liberty プロファイルのセットアップ
米国連邦情報・技術局 (NIST) が規定した SP800-131a 要件 を満たすように Liberty プロファイルをセットアップすることができます。
このタスクについて
SP800-131a では、必要な鍵の長さが長くなり、暗号化はより強力なものになっています。 この仕様では、ユーザーが SP800-131a の厳密な (strict) 適用に移行できるようにする遷移 (transition) 用構成も用意されています。遷移用構成では、ユーザーは FIPS140-2 および SP800-131a の両方が混在した設定で実行することもできます。SP800-131a は、 transition (遷移) および strict (厳密) の 2 つのモードで実行することができます。transition モードは、 環境を SP800-131a strict モードに移行するための設定をユーザーに提供するためのものです。transition モードでは、 SP800-131a で必須の証明書を使用すること、およびプロトコルを SP800-131a に 設定することはオプションです。
Liberty プロファイルでの SP800-131a 要件の厳密
な適用には、以下が含まれます。
- Secure Sockets Layer (SSL) コンテキストでの TLSv1.2 プロトコルの使用。
- 証明書は少なくとも 2048 の長さでなければなりません。楕円曲線 (EC) 証明書では、244 ビット以上のサイズの曲線が必要です。
- 証明書は署名アルゴリズム SHA256、
SHA384、または SHA512 で署名されなければなりません。有効な署名アルゴリズムには、以下のものがあります。
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
注:SHA384withECDSA または SHA512withECDSA を使用する場合、IBM® JDK 用に無制限のポリシー・ファイルが必要です。
- SP800-131a で承認された暗号スイート
注: SP800-131a モードで
稼働するように Liberty プロファイル・サーバーを構成するには、ユーザーは SP800-131a をサポートするレベルの IBM JDK を使用して実行している必要があります。最小
レベルの IBM JDK には、Java™ 6 sr 10、Java 6.0.1 sr 2、または Java 7 があります。
SP800-131a 標準 について詳しくは、National Institute of Standards and Technology を参照してください。
以下のようにして、 SP800-131a strict モードまたは transition モードで稼働するよう Liberty プロファイルを構成 できます。