Configuración del cumplimiento para NIST SP800-131a en Rational DOORS Web Access

Puede configurar Rational DOORS Web Access para comunicarse a través de sockets seguros de acuerdo con el estándar de NIST Special Publications 800-131a (SP800-13a). Este estándar especifica los algoritmos a utilizar para fortalecer la seguridad y la fortaleza de cifrado mínima necesaria para los algoritmos.

Antes de empezar

Configure Rational DOORS Web Access para cumplir con FIPS 140-2.

Acerca de esta tarea

Para configurar Rational DOORS Web Access para cumplir con SP800-131a, debe modificar los valores de configuración del servidor Apache Tomcat para rechazar solicitudes con certificados que no cumplen la fortaleza de cifrado mínima requerida.Debe utilizar un proveedor de seguridad que cumpla con FIPS 140-2 y configurar sus propiedades del sistema para que se ejecute en modalidad SP 800-131a. Dicha configuración garantiza que esté utilizando el protocolo y los paquetes de cifrado adecuados.

Para un cumplimiento estricto, también se verifican los algoritmos de firma y nivel de clave. El cumplimiento de estricto solo permite el protocolo 1.2 de la versión TLS. Debe asegurarse de que los certificados, claves y el generador de números aleatorios seguro, si se especifica, sean compatibles con SP 800-131a.

Importante: Si especifica la versión TLS 1.2, consulte la documentación del proveedor para determinar si su navegador admite esa versión.
Para configurar Rational DOORS Web Access para que cumpla con NIST SP800-131a:
  • Establezca la propiedad del sistema que especifica la modalidad SP800-131a.
  • Modifique la configuración de servidor Apache Tomcat para aceptar solo paquetes de cifrado y protocolos específicos.
  • Asegúrese de que las claves criptográficas se ajusten a un nivel de clave mínimo de 112 bits.
  • Asegúrese de que las firmas digitales sean un mínimo de SHA2.

Procedimiento

  1. Abra el archivo de script de inicio de Apache Tomcat en un editor.
    • En los sistemas Windows, el archivo de script server.start.bat está en el directorio de instalación de Rational DOORS Web Access; por ejemplo, C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Hacia el final del archivo, después de la entrada para Dcom.ibm.jsse2.usefipsprovider, añada la entrada set JAVA_OPTS para Dcom.ibm.jsse2.sp800-131. Asegúrese de que las entradas se muestren de la siguiente manera:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • En sistemas UNIX, el archivo de script server.start.sh se encuentra en el directorio de instalación de Rational DOORS Web Access. Añada la entrada JAVA_OPTS para Dcom.ibm.jsse2.sp800-131 después de la entrada JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Asegúrese de que las entradas se muestren de la siguiente manera, donde com.ibm.jsse2.sp800-131 se puede establecer en transition o strict:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    Para un cumplimiento estricto, también se verifican los algoritmos de firma y nivel de clave. El cumplimiento de estricto solo permite el protocolo 1.2 de la versión TLS. Debe asegurarse de que los certificados, claves y el generador de números aleatorios seguro, si se especifica, sean compatibles con SP 800-131a.

    La transición es el periodo de transición definido por SP 800-131a, desde hoy hasta el final de 2013. El periodo de transición es un periodo de gracia en el que puede realizar la actualización a los nuevos requisitos criptográficos mínimos.

  2. Guarde y cierre el archivo.
  3. Abra el archivo server.xml de Apache Tomcat en un editor. Este archivo está en la instalación de Rational DOORS Web Access en el directorio server/conf; por ejemplo, C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. Establezca el valor sslProtocol en la versión TLS mínima, basada en el valor determinado por el valor de propiedad del sistema com.ibm.jsse2.sp800-131; por ejemplo:
    sslProtocol="TLSv1.2"
  5. Establezca los paquetes de cifrado en cifrados compatibles con SP800-131a; por ejemplo:
    ciphers=”SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256”
    Asegúrese de que la capa de sockets seguros (SSL) esté configurada para utilizar solo un paquete de cifrado aprobado para SP800-131a. Para obtener una lista de paquetes de cifrado, consulte "IBM JSSE2 Cipher Suites" en los enlaces de información relacionada que aparecen a continuación.

Qué hacer a continuación

Actualice los navegadores del cliente a uno que admita la versión TLS mínima. La versión TLS mínima está determinada por el valor especificado en la propiedad server.xml sslProtocol.

Asegúrese de que los certificados de cliente y servidor, incluidos los certificados raíz e intermedios, sean al menos de 112 bits y se firmen de manera adecuada, como se define en este procedimiento. Compruebe las claves en los almacenes de claves y los certificados de confianza de los almacenes de confianza.

Consulte la nota técnica Configuración del servidor de base de datos y del cliente de Rational DOORS para el cumplimiento de NIST SP800-131a.


Comentarios