Configurando a Conformidade para NSA Suite B Cryptography no Rational DOORS Web Access

É possível configurar o Rational DOORS Web Access para se comunicar usando soquetes seguros em conformidade com a diretriz de criptografia do National Security Agency (NSA) Suite B. A diretriz do Suite B intensifica as políticas de conformidade FIPS-2 e SP800-131a existentes.

Antes de Iniciar

Configure o broker do Rational DOORS Web Access, que é uma adaptação do Apache ActiveMQ. Consulte Pré-requisitos de Instalação do Rational DOORS Web Access.

Sobre Esta Tarefa

Para configurar o Rational DOORS Web Access para conformidade com o Suite B, modifique os valores de configuração do servidor Apache Tomcat para rejeitar solicitações com certificados que não atendam aos requisitos mínimos de segurança de criptografia necessários.

Você deve usar um provedor de segurança compatível com FIPS 140-2 e configurar suas propriedades de sistema para executar no modo Suite B. Essa configuração assegura que você esteja usando o protocolo e os conjuntos de cifras adequados. A conformidade de Suite B permite apenas o protocolo TLS versão 1.2. Você deve assegurar-se de que os certificados, as chaves e o gerador seguro de números aleatórios, se especificados, sejam todos compatíveis com Suite B.

Importante: Se você especificar o TLS versão 1.2, consulte a documentação do fornecedor para determinar se seu navegador suporta essa versão.
Para configurar o Rational DOORS Web Access para conformidade com Suite B:
  • Configure a propriedade de sistema no arquivo de script de inicialização que especifica o modo Suite B.
  • Modifique a configuração do servidor Apache Tomcat para aceitar apenas o protocolo TLS versão 1.2 e os conjuntos de cifras suportados.
  • Assegure-se de que as chaves criptográficas atendam aos requisitos de segurança mínimos necessários da chave.
  • Assegure-se de que as assinaturas digitais atendam aos requisitos mínimos de segurança necessários.
Um sistema configurado para Suite B com TLS e um nível mínimo de segurança de 128 bits deve usar o TLS versão 1.2 e ECDSA-256 ou ECDSA-384 para autenticação de cliente ou servidor. Para suportar o perfil de Suite B, a seguinte propriedade de sistema é fornecida:
com.ibm.jsse2.suiteB=128|192|false
Essa propriedade de sistema possui estes parâmetros:
  • 128 especifica o nível mínimo de segurança de 128 bits.
  • 192 especifica o nível mínimo de segurança de 192 bits.
  • false especifica que o sistema não é compatível com Suite B. Esse é o valor padrão.
Ao configurar a propriedade de sistema com.ibm.jsse2.suiteB, IBMJSSE2 garante o cumprimento de requisitos para o nível de segurança especificado. IBMJSSE2 valida que o protocolo, as chaves e os certificados são compatíveis com o perfil solicitado.

Procedimento

  1. Abra o arquivo de script de inicialização do Apache Tomcat em um editor.
    • Em sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do Rational DOORS Web Access; por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Perto do final do arquivo, depois da entrada para Dcom.ibm.jsse2.usefipsprovider, inclua a entrada set JAVA_OPTS para Dcom.ibm.jsse2.suiteB. Em seguida, certifique-se de que as entradas sejam mostradas da seguinte forma:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Importante: Se a propriedade Dcom.ibm.jsse2.sp800-131 estiver incluída no arquivo, remova-a.
    • No UNIX, o arquivo de script server.start.sh está localizado no diretório de instalação do Rational DOORS Web Access. Inclua a entrada JAVA_OPTS para Dcom.ibm.jsse2.suiteB depois da entrada JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Essas entradas devem aparecer da seguinte forma:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      Importante: Se a propriedade Dcom.ibm.jsse2.sp800-131 estiver incluída no arquivo, remova-a.
  2. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do Rational DOORS Web Access no diretório server/conf; por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. Configure o valor sslProtocol para TLS versão 1.2; por exemplo:
    sslProtocol="TLSv1.2"
  4. Configure os conjuntos de cifras para cifras compatíveis com o Suite B; por exemplo:
    ciphers=”SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256”
    Assegure-se de que o SSL esteja configurado para usar apenas um conjunto de cifras aprovado para conformidade com Suite B.

O que Fazer Depois

Atualize os navegadores clientes para suportar TLS 1.2.

Assegure-se de que os certificados de cliente e servidor sejam assinados adequadamente. Verifique as chaves nos armazenamentos de chaves.


Feedback