Настройка соответствия NIST SP 800-131A в Rational DOORS Web Access

Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с требованиями стандарта Special Publication (SP) 800-131A национального института стандартов и технологий (NIST). В этом стандарте указаны алгоритмы, которые следует использовать для укрепления защиты, и минимальные длины криптографических ключей, которых требуют алгоритмы.

Прежде чем начать

Настройка Rational DOORS Web Access для соответствия FIPS 140-2.

Об этой задаче

Для того чтобы настроить Rational DOORS Web Access для соответствия SP 800-131A, необходимо изменить значения параметров конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты которых не отвечают требованиям минимальной длины ключа шифрования. Вы должны пользоваться провайдером защиты, который отвечает FIPS 140-2, и настроить его системные свойства для работы в режиме SP 800-131A. Эта конфигурация гарантирует, что вы используете надлежащие протоколы и комплекты шифров.

Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131A.

Важное замечание: Если указан протокол TLS версии 1.2, обратитесь к документации вендора, чтобы определить, поддерживается ли она браузером.
Для настройки Rational DOORS Web Access для соответствия NIST SP 800-131A выполните следующие действия:
  • Включите системное свойство, задающее режим SP 800-131A.
  • Измените конфигурацию сервера Apache Tomcat для принятия только определенных протоколов и комплектов шифров.
  • Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической стойкости (112 бит).
  • Используйте цифровые подписи, использующие по крайней мере алгоритм SHA2.

Процедура

  1. Откройте файл сценария запуска Apache Tomcat в редакторе.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки Rational DOORS Web Access. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. В нижней части файла после записи Dcom.ibm.jsse2.usefipsprovider добавьте запись set JAVA_OPTS для Dcom.ibm.jsse2.sp800-131. Затем убедитесь, что записи выглядят так:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • В системах UNIX файл сценария server.start.sh находится в каталоге установки Rational DOORS Web Access. Добавьте запись JAVA_OPTS для Dcom.ibm.jsse2.sp800-131 после записи JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Затем убедитесь, что записи выглядят следующим образом, где com.ibm.jsse2.sp800-131 может иметь либо значение transition, либо значение strict:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    Для строгого соответствия также проверяются надежность ключей и алгоритмы подписания. Строгое соответствие предусматривает использование только протокола TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту SP 800-131A.

    Смена - это период смены, определенный стандартом SP 800-131A с сегодняшнего дня до конца 2013 года. Период смены - это период отсрочки, во время которого можно произвести обновление до новых минимальных криптографических требований.

  2. Сохраните и закройте файл.
  3. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл находится в подкаталоге server/conf каталога установки Rational DOORS Web Access. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. Присвойте параметру sslProtocol значение минимальной версии TLS, которое определяется значением системного свойства com.ibm.jsse2.sp800-131. Пример:
    sslProtocol="TLSv1.2"
  5. Укажите комплекты шифров, совместимые со SP 800-131A. Пример:
    ciphers="SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
    Убедитесь, что Secure Sockets Layer (SSL) настроен для использования только утвержденных для SP 800-131A комплектов шифров. Список комплектов шифров можно найти по расположенной ниже ссылке "Комплекты шифров IBM® JSSE2" в разделе ссылок на связанную информацию.

Дальнейшие действия

Обновите клиентские браузеры до версий, поддерживающих минимальную версию TLS. Минимальная версия TLS определяется значением, которое присвоено свойству sslProtocol из файла server.xml.

Сертификаты клиентов и серверов, в том числе корневые и промежуточные, должны иметь длину по крайней мере 112 бит и должны быть надлежащим образом подписаны, как определено в этой процедуре. Проверьте ключи в хранилищах ключей и доверенные сертификаты в доверенных хранилищах.

См. Настройка соответствия NIST SP 800-131A для сервера базы данных и клиента.


Комментарии