Настройка соответствия шифрования NSA Suite B в Rational DOORS Web Access

Rational DOORS Web Access можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с руководством по шифрованию Агентства национальной безопасности (АНБ) Suite B. Руководство Suite B повышает надежность существующих стратегий шифрования FIPS-2 и SP 800-131A.

Прежде чем начать

Настройте посредник Rational DOORS Web Access, который является адаптацией Apache ActiveMQ. Смотрите Предварительные требования к установке Rational DOORS Web Access.

Об этой задаче

Для того чтобы настроить Rational DOORS Web Access для соответствия Suite B, необходимо изменить значения параметров конфигурации сервера Apache Tomcat для отклонения запросов, сертификаты которых не отвечают требованиям минимальной длины ключа шифрования.

Вы должны пользоваться провайдером защиты, который отвечает FIPS 140-2, и настроить его системные свойства для работы в режиме Suite B. Эта конфигурация гарантирует, что вы используете надлежащие протоколы и комплекты шифров. Соответствие Suite B допускает только протокол TLS 1.2. Вы должны обеспечить соответствие сертификатов, ключей и генератора секретного случайного числа, если указан, стандарту Suite B.

Важное замечание: Если указан протокол TLS версии 1.2, обратитесь к документации вендора, чтобы определить, поддерживается ли она браузером.
Для настройки Rational DOORS Web Access для соответствия Suite B выполните следующие действия:
  • В файле сценария запуска включите системное свойство, которое задает режим Suite B.
  • Измените конфигурацию сервера Apache Tomcat для принятия только протокола TLS 1.2 и поддерживаемых комплектов шифров.
  • Обеспечьте соответствие криптографических ключей требованию к минимальной криптографической стойкости.
  • Убедитесь, что цифровые подписи имеют по крайней мере минимальную требуемую стойкость.
Система, которая настроена для Suite B с использованием TLS и с минимальным уровнем защиты 128 разрядов, должна использовать версию TLS 1.2 и либо ECDSA-256, либо ECDSA-384 для клиентской или серверной идентификации. Для поддержки профиля Suite B предусмотрено следующее системное свойство:
com.ibm.jsse2.suiteB=128|192|false
Параметры этого системного свойства таковы:
  • 128 задает минимальный уровень защиты 128 разрядов.
  • 192 задает минимальный уровень защиты 192 разряда.
  • false указывает, что система не соответствует Suite B. Это значение указано по умолчанию.
Когда задается значение системного свойства com.ibm.jsse2.suiteB, IBMJSSE2 обеспечивает соответствие указанному уровню защиты. IBMJSSE2 проверяет соответствие протокола, ключей и сертификатов запрошенному профилю.

Процедура

  1. Откройте файл сценария запуска Apache Tomcat в редакторе.
    • В системах Windows файл сценария server.start.bat находится в каталоге установки Rational DOORS Web Access. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. В нижней части файла после записи Dcom.ibm.jsse2.usefipsprovider добавьте запись set JAVA_OPTS для Dcom.ibm.jsse2.suiteB. Затем убедитесь, что записи выглядят так:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Важное замечание: Если в файле указано свойство Dcom.ibm.jsse2.sp800-131, то удалите это свойство.
    • В UNIX файл сценария server.start.sh находится в каталоге установки Rational DOORS Web Access. Добавьте запись JAVA_OPTS для Dcom.ibm.jsse2.suiteB после записи JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Затем убедитесь, что записи выглядят так:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      Важное замечание: Если в файле указано свойство Dcom.ibm.jsse2.sp800-131, то удалите это свойство.
  2. Откройте файл Apache Tomcat server.xml в редакторе. Этот файл находится в подкаталоге server/conf каталога установки Rational DOORS Web Access. Пример: C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. Присвойте параметру sslProtocol значение TLS 1.2. Пример:
    sslProtocol="TLSv1.2"
  4. Укажите комплекты шифров, совместимые со Suite B. Пример:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    Убедитесь, что Secure Sockets Layer (SSL) настроен для использования только того комплекта шифров, который утвержден для соответствия Suite B.

Дальнейшие действия

Обновите клиентские браузеры для поддержки TLS 1.2.

Убедитесь в правильности подписания клиентских и серверных сертификатов. Проверьте ключи в хранилищах ключей.


Комментарии