Настройка соответствия NIST SP 800-131A для сервера базы данных и клиента

Сервер базы данных и клиент Rational DOORS можно настроить для взаимодействия с использованием защищенных сокетов в соответствии с требованиями стандарта Special Publications (SP) 800-131A национального института стандартов и технологий (NIST).

Об этой задаче

В стандарте NIST SP 800-131A указаны алгоритмы, которые следует использовать для укрепления защиты, и минимальные длины криптографических ключей, которых требуют алгоритмы. Соответствие требованиям можно настроить в строгом или промежуточном режиме:

Эта необязательная конфигурация. Она может вызывать снижение производительности и потребовать получения новых сертификатов.

Табл. 1. Параметры командной строки и реестра
Параметры и реестр Описание
-sp800-131 Позволяет включить строгое соответствие. Для усиления или ослабления режима соответствия можно указать другие необязательные параметры.
-strictSha2 Позволяет усилить строгий режим за счет проверки SHA2 для всей цепочки сертификатов, а не только конечного сертификата. Например, сервер Rational DOORS, использующий сертификат SHA2 с корневым объектом SHA1, можно запустить в защищенном режиме только в случае применения SP 800-131A. Однако если указаны параметры SP 800-131A и strictSha2, то сервер нельзя запустить в защищенном режиме. Этот параметр игнорируется, если указан параметр -allowSha1.
-allowSha1 Параметр промежуточного режима разрешает соединения с помощью сертификатов SHA1 в дополнение к SHA2.
-allowSha1 Параметр промежуточного режима разрешает соединения по протоколам TLS 1.0 и TLS 1.1 в дополнение к TLS 1.2.

Процедура

Для настройки клиента и сервера базы данных Rational DOORS с учетом требований NIST SP 800-131A выполните следующие действия:

  1. Откройте командную строку, запустите сервер базы данных и укажите параметры из таблицы с помощью команды doorsd. Пример:
    doorsd -sp800-131 -allowTls10And11 -allowSha1
  2. С помощью командной строки запустите клиента и укажите параметры команды doors из следующей таблицы. Пример:
    doors -sp800-131 -allowTls10And11 -allowSha1

Комментарии