Configurando a Conformidade com o NSA Suite B Cryptography no Rational DOORS Web Access

É possível configurar o Rational DOORS Web Access para se comunicar por meio de soquetes seguros em conformidade com a diretriz de criptografia National Security Agency (NSA) Suite B. A diretriz Suite B fortalece as políticas de conformidade FIPS-2 e SP 800-131A existentes

Antes de Iniciar

Configure o broker do Rational DOORS Web Access, que é uma adaptação do Apache ActiveMQ. Consulte Pré-requisitos de Instalação do Rational DOORS Web Access.

Sobre Esta Tarefa

Para configurar o Rational DOORS Web Access para obedecer ao Suite B, modifique os valores de configuração do servidor Apache Tomcat para rejeitar solicitações com certificados que não atenderem à intensidade de criptografia mínima obrigatória.

Você deve usar um provedor de segurança compatível com FIPS 140-2 e configurar suas propriedades de sistema para executar no modo Suite B. Essa configuração assegura que você esteja usando o protocolo e os conjuntos de cifras adequados. A conformidade do Suite B permite apenas o protocolo TLS 1.2. Você deve assegurar-se de que os certificados, as chaves e o gerador seguro de números aleatórios, se especificados, sejam todos compatíveis com Suite B.

Importante: Se você especificar o protocolo TLS 1.2, consulte a documentação do fornecedor para determinar se o seu navegador suporta essa versão.
Para configurar o Rational DOORS Web Access para obedecer ao Suite B:
  • Configure a propriedade de sistema no arquivo de script de inicialização que especifica o modo Suite B.
  • Modifique as configurações do servidor Apache Tomcat para aceitar apenas o protocolo TLS 1.2 e conjuntos de cifras suportados.
  • Assegure-se de que as chaves criptográficas atendam aos requisitos de segurança mínimos necessários da chave.
  • Assegure-se de que as assinaturas digitais atendam aos requisitos mínimos de segurança necessários.
Um sistema que é configurado para o Suite B com o TLS e um nível mínimo de segurança de 128 bits deve usar o TLS 1.2 e o ECDSA-256 ou ECDSA-384 para autenticação de cliente ou servidor. Para suportar o perfil de Suite B, a seguinte propriedade de sistema é fornecida:
com.ibm.jsse2.suiteB=128|192|false
Essa propriedade de sistema possui estes parâmetros:
  • 128 especifica o nível mínimo de segurança de 128 bits.
  • 192 especifica o nível mínimo de segurança de 192 bits.
  • false especifica que o sistema não é compatível com Suite B. Esse é o valor padrão.
Ao configurar a propriedade de sistema com.ibm.jsse2.suiteB, IBMJSSE2 garante o cumprimento de requisitos para o nível de segurança especificado. IBMJSSE2 valida que o protocolo, as chaves e os certificados são compatíveis com o perfil solicitado.

Procedimento

  1. Abra o arquivo de script de inicialização do Apache Tomcat em um editor.
    • Em sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do Rational DOORS Web Access; por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Perto do final do arquivo, depois da entrada para Dcom.ibm.jsse2.usefipsprovider, inclua a entrada set JAVA_OPTS para Dcom.ibm.jsse2.suiteB. Em seguida, certifique-se de que as entradas sejam mostradas da seguinte forma:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Importante: Se a propriedade Dcom.ibm.jsse2.sp800-131 estiver incluída no arquivo, remova-a.
    • No UNIX, o arquivo de script server.start.sh está no diretório de instalação do Rational DOORS Web Access. Inclua a entrada JAVA_OPTS para Dcom.ibm.jsse2.suiteB depois da entrada JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Em seguida, certifique-se de que as entradas sejam mostradas da seguinte forma:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      Importante: Se a propriedade Dcom.ibm.jsse2.sp800-131 estiver incluída no arquivo, remova-a.
  2. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do Rational DOORS Web Access no diretório server/conf, por exemplo, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. Configure o valor de sslProtocol para TLS 1.2; por exemplo:
    sslProtocol="TLSv1.2"
  4. Configure os conjuntos de cifras para cifras compatíveis com o Suite B; por exemplo:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    Assegure-se de que o Secure Sockets Layer (SSL) esteja configurado para usar apenas um conjunto de cifras que é aprovado pela conformidade Suite B.

O que Fazer Depois

Atualize os navegadores clientes para suportar TLS 1.2.

Assegure-se de que os certificados de cliente e servidor sejam assinados adequadamente. Verifique as chaves nos armazenamentos de chaves.


Feedback