Configuration de la conformité à NSA Suite B Cryptography dans Rational DOORS Web Access

Vous pouvez configurer Rational DOORS Web Access en vue de communiquer via une connexion sécurisée, conformément aux instructions de cryptographie NSA (National Security Agency) Suite B. Les instructions Suite B renforcent les règles de conformité FIPS-2 et SP 800-131A existantes.

Avant de commencer

Configurez le courtier Rational DOORS Web Access, qui est une adaptation d'Apache ActiveMQ. Voir Prérequis d'installation pour Rational DOORS Web Access.

Pourquoi et quand exécuter cette tâche

Pour configurer Rational DOORS Web Access conformément à Suite B, modifiez les valeurs de configuration du serveur Apache Tomcat afin de rejeter les requêtes avec des certificats ne répondant pas aux niveaux de chiffrement minimum requis.

Vous devez utiliser un fournisseur de sécurité conforme à FIPS 140-2 et configurer ses propriétés système en vue d'une exécution en mode Suite B. Cette configuration garantit que vous utilisez le protocole et les algorithmes de cryptographie appropriés. La conformité Suite B n'autorise que le protocole TLS 1.2. Vous devez vérifier que les certificats, les clés et le générateur de nombres aléatoires sécurisé, le cas échéant, sont tous conformes à Suite B.

Important : Si vous spécifiez le protocole TLS 1.2, reportez-vous à la documentation du fournisseur pour déterminer si votre navigateur prend en charge cette version.
Pour configurer Rational DOORS Web Access conformément à Suite B :
  • Définissez la propriété système dans le fichier de script de démarrage qui spécifie le mode Suite B.
  • Modifiez la configuration du serveur Apache Tomcat pour accepter uniquement le protocole TLS 1.2 et les algorithmes de cryptographie pris en charge.
  • Vérifiez que les clés cryptographiques adhèrent au niveau de chiffrement minimal requis.
  • Vérifiez que les signatures numériques adhèrent au niveau de chiffrement minimal requis.
Un système configuré pour Suite B avec TLS et un niveau minimal de sécurité de 128 bits doit utiliser TLS 1.2 et ECDSA-256 ou ECDSA-384 pour l'authentification client ou serveur. Pour prendre en charge le profil Suite B, la propriété système suivante est fournie :
com.ibm.jsse2.suiteB=128|192|false
Cette propriété système dispose des paramètres suivants :
  • 128 indique le niveau de sécurité minimal de 128 bits.
  • 192 indique le niveau de sécurité minimal de 192 bits.
  • false indique que le système n'est pas conforme à Suite B. Il s'agit de la valeur par défaut.
Lorsque vous définissez la propriété système com.ibm.jsse2.suiteB, IBMJSSE2 vérifie le respect du niveau de sécurité spécifié. IBMJSSE2 valide que le protocole, les clés et les certificats sont conformes au profil requis.

Procédure

  1. Ouvrez le fichier de script de démarrage Apache Tomcat dans un éditeur.
    • Sur les systèmes Windows, le fichier de script server.start.bat se trouve dans le répertoire d'installation de Rational DOORS Web Access ; par exemple, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Vers la fin du fichier, après l'entrée pour Dcom.ibm.jsse2.usefipsprovider, ajoutez l'entrée set JAVA_OPTS pour Dcom.ibm.jsse2.suiteB. Vérifiez ensuite que les entrées s'affichent comme suit :
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Important : Si la propriété Dcom.ibm.jsse2.sp800-131 est incluse dans le fichier, supprimez-la.
    • Sur les systèmes UNIX, le fichier de script server.start.sh se trouve dans le répertoire d'installation de Rational DOORS Web Access. Ajoutez l'entrée JAVA_OPTS pour Dcom.ibm.jsse2.suiteB après l'entrée JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Vérifiez ensuite que les entrées s'affichent comme suit :
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      Important : Si la propriété Dcom.ibm.jsse2.sp800-131 est incluse dans le fichier, supprimez-la.
  2. Ouvrez le fichier Apache Tomcat server.xml dans un éditeur. Ce fichier se trouve dans le répertoire d'installation de Rational DOORS Web Access, dans le répertoire server/conf ; par exemple, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. Définissez la valeur sslProtocol sur TLS 1.2 ; par exemple :
    sslProtocol="TLSv1.2"
  4. Définissez les algorithmes de cryptographie sur un chiffrement conforme à Suite B. Par exemple :
    ciphers=”SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256”
    Vérifiez que Secure Sockets Layer (SSL) est configuré en vue d'utiliser uniquement un algorithme de cryptographie approuvé pour Suite B.

Que faire ensuite

Mettez à jour les navigateurs client pour prendre en charge TLS 1.2.

Vérifiez que les certificats client et serveur sont correctement signés. Vérifiez les clés dans les fichiers de clés.


Commentaires en retour