Configuración del cumplimiento para NIST SP 800-131A en Rational DOORS Web Access

Puede configurar Rational DOORS Web Access para comunicarse a través de sockets seguros, de acuerdo con el estándar 800-131A de publicaciones especiales (SP) del Instituto Nacional de Estándares y Tecnología (NIST). Este estándar especifica los algoritmos a utilizar para fortalecer la seguridad y la fortaleza de cifrado mínima necesaria para los algoritmos.

Antes de empezar

Configure Rational DOORS Web Access para cumplir con FIPS 140-2.

Acerca de esta tarea

Para configurar Rational DOORS Web Access para cumplir con SP 800-131A, debe modificar los valores de configuración del servidor Apache Tomcat para rechazar solicitudes con certificados que no cumplen la fortaleza de cifrado mínima requerida. Debe utilizar un proveedor de seguridad que cumpla con FIPS 140-2 y configurar sus propiedades del sistema para que se ejecute en modalidad SP 800-131A. Dicha configuración garantiza que esté utilizando el protocolo y los paquetes de cifrado adecuados.

Para una conformidad estricta, también se verifican los algoritmos de firma y nivel de clave. El cumplimiento estricto solo permite el protocolo TLS 1.2. Debe asegurarse de que los certificados, claves y el generador de números aleatorios seguro, si se especifica, sean compatibles con SP 800-131A.

Importante: Si especifica el protocolo TLS 1.2, consulte la documentación del proveedor para determinar si su navegador admite esa versión.
Para configurar Rational DOORS Web Access para que cumpla con NIST SP 800-131A:
  • Establezca la propiedad del sistema que especifica la modalidad SP 800-131A.
  • Modifique la configuración de servidor Apache Tomcat para aceptar solo paquetes de cifrado y protocolos específicos.
  • Asegúrese de que las claves criptográficas se ajustan a un nivel de clave mínimo de 112 bits.
  • Asegúrese de que las firmas digitales sean un mínimo de SHA2.

Procedimiento

  1. Abra el archivo de script de inicio de Apache Tomcat en un editor.
    • En los sistemas Windows, el archivo de script server.start.bat está en el directorio de instalación de Rational DOORS Web Access; por ejemplo, C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Hacia el final del archivo, después de la entrada para Dcom.ibm.jsse2.usefipsprovider, añada la entrada set JAVA_OPTS para Dcom.ibm.jsse2.sp800-131. Asegúrese de que las entradas se muestran de la siguiente manera:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • En sistemas UNIX, el archivo de script server.start.sh se encuentra en el directorio de instalación de Rational DOORS Web Access. Añada la entrada JAVA_OPTS para Dcom.ibm.jsse2.sp800-131 después de la entrada JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Asegúrese de que las entradas se muestren de la siguiente manera, donde com.ibm.jsse2.sp800-131 se puede establecer en transición o estricta:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict
      
      export JAVA_OPTS

    Para una conformidad estricta, también se verifican los algoritmos de firma y nivel de clave. El cumplimiento estricto solo permite el protocolo TLS 1.2. Debe asegurarse de que los certificados, claves y el generador de números aleatorios seguro, si se especifica, sean compatibles con SP 800-131A.

    La transición es el periodo de transición definido por SP 800-131A, desde hoy hasta el final de 2013. El periodo de transición es un periodo de gracia en el que puede realizar la actualización a los nuevos requisitos criptográficos mínimos.

  2. Guarde y cierre el archivo.
  3. Abra el archivo server.xml de Apache Tomcat en un editor. Este archivo está en la instalación de Rational DOORS Web Access en el directorio server/conf; por ejemplo, C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  4. Establezca el valor sslProtocol en la versión TLS mínima, basado en el valor determinado por el valor de propiedad del sistema com.ibm.jsse2.sp800-131; por ejemplo:
    sslProtocol="TLSv1.2"
  5. Establezca los paquetes de cifrado en cifrados que cumplan con SP 800-131A; por ejemplo:
    ciphers="SSL_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
    Asegúrese de que la capa de sockets seguros (SSL) esté configurada para utilizar solo un paquete de cifrado aprobado para SP 800-131A. Para obtener una lista de paquetes de cifrado, consulte "IBM® JSSE2 Cipher Suites" en los enlaces de información relacionada que aparecen a continuación.

Qué hacer a continuación

Actualice los navegadores del cliente a uno que admita la versión TLS mínima. La versión TLS mínima está determinada por el valor especificado en la propiedad sslProtocol, que se encuentra en el archivo server.xml.

Asegúrese de que los certificados de cliente y servidor, incluidos los certificados raíz e intermedios, sean al menos de 112 bits y se firmen de manera adecuada, como se define en este procedimiento. Compruebe las claves en los almacenes de claves y los certificados de confianza de los almacenes de confianza.

Consulte Configuración del cumplimiento de NIST SP 800-131A en el servidor de base de datos y el cliente.


Comentarios