Konformität mit NIST SP 800-131A im Datenbankserver und Client konfigurieren

Sie können den Rational DOORS-Datenbankserver und Client für die Kommunikation über sichere Sockets und in Konformität mit dem Standard 800-131A des National Institute of Standards and Technology Special Publications (NIST SP) konfigurieren.

Informationen zu diesem Vorgang

Der Standard NIST SP 800-131A gibt Algorithmen zur Erhöhung der Sicherheit sowie die Mindestverschlüsselungsstärken an, die für die Algorithmen erforderlich sind. Sie können die Konformität im strikten oder im Übergangsmodus konfigurieren:

Diese Konfiguration ist optional. Sie kann sich auf die Leistung auswirken. Zudem können neue Zertifikate erforderlich sein.

Tabelle 1. Befehlszeilenoptionen und Registry-Einstellungen
Option und Registry-Einstellung Beschreibung
-sp800-131 Bei ausschließlicher Verwendung dieser Option wird die strikte Konformität erzwungen. Verwenden Sie diese Option zusammen mit einer anderen optionalen Option, um sie zu verstärken oder zu verringern.
-strictSha2 Diese Option verstärkt den strikten Modus, indem vorausgesetzt wird, dass die vollständige Zertifikatskette und nicht nur das Endzertifikat auf SHA2-Zertifikate geprüft wird. Ein Rational DOORS-Server, der ein SHA2-Zertifikat mit einem SHA1-Stammverzeichnis verwendet, kann beispielsweise im sicheren Modus gestartet werden, wenn nur der Standard SP 800-131A verwendet wird. Sind jedoch sowohl SP 800-131A als auch strictSha2 angegeben, kann der Server nicht im sicheren Modus gestartet werden. Bei Verwendung von -allowSha1 wird diese Option ignoriert.
-allowSha1 Diese Option des Übergangsmodus ermöglicht zusätzlich zu Verbindungen über SHA2-Zertifikate auch Verbindungen über SHA1-Zertifikate.
-allowSha1 Diese Option des Übergangsmodus ermöglicht zusätzlich zu Verbindungen zum TLS 1.2-Protokoll auch Verbindungen zu den TLS 1.0- und TLS 1.1-Protokollen.

Vorgehensweise

So konfigurieren Sie den Rational DOORS-Client und Datenbankserver für die Einhaltung von NIST SP 800-131A:

  1. Öffnen Sie eine Befehlszeile und starten Sie den Datenbankserver. Geben Sie dann mithilfe des Befehls 'doorsd' die Optionen aus der Tabelle ein. Beispiel:
    doorsd -sp800-131 -allowTls10And11 -allowSha1
  2. Starten Sie den Client über die Befehlszeile und geben Sie mithilfe des Befehls 'doors' die Optionen aus der Tabelle ein. Beispiel:
    doors -sp800-131 -allowTls10And11 -allowSha1

Feedback