Configuración del cumplimiento de NSA Suite B Cryptography en Rational DOORS Web Access

Puede configurar Rational DOORS Web Access para comunicarse a través de sockets seguros de acuerdo con las pautas Suite B Cryptography de la Agencia de Seguridad Nacional estadounidense (NSA). Las pautas Suite B consolidan las políticas de conformidad FIPS-2 y SP 800-131A existentes.

Antes de empezar

Configure el intermediario de Rational DOORS Web Access, que es una adaptación de Apache ActiveMQ. Consulte Requisitos previos de la instalación para Rational DOORS Web Access.

Acerca de esta tarea

Para configurar Rational DOORS Web Access para cumplir con Suite B, debe modificar los valores de configuración del servidor Apache Tomcat para rechazar solicitudes con certificados que no cumplen la fortaleza de cifrado mínima requerida.

Debe utilizar un proveedor de seguridad que cumpla con FIPS 140-2 y configurar sus propiedades del sistema para que se ejecute en modalidad Suite B. Dicha configuración garantiza que esté utilizando el protocolo y los paquetes de cifrado adecuados. El cumplimiento de Suite B solo permite el protocolo TLS 1.2. Debe asegurarse de que los certificados, claves y el generador de números aleatorios seguro, si se especifica, sean compatibles con Suite B.

Importante: Si especifica el protocolo TLS 1.2, consulte la documentación del proveedor para determinar si su navegador admite esa versión.
Para configurar Rational DOORS Web Access para que cumpla con Suite B:
  • Establezca la propiedad del sistema en el archivo de script de inicio que especifica la modalidad Suite B.
  • Modifique la configuración de servidor Apache Tomcat para aceptar solo paquetes de cifrado y protocolo TLS 1.2.
  • Asegúrese de que las claves criptográficas se ajusten al nivel de clave mínimo necesario.
  • Asegúrese de que las firmas digitales se ajusten a la fortaleza mínima necesaria.
Un sistema configurado para Suite B con TLS y un nivel mínimo de seguridad de 128 bits deben utilizar TLS 1.2 y ECDSA-256 o ECDSA-384 para la autenticación de cliente o servidor. Para dar soporte al perfil Suite B, se proporciona la siguiente propiedad del sistema:
com.ibm.jsse2.suiteB=128|192|false
Esta propiedad del sistema tiene los siguientes parámetros:
  • 128 especifica un nivel de seguridad mínimo de 128 bits.
  • 192 especifica un nivel de seguridad mínimo de 192 bits.
  • false especifica que el sistema no cumple con Suite B. Este es el valor predeterminado.
Al establecer la propiedad del sistema com.ibm.jsse2.suiteB, IBMJSSE2 garantiza el cumplimiento con el nivel de seguridad especificado. IBMJSSE2 valida que el protocolo, claves y certificados sean compatibles con el perfil solicitado.

Procedimiento

  1. Abra el archivo de script de inicio de Apache Tomcat en un editor.
    • En los sistemas Windows, el archivo de script server.start.bat está en el directorio de instalación de Rational DOORS Web Access; por ejemplo, C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\1.5.0.1. Hacia el final del archivo, después de la entrada de Dcom.ibm.jsse2.usefipsprovider, añada la entrada set JAVA_OPTS de Dcom.ibm.jsse2.suiteB. Asegúrese de que las entradas se muestran de la siguiente manera:
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Importante: Si la propiedad Dcom.ibm.jsse2.sp800-131 se incluye en el archivo, elimínela.
    • En UNIX, el archivo de script server.start.sh se encuentra ubicado en el directorio de instalación de Rational DOORS Web Access. Añada la entrada JAVA_OPTS para Dcom.ibm.jsse2.suiteB después de la entrada JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true. Asegúrese de que las entradas se muestran de la siguiente manera:
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128
      
      export JAVA_OPTS
      Importante: Si la propiedad Dcom.ibm.jsse2.sp800-131 se incluye en el archivo, elimínela.
  2. Abra el archivo server.xml de Apache Tomcat en un editor. Este archivo está en la instalación de Rational DOORS Web Access en el directorio server/conf; por ejemplo, C:\Archivos de programa (x86)\IBM\Rational\DOORS Web Access\1.5.0.1\server\conf
  3. Establezca el valor sslProtocol en TLS 1.2; por ejemplo:
    sslProtocol="TLSv1.2"
  4. Establezca los paquetes de cifrado en cifrados que cumplan con Suite B; por ejemplo:
    ciphers=”SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256”
    Asegúrese de que la capa de sockets seguros (SSL) esté configurada para utilizar solo un paquete de cifrado aprobado para el cumplimiento de Suite B.

Qué hacer a continuación

Actualice los navegadores del cliente para admitir TLS 1.2.

Asegúrese de que los certificados de cliente y servidor estén firmados correctamente. Compruebe las claves en los almacenes de claves.


Comentarios