Configurando a Conformidade com o NIST SP 800-131A no Rational DOORS Web Access

É possível configurar o IBM® Rational DOORS Web Access para se comunicar por meio de soquetes seguros em conformidade com o padrão do National Institute of Standards and Technology (NIST) Special Publication (SP) 800-131A. Esse padrão especifica os algoritmos que devem ser usados para intensificar a segurança e os requisitos mínimos de segurança de criptografia necessários para os algoritmos.

Antes de Iniciar

Configure o Rational DOORS Web Access para obedecer ao Federal Information Processing Standard (FIPS) 140-2.

Sobre Esta Tarefa

Para configurar o Rational DOORS Web Access para obedecer ao SP 800-131A, modifique os valores de configuração do servidor Apache Tomcat para rejeitar solicitações com certificados que não atenderem à segurança de criptografia mínima obrigatória. Deve-se utilizar um provedor de segurança que esteja em conformidade com o FIPS 140-2 e configurar suas propriedades de sistema para executarem no modo SP 800-131A. Essa configuração assegura que você esteja usando o protocolo e os conjuntos de cifras adequados.

Para conformidade exata, os algoritmos da segurança da chave e da assinatura também são verificados. A conformidade estrita permite apenas o protocolo TLS 1.2. Deve-se assegurar-se de que os certificados, as chaves e o gerador do número aleatório seguro, se especificados, obedeçam ao SP 800-131A.

Importante: Se você especificar o protocolo TLS 1,2, consulte a documentação do fornecedor para determinar se seu navegador suporta essa versão.

Quando o Rational DOORS Web Access está ativado para suportar SP800-131A no modo restrito, todos os serviços remotos também deverão ser configurados para suportar o modo restrito do SP 800-131A. Se um serviço remoto não suportar os requisitos mínimos para o modo restrito do SP 800-131A, que solicitação pedido para esse serviço falhará.

Configurando o Rational DOORS Web Access para obedecer ao NIST SP 800-131A envolve estas etapas:
  • No script de inicialização Apache Tomcat, configure os parâmetros do sistema que especificam o protocolo SSL e o modo SP 800-131A. Configure um parâmetro de conjunto de cifras para restringir as solicitações realizadas para serviços remotos.
  • Modifique a configuração do servidor Apache Tomcat para aceitar apenas protocolos e conjuntos de cifras específicos.
  • Assegure-se de que as chaves criptográficas atendam aos requisitos mínimos de segurança da chave de 112 bits.
  • Assegure-se de que as assinaturas digitais sejam, no mínimo, SHA2 e 2048 bits.

Procedimento

  1. Abra o arquivo de script de inicialização do Apache Tomcat em um editor e inclua parâmetros para o protocolo SSL, o nível de conformidade SP 800-131A e os conjuntos de cifras. Na entrada com.ibm.jsse2.usefipsprovider que você incluiu para FIPS 140-2, inclua as entradas JAVA_OPTS para estes parâmetros:
    Parâmetro Valor
    https.protocols Configure para TLSv1.2. O protocolo deve ser compatível com os protocolos que estão ativadas no servidor remoto.
    com.ibm.jsse2.sp800-131 Configure para restrito.
    https.cipherSuites Insira um conjunto de cifras suportado. Esse parâmetro restringe as cifras que são usadas por solicitações realizadas para serviços remotos. Esses conjuntos de cifras devem ser compatíveis com os conjuntos de cifras configurados para o servidor remoto.
    • Em sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do Rational DOORS Web Access; por exemplo, C:\Arquivos de Programas (x86)\IBM\Rational\DOORS Web Access\versão. Este exemplo inclui os valores necessários para o protocolo SSL e os parâmetros de nível de conformidade, e um exemplo de conjuntos de cifras suportados:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Em sistemas UNIX, o arquivo de script server.start.sh está no diretório de instalação do Rational DOORS Web Access. Este exemplo inclui os valores necessários para o protocolo SSL e os parâmetros de nível de conformidade, e um exemplo de conjuntos de cifras suportados:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    Para conformidade exata, os algoritmos da segurança da chave e da assinatura também são verificados. A conformidade estrita permite apenas o protocolo TLS 1.2. Deve-se assegurar-se de que todos os certificados, chaves e o gerador seguro de números aleatórios, se especificados, obedeçam aos SP 800-131A.

  2. Salve e feche o arquivo.
  3. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do Rational DOORS Web Access no diretório server/conf por exemplo, C:\Arquivos de programas (x86)\IBM\Rational\DOORS Web Access\versão\server\conf
  4. Na seção conector HTTPS, configure os valores sslProtocol e sslEnabledProtocols para a versão mínima do TLS, que se baseia no valor que é determinado pelo valor da propriedade do sistema com.ibm.jsse2.sp800-131; por exemplo:
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    Para obter mais informações sobre a seção conector HTTPS, consulte Configurando o Rational DOORS Web Access para usar SSL ou TLS.
  5. Configure os conjuntos de cifras para restringir ainda mais o que o servidor aceita. O valor para essa entrada deve corresponder ao valor que é utilizado no parâmetro https.cipherSuites no script de inicialização do servidor, conforme descrito na etapa 1; por exemplo:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Assegure-se que o Secure Sockets Layer (SSL) seja configurado para usar apenas um conjunto de cifras aprovado para SP 800-131A. Para obter uma lista de conjuntos de cifras, consulte "Conjuntos de CifrasIBM JSSE2" em Informações relacionados.

O que Fazer Depois

Atualize os navegadores clientes para um que suporte a versão mínima do TLS. A versão mínima do TLS é determinada pelo valor que é especificado na propriedade sslProtocol que está no arquivo server.xml .

Assegure-se de que os certificados de cliente e servidor, incluindo certificados raízes e intermediários, tenham pelo menos 112 bits e estejam assinados adequadamente, conforme definido neste procedimento. Verifique as chaves nos armazenamentos de chaves e os certificados confiáveis nos armazenamentos confiáveis.

Consulte Configurando a Conformidade com o NIST SP 800-131A no cliente e servidor de banco de dados Rational DOORS..


Feedback