Configuration de la conformité à NIST SP 800-131A dans Rational DOORS Web Access

Vous pouvez configurer IBM® Rational DOORS Web Access pour qu'il communique via des connexions sécurisées, conformément à la norme NIST SP 800-131A. Cette norme spécifie les algorithmes à utiliser pour renforcer la sécurité et les niveaux de chiffrement minimum requis pour les algorithmes.

Avant de commencer

Configurez Rational DOORS Web Access conformément à la norme FIPS 140-2.

Pourquoi et quand exécuter cette tâche

Pour configurer Rational DOORS Web Access conformément à SP 800-131A, vous modifiez les valeurs de configuration du serveur Apache Tomcat de manière à rejeter les demandes dont les certificats ne satisfont pas les niveaux de chiffrement minimum requis. Vous devez utiliser un fournisseur de sécurité conforme à FIPS 140-2 et configurer ses propriétés système en vue d'une exécution en mode SP 800-131A. Cette configuration garantit que vous utilisez le protocole et les algorithmes de cryptographie appropriés.

Pour une conformité stricte, le niveau de chiffrement de la clé et les algorithmes de signature sont également vérifiés. La conformité stricte n'autorise que le protocole TLS 1.2. Assurez-vous que les certificats, les clés et le générateur de nombres aléatoires sécurisé, le cas échéant, sont conformes à la norme SP 800-131A.

Important : Si vous spécifiez le protocole TLS 1.2, reportez-vous à la documentation fournisseur pour déterminer si votre navigateur prend en charge cette version.

Lorsque Rational DOORS Web Access est activé pour prendre en charge la norme SP800-131A en mode strict, tous les services distants doivent également être configurés pour prendre en charge SP 800-131A en mode strict. Si un service distant n'est pas compatible avec la configuration minimale requise pour SP 800-131A en mode strict, les demandes auprès de ce service échouent.

La configuration de Rational DOORS Web Access pour la conformité à NIST SP 800-131A comporte les étapes suivantes :
  • Dans le script de démarrage Apache Tomcat, définissez les paramètres système qui spécifient le protocole SSL et le mode SP 800-131A. Indiquez un algorithme de cryptographie de manière à limiter les demandes sortantes des services distants.
  • Modifiez la configuration du serveur Apache Tomcat pour accepter uniquement des protocoles et des algorithmes de cryptographie spécifiques.
  • Vérifiez que les clés cryptographiques adhèrent à un niveau de chiffrement minimal de 112 bits.
  • Vérifiez que les signatures numériques sont au minimum SHA2-2048 bits.

Procédure

  1. Ouvrez le fichier script de démarrage Apache Tomcat dans un éditeur et ajoutez les paramètres du protocole SSL, le niveau de conformité SP 800-131A et les algorithmes de cryptographie. Au niveau de l'entrée com.ibm.jsse2.usefipsprovider que vous avez insérée pour la norme FIPS 140-2, ajoutez les entrées JAVA_OPTS pour les paramètres suivants :
    Paramètre Valeur
    https.protocols Définissez la valeur sur TLSv1.2. Le protocole doit être compatible avec les protocoles activés sur le serveur distant.
    com.ibm.jsse2.sp800-131 Définissez la valeur sur strict.
    https.cipherSuites Entrez un algorithme de cryptographie pris en charge. Ce paramètre limite les chiffrements utilisés par les demandes sortantes des services distants. Ces algorithmes doivent être compatibles avec ceux définis pour le serveur distant.
    • Sur les systèmes Windows, le fichier script server.start.bat se trouve dans le répertoire d'installation de Rational DOORS Web Access ; par exemple, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version. L'exemple suivant inclut les valeurs requises pour le protocole SSL et le niveau de conformité, ainsi que des exemples d'algorithmes de cryptographie pris en charge :
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Sur les systèmes UNIX, le fichier script server.start.sh se trouve dans le répertoire d'installation de Rational DOORS Web Access. L'exemple suivant inclut les valeurs requises pour le protocole SSL et le niveau de conformité, ainsi que des exemples d'algorithmes de cryptographie pris en charge :
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    Pour une conformité stricte, le niveau de chiffrement de la clé et les algorithmes de signature sont également vérifiés. La conformité stricte n'autorise que le protocole TLS 1.2. Assurez-vous que les certificats, les clés et le générateur de nombres aléatoires sécurisé, le cas échéant, sont tous conformes à la norme SP 800-131A.

  2. Enregistrez et fermez le fichier.
  3. Ouvrez le fichier Apache Tomcat server.xml dans un éditeur. Ce fichier se trouve dans le répertoire d'installation server/conf de Rational DOORS Web Access ; par exemple, C:\Program Files (x86)\IBM\Rational\DOORS Web Access\version\server\conf
  4. Dans la section relative au connecteur HTTPS, définissez les valeurs sslProtocol et sslEnabledProtocols sur la version TLS minimale, basée sur la valeur déterminée par la valeur de la propriété système com.ibm.jsse2.sp800-131. Par exemple :
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    Pour en savoir plus sur la section du connecteur HTTPS, voir Configuration de Rational DOORS Web Access pour utiliser SSL ou TLS.
  5. Définissez les algorithmes de cryptographie pour restreindre davantage les éléments acceptés par le serveur. La valeur de cette entrée doit correspondre à celle utilisée dans le paramètre https.cipherSuites du script de démarrage de serveur, comme décrit à l'étape 1. Par exemple :
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Vérifiez que Secure Sockets Layer (SSL) est configuré en vue d'utiliser uniquement un algorithme de cryptographie approuvé pour SP 800-131A. Pour obtenir la liste des algorithmes de cryptographie, voir "IBM JSSE2 Cipher Suites" dans les informations connexes.

Que faire ensuite

Mettez à jour les navigateurs client avec un navigateur prenant en charge la version TLS minimale. Cette dernière est déterminée par la valeur spécifiée dans la propriété sslProtocol du fichier server.xml.

Vérifiez que les certificats client et serveur, notamment les certificats root et intermédiaires, font au moins 112 bits et sont correctement signés, comme défini dans cette procédure. Vérifiez les clés dans les fichiers de clés et les certificats de confiance dans les magasins de clés de confiance.

Voir Configuration de la conformité à NIST SP 800-131A dans le client et le serveur de base de données Rational DOORS.


Commentaires en retour