Configuración del cumplimiento de NSA Suite B Cryptography en Rational DOORS Web Access

Puede configurar IBM® Rational DOORS Web Access para comunicarse a través de sockets seguros de acuerdo con las pautas Suite B Cryptography de la Agencia de Seguridad Nacional estadounidense (NSA). La directriz Suite B refuerza las políticas de cumplimiento del Estándar federal de procesamiento de información (FIPS) 140-2 y la publicación especial (SP) 800-131A del Instituto Nacional de Estándares y Tecnología (NIST).

Antes de empezar

Configure Rational DOORS Web Access para cumplir con FIPS 140-2.

Acerca de esta tarea

Para configurar Rational DOORS Web Access para cumplir con Suite B, debe modificar los valores de configuración del servidor de Apache Tomcat para rechazar solicitudes con certificados que no cumplan con la fortaleza de cifrado mínima requerida.

Debe utilizar un proveedor de seguridad que cumpla con FIPS 140-2 y configurar sus propiedades del sistema para que se ejecute en modalidad Suite B. Dicha configuración garantiza que esté utilizando el protocolo y los paquetes de cifrado adecuados. El cumplimiento de Suite B solo permite el protocolo TLS 1.2. Debe asegurarse de que los certificados, las claves y el generador seguro de números aleatorios, si se especifican, cumplen todos con Suite B.

Importante: Si especifica el protocolo TLS 1.2, consulte la documentación para determinar si el navegador admite dicha versión .
La configuración de Rational DOORS Web Access para cumplir con Suite B implica estos pasos:
  • En el archivo de script de inicio, establezca los parámetros que especifican el protocolo SSL y la modalidad Suite B.
  • Modifique la configuración de servidor Apache Tomcat para aceptar solo paquetes de cifrado y protocolo TLS 1.2.
  • Asegúrese de que las claves criptográficas se ajusten al nivel de clave mínimo necesario.
  • Asegúrese de que las firmas digitales se ajusten a la fortaleza mínima necesaria.
Un sistema configurado para Suite B con TLS y un nivel mínimo de seguridad de 128 bits deben utilizar TLS 1.2 y ECDSA-256 o ECDSA-384 para la autenticación de cliente o servidor. Para dar soporte al perfil Suite B, se proporciona la siguiente propiedad del sistema:
com.ibm.jsse2.suiteB=128|192|false
Esta propiedad del sistema tiene estos parámetros:
  • 128 especifica un nivel de seguridad mínimo de 128 bits.
  • 192 especifica un nivel de seguridad mínimo de 192 bits.
  • false especifica que el sistema no cumple con Suite B. Este es el valor predeterminado.
Al establecer la propiedad del sistema com.ibm.jsse2.suiteB, IBMJSSE2 garantiza el cumplimiento con el nivel de seguridad especificado. IBMJSSE2 valida que el protocolo, las claves y los certificados cumplen con el perfil solicitado.

Procedimiento

  1. Abra el archivo de script de inicio de Apache Tomcat en un editor y añada los parámetros para el protocolo SSL, el nivel de bits y los paquetes de cifrado. En la entrada com.ibm.jsse2.usefipsprovider, añada entradas para estos parámetros:
    Parámetro Valor
    https.protocols Se establece en TLSv1.2.
    com.ibm.jsse2.suiteB Se establece en 128 o 192.
    https.cipherSuites Escriba un paquete de cifrado soportado. Este parámetro restringe los paquetes usados por las solicitudes salientes para servicios remotos. Estos paquetes de cifrado deben ser compatibles con los paquetes de cifrado establecidos para el servidor remoto.
    • En sistemas Windows, el archivo de script server.start.bat está en el directorio de instalación de Rational DOORS Web Access; por ejemplo, C:\Archivos de programa\IBM\Rational\DOORS Web Access\versión.Este ejemplo incluye los valores mínimos necesarios para el protocolo SSL y los parámetros de nivel de cumplimiento, y un ejemplo de los paquetes de cifrado soportados:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Importante: Si la propiedad com.ibm.jsse2.sp800-131 está en el archivo, elimínela.
    • En los sistemas Linux, el archivo de script server.start.sh se encuentra en el directorio de instalación de Rational DOORS Web Access. Este ejemplo incluye los valores mínimos necesarios para el protocolo SSL y los parámetros de nivel de cumplimiento, y un ejemplo de los paquetes de cifrado soportados:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      Importante: Si la propiedad com.ibm.jsse2.sp800-131 está en el archivo, elimínela.
  2. Abra el archivo server.xml de Apache Tomcat en un editor. Este archivo está en la instalación de Rational DOORS Web Access del directorio server/conf; por ejemplo, C:\Archivos de programa\IBM\Rational\DOORS Web Access\9.versión\server\conf
  3. Establezca el valor sslProtocol en TLS 1.2; por ejemplo:
    sslProtocol="TLSv1.2"
  4. Establezca los paquetes de cifrado en cifrados que cumplan con Suite B. El valor de esta entrada debe coincidir con el valor usado en el parámetro https.cipherSuites del script de inicio del servidor, tal como se describe en el paso 1; por ejemplo:
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    Asegúrese de que la capa de sockets seguros (SSL) esté configurada para utilizar solo un paquete de cifrado aprobado para el cumplimiento de Suite B.

Qué hacer a continuación

Actualice los navegadores del cliente para admitir TLS 1.2.

Asegúrese de que los certificados de cliente y servidor estén firmados correctamente. Compruebe las claves y almacenes de claves.


Comentarios