Configuration de la conformité à NSA Suite B Cryptography dans Rational DOORS Web Access

Vous pouvez configurer IBM® Rational DOORS Web Access pour qu'il communique via des connexions sécurisées, conformément aux instructions de cryptographie NSA (National Security Agency) Suite B. Ces instructions viennent renforcer les règles de conformité aux normes FIPS 140-2 et NIST SP 800-131A.

Avant de commencer

Configurez Rational DOORS Web Access conformément à la norme FIPS 140-2.

Pourquoi et quand exécuter cette tâche

Pour configurer Rational DOORS Web Access conformément à Suite B, vous modifiez les valeurs de configuration du serveur Apache Tomcat de manière à rejeter les demandes dont les certificats ne satisfont pas les niveaux de chiffrement minimum requis.

Vous devez utiliser un fournisseur de sécurité conforme à FIPS 140-2 et configurer ses propriétés système en vue d'une exécution en mode Suite B. Cette configuration garantit que vous utilisez le protocole et les algorithmes de cryptographie appropriés. La conformité Suite B n'autorise que le protocole TLS 1.2. Vous devez vérifier que les certificats, les clés et le générateur de nombres aléatoires sécurisé, le cas échéant, sont tous conformes à Suite B.

Important : Si vous spécifiez le protocole TLS 1.2, reportez-vous à la documentation fournisseur pour déterminer si votre navigateur prend en charge cette version.
La configuration de Rational DOORS Web Access pour la conformité à Suite B comporte les étapes suivantes :
  • Dans le fichier script de démarrage, définissez les paramètres qui spécifient le protocole SSL et le mode Suite B.
  • Modifiez la configuration du serveur Apache Tomcat pour accepter uniquement le protocole TLS 1.2 et les algorithmes de cryptographie pris en charge.
  • Vérifiez que les clés cryptographiques adhèrent au niveau de chiffrement minimal requis.
  • Vérifiez que les signatures numériques adhèrent au niveau de chiffrement minimal requis.
Un système configuré pour Suite B avec TLS et un niveau minimal de sécurité de 128 bits doit utiliser TLS 1.2 et ECDSA-256 ou ECDSA-384 pour l'authentification client ou serveur. Pour prendre en charge le profil Suite B, la propriété système suivante est fournie :
com.ibm.jsse2.suiteB=128|192|false
Cette propriété système dispose des paramètres suivants :
  • 128 indique le niveau de sécurité minimal de 128 bits.
  • 192 indique le niveau de sécurité minimal de 192 bits.
  • false indique que le système n'est pas conforme à Suite B. Il s'agit de la valeur par défaut.
Lorsque vous définissez la propriété système com.ibm.jsse2.suiteB, IBMJSSE2 vérifie le respect du niveau de sécurité spécifié. IBMJSSE2 valide la conformité du protocole, des clés et des certificats par rapport au profil requis.

Procédure

  1. Ouvrez le fichier script de démarrage Apache Tomcat dans un éditeur et ajoutez les paramètres du protocole SSL, le niveau des bits et les algorithmes de cryptographie. Au niveau de l'entrée com.ibm.jsse2.usefipsprovider, ajoutez des entrées pour ces paramètres :
    Paramètre Valeur
    https.protocols Définissez la valeur sur TLSv1.2.
    com.ibm.jsse2.suiteB Définissez la valeur sur 128 ou 192.
    https.cipherSuites Entrez un algorithme de cryptographie pris en charge. Ce paramètre limite les chiffrements utilisés par les demandes sortantes des services distants. Ces algorithmes doivent être compatibles avec ceux définis pour le serveur distant.
    • Sous Windows, le fichier script server.start.bat se trouve dans le répertoire d'installation de Rational DOORS Web Access ; par exemple, C:\Program Files\IBM\Rational\DOORS Web Access\version. L'exemple suivant inclut les valeurs minimum requises pour le protocole SSL et le niveau de conformité, ainsi que des exemples d'algorithmes de cryptographie pris en charge :
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.suiteB=128
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
      Important : Si la propriété com.ibm.jsse2.sp800-131 est incluse dans le fichier, supprimez-la.
    • Sur les systèmes Linux, le fichier script server.start.sh se trouve dans le répertoire d'installation Rational DOORS Web Access. L'exemple suivant inclut les valeurs minimum requises pour le protocole SSL et le niveau de conformité, ainsi que des exemples d'algorithmes de cryptographie pris en charge :
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.suiteB=128"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
      
      export JAVA_OPTS
      Important : Si la propriété com.ibm.jsse2.sp800-131 est incluse dans le fichier, supprimez-la.
  2. Ouvrez le fichier Apache Tomcat server.xml dans un éditeur. Ce fichier se trouve dans le répertoire d'installation server/conf de Rational DOORS Web Access. Par exemple : C:\Program Files\IBM\Rational\DOORS Web Access\9.version\server\conf
  3. Définissez la valeur sslProtocol sur TLS 1.2 ; par exemple :
    sslProtocol="TLSv1.2"
  4. Définissez les algorithmes de cryptographie sur des valeurs conformes à la norme Suite B. La valeur de cette entrée doit correspondre à celle utilisée dans le paramètre https.cipherSuites du script de démarrage de serveur, comme décrit à l'étape 1. Par exemple :
    ciphers="SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
    Vérifiez que Secure Sockets Layer (SSL) est configuré en vue d'utiliser uniquement un algorithme de cryptographie approuvé pour Suite B.

Que faire ensuite

Mettez à jour les navigateurs client pour prendre en charge TLS 1.2.

Vérifiez que les certificats client et serveur sont correctement signés. Vérifiez les clés dans les fichiers de clés.


Commentaires en retour