Valores de resumen de Cúram

Cuando no se invocan solo con identidad, los usuarios de Cúram (tanto internos como externos) se autentican mediante un inicio de sesión basado en formulario y la contraseña especificada en el formulario se resume y se compara con el valor de resumen almacenado en la base de datos para ese usuario.

Nota: Este procesamiento no se aplica a los usuarios autenticados en sistemas de terceros como LDAP.

La configuración criptográfica de Cúram que va incluida de forma predeterminada en el producto funciona, pero se recomienda modificar dichos valores conforme a los requisitos de seguridad locales. Por ejemplo, puede que los valores OOTB sean válidos para desarrollo, pero se recomienda encarecidamente que se modifiquen en los entornos de producción (p.ej. resumir un valor encriptado de sal).

Los valores de configuración del resumen se almacenan en el archivo CryptoConfig.properties. Las propiedades y sus valores son los siguientes:

curam.security.crypto.digest.algorithm
- Valores válidos: en la documentación de JCE como, por ejemplo, http://docs.oracle.com/javase/6/docs/technotes/guides/security/StandardNames.html#MessageDigest. Los resúmenes soportados son las variantes SHA (1, 256, etc.) y MD5.
- Valor predeterminado: SHA-256 (que cumple con FIPS 140-2 y SP800-131a)
- Finalidad: especificar el algoritmo de resumen.
curam.security.crypto.digest.salt.location
- Valores válidos: una ruta que identifique el archivo que contiene la sal de resumen secreto encriptada.
- Valor predeterminado: ninguno.
- Finalidad: un archivo opcional que especifica la sal (encriptada) utilizada para crear los resúmenes.
curam.security.crypto.digest.iterations
- Valores válidos: 0 o un entero positivo.
- Valor predeterminado: 0
- Finalidad: por lo general, cuanto más alto es el valor, mayor es la seguridad, pero a costa de penalizar el rendimiento (p.ej. en tiempo de inicio de sesión).

Hay un conjunto de correspondientes propiedades "reemplazadas" que flexibilizan la migración de un conjunto de valores o estándares de resumen a otro. Las siguientes propiedades se corresponden con las anteriores y tienen una función similar a ellas, pero las utiliza la funcionalidad de encriptado de Cúram para soportar los valores nuevos y antiguos en el momento de migrar.

curam.security.crypto.superseded.digest.algorithm
curam.security.crypto.superseded.digest.salt.location
curam.security.crypto.superseded.digest.iterations

La propiedad curam.security.convertsupersededpassworddigests.enabled controla la utilización y el comportamiento de las propiedades reemplazadas como se gestionan en la interfaz de usuario de la administración de propiedades. Consulte Cómo utilizar los valores de resumen sustituidos durante un período de migración para obtener información adicional relativa a la utilización de propiedades reemplazadas.