Configurations des normes de sécurité WebSphere Application Server

WebSphere Application Server peut être configuré pour gérer les diverses normes de sécurité généralement utilisées pour respecter les exigences de sécurité requises par le gouvernement.

Remarque : WebSphere Application Server intègre des modules de chiffrement, dont JSSE (Java™ Secure Socket Extension) et JCE (Java Cryptography Extension). La plupart des exigences des normes sont traitées dans les modules JSSE et JCE, qui doivent suivre le processus de certification pour respecter les normes gouvernementales. WebSphere Application Server doit être configuré pour s'exécuter avec les modules JSSE et JCE conformément à une norme particulière, et prend désormais en charge les normes de sécurité FIPS 140-2, SP800-131 et Suite B.
  • FIPS 140-2 : normes FIPS (Federal Information Processing Standards) imposant des exigences sur les modules de chiffrement. La plupart des utilisateurs peuvent être configurés pour utiliser ce niveau mais risquent d'être obligés de passer à la nouvelle norme SP800-131 ou Suite B.

    Visitez le site Web The National Institute of Standards and Technology pour plus d'informations sur la norme 140-2.

    Pour configurer FIPS 140-2, reportez-vous à la rubrique Configuration de fichiers JSSE (Java Secure Socket Extension) conformes à la norme FIPS.

  • SP800-131 est une exigence émanant de l'organisme NIST (National Institute of Standards and Technology) qui exige des longueurs de clé plus élevées et un chiffrement plus puissant. La spécification fournit également une configuration de transition permettant aux utilisateurs de passer à un application stricte de SP800-131. La configuration de transition permet également aux utilisateurs de travailler avec une combinaison de paramètres issus de FIPS140-2 et de SP800-131. SP800-131 peut être exécuté dans deux modes : transition et strict.
    L'application stricte des exigences SP800-131 sur WebSphere Application Server inclut ce qui suit :
    • Utilisation du protocole TLSv1.2 pour le contexte SSL (Secure Sockets Layer).
    • Les certificats doivent avoir une longueur minimale de 2048. Les certificats à courbe elliptique doivent avoir une taille minimale de courbe de 244 bits.
    • Les certificats doivent être signés à l'aide d'un algorithme de signature SHA256, SHA384 ou SHA512. Les algorithmes de signature valides sont les suivants :
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      • SHA256withECDSA
      • SHA384withECDSA
      • SHA512withECDSA
    • Algorithmes de chiffrement approuvés par la norme SP800-131

    Visitez le site Web The National Institute of Standards and Technology pour plus de détails sur la norme SP800-131.

    Pour savoir comment faire passer WebSphere Application Server à la norme stricte SP800-131, reportez-vous à la rubrique relative au passage de WebSphere Application Server à la norme de sécurité SP800-131. Pour savoir comment configurer SP800-131, reportez-vous à la rubrique relative à la configuration de WebSphere Application Server pour le mode strict de la norme SP800-131.

  • Suite est une exigence émanant de l'organisme NSA (National Security Agency) spécifiant une stratégie d'interopérabilité cryptographique. Cette norme est similaire à SP800-131 avec quelques limitations plus strictes. La norme Suite B peut être exécutée dans deux modes : 128 bits ou 192 bits. Le fichier de règles avec restriction fournit le chiffrement pour le mode 128 bits et est appliqué par défaut. En mode 192 bits, vous devez appliquer au kit de développement Java (JDK) le fichier de règles sans restriction de sorte que le chiffrement le plus puissant requis pour le mode 192 bits puisse être utilisé.

    Le tableau ci-dessous répertorie les tailles de clé maximales que le fichier de règles avec restriction autorise pour les algorithmes IBMJCE et IBMJCECCA. Les utilisateurs qui requièrent un chiffrement renforcé doivent utiliser le fichier de règles sans restriction.

    Tableau 1. Valeurs du fichier de règles avec restriction
    Algorithme Taille de clé maximale en bits
    DES 64
    DESede 96
    RC2 128
    RC4 128
    RC5 128
    RSA 2048
    Tous les autres algorithmes 128

    Pour appliquer les fichiers de règles sans restriction, copiez les fichiers US_export_policy.jar et local_policy.jar à partir du répertoire WAS_HOME/java/J5.0/lib/security vers le répertoire WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted.

    La Suite B impose les exigences suivantes sur WebSphere Application Server :
    • Utilisation du protocole TLSv1.2 pour le contexte SSL
    • Algorithmes de chiffrement approuvés par la Suite B
    • Certificats :
      • Les certificats en mode 128 bits doivent être signés à l'aide de SHA256withECDSA
      • Les certificats en mode 192 bits doivent être signés à l'aide de SHA384withECDSA
    • Chiffrements :
      • SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.

    Voir la rubrique Configuration de WebSphere Application Server pour la norme de sécurité Suite B pour des informations sur la configuration de Suite B.

Propriétés utilisées pour la conformité aux normes de sécurité

La machine virtuelle IBM® pour Java (JVM) s'exécute dans un mode de sécurité donné, en fonction des propriétés système. WebSphere Application définit ces propriétés système en fonction des paramètres de configuration de la sécurité. La configuration de la sécurité peut être définie via la console d'administration ou par le biais de tâches d'administration de scriptage. Si une application définit ces propriétés directement, la communication SSL de WebSphere Application Server peut être affectée.

Tableau 2. Propriétés système de JVM pour la conformité à la norme de sécurité
Norme de sécurité Propriété système à activer Valeurs correctes
FIPS 140-2 com.ibm.jsse2.usefipsprovider true ou false
SP800-131 com.ibm.jsse2.sp800-131 transition ou strict
Suite B com.ibm.jsse2.suiteB 128 ou 192

La configuration de WebSphere Application Server efface toutes ces propriétés si elles sont définies, puis les paramètre sur la façon dont la configuration de la sécurité est spécifiée. WebSphere Application Server active la norme de sécurité en fonction des propriétés personnalisées définies dans la configuration de la sécurité.

Propriétés personnalisées de la sécurité WebSphere Application Server pour la conformité à la norme de sécurité

Tableau 3. Propriétés personnalisées de la sécurité WebSphere Application Server pour la conformité à la norme de sécurité
Norme de sécurité Propriétés personnalisées de sécurité Propriété système JVM
FIPS 140-2

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=FIPS140-2

com.ibm.jsse2.usefipsprovider=true
SP800-131- transition

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=transition

com.ibm.jsse2.sp800-131=transition
SP800-131 – strict

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=SP800-131

com.ibm.jsse2.sp800-131=strict
Suite B 128

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=128

com.ibm.jsse2.suiteB=128
Suite B 192

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=192

com.ibm.jsse2.suiteB=192

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_security_standards
Nom du fichier : csec_security_standards.html