Prise en charge des périphériques cryptographiques matériels pour la sécurité des services Web
Dans IBM® WebSphere Application Server Version 6.1 et les versions suivantes, la sécurité des Services Web prend en charge l'utilisation des périphériques cryptographiques matériels. Les dispositifs de chiffrement avec la sécurité des Services Web peuvent être utilisés de deux manières.
Activation des opérations de chiffrement sur les périphériques matériels
Vous pouvez activer les opérations de chiffrement sur les périphériques matériels. Les clés utilisées peuvent être stockées dans un fichier de clés Java™ et pas nécessairement sur le périphérique matériel. La décision d'activer les opérations de chiffrement sur les périphériques matériels est prise au niveau du serveur uniquement et non pas de l'application.
Si les opérations cryptographiques sur le périphérique matériel sont activées, la phase d'exécution de la sécurité des services Web tente d'abord d'utiliser le périphérique matériel pour les opérations de chiffrement. En cas d'échec de cette tentative d'utilisation de l'unité matérielle ou si l'algorithme n'est pas pris en charge par l'unité matérielle, un fournisseur de logiciel est choisi dans la liste des fournisseurs de sécurité.
L'activation de cette fonction peut améliorer les performances, en fonction du périphérique matériel. Pour plus d'informations sur l'activation des opérations de chiffrement sur les périphériques matériels, voir Configuration des unités de cryptographie matérielles pour la sécurité des services Web.
Clés sécurisées
Les clés de chiffrement peuvent être stockées sur le périphérique de chiffrement matériel et y rester de manière permanente. Ces clés sécurisées sont confinées sur le périphérique cryptographique matériel pour des raisons de sécurité plutôt que dans le but d'améliorer les performances. L'option permettant de stocker dans le périphérique cryptographique ou dans un fichier de clés Java peut être définie au niveau de l'application.
Si la référence du fichier de clés est définie comme étant une configuration de périphérique matériel, la phase d'exécution de la sécurité des Services Web tente d'abord d'obtenir l'algorithme de cryptographie à partir du périphérique matériel. Si l'algorithme n'est pas pris en charge ou échoue, la phase d'exécution utilise un fournisseur de logiciels figurant dans la liste des fournisseurs de sécurité.
Pour plus d'informations sur la façon d'activer des clés sécurisées, voir Activation des clés de cryptographie stockées sur les unités matérielles dans Sécurité des services Web.
Limitations
- Un client de services Web exécuté en tant que client d'application Java EE (Java Platform Enterprise Edition) n'est pas pris en charge.
- Les périphériques cryptographiques matériels sous iSeries ne sont pas pris en charge.
- Seules les applications de sécurité des services Web version 6.1 et les versions suivantes peuvent tirer parti du support de chiffrement matériel.Remarque : Les applications de sécurité Web versions 5.x et 6.0.x peuvent s'exécuter dans la version 6.1 WebSphere Application Server, mais elles ne pourront pas tirer parti du support du chiffrement matériel.
Utilisation à long terme des clés de session
Vous pouvez configurer WebSphere Application Server pour utiliser le fichier de clés matériel ou configurer la carte d'accélération matérielle pour permettre l'utilisation à long terme des clés de session. Il se peut que les clés de session ne soient pas sécurisées.
Si cette éventualité vous pose un problème, configurez WebSphere Application Server pour utiliser le fichier de clés matériel. Pour activer les clés cryptographiques stockées dans les unités matérielles de la sécurité de services Web, consultez la documentation correspondante.
- Pour le serveur nCipher nforce 1600 version 2.23.6, suivez les instructions figurant dans la documentation nCipher.
- Vous pouvez définir le paramètre CKNFAST_SECURITY_ASSURANCES_OVERRIDE=longterm dans le fichier de configuration cknfastrc. Cette modification de configuration élimine le délai associé aux clés de session.
- Pour redémarrer le serveur nCipher, consultez la documentation Cipher.
- Redémarrez WebSphere Application Server.