Configurations des normes de sécurité WebSphere Application Server
WebSphere Application Server peut être configuré pour gérer les diverses normes de sécurité généralement utilisées pour respecter les exigences de sécurité requises par le gouvernement.
- FIPS 140-2 : normes FIPS (Federal Information Processing Standards) imposant des exigences sur les modules de chiffrement. La plupart des utilisateurs peuvent être configurés pour utiliser ce niveau mais risquent d'être obligés de passer à la nouvelle norme SP800-131 ou Suite B.
Visitez le site Web The National Institute of Standards and Technology pour plus d'informations sur la norme 140-2.
Pour configurer FIPS 140-2, reportez-vous à la rubrique Configuration de fichiers JSSE (Java Secure Socket Extension) conformes à la norme FIPS.
- SP800-131 est une exigence émanant de l'organisme NIST (National Institute of Standards and Technology) qui exige des longueurs de clé plus élevées et un chiffrement plus puissant. La spécification fournit également une configuration de transition permettant aux utilisateurs de
passer à un application stricte de SP800-131. La configuration de transition permet également aux utilisateurs de travailler avec une combinaison de paramètres issus de FIPS140-2 et de SP800-131. SP800-131 peut être exécuté dans deux modes : transition et strict.L'application stricte des exigences SP800-131 sur WebSphere Application Server inclut ce qui suit :
- Utilisation du protocole TLSv1.2 pour le contexte SSL (Secure Sockets Layer).
- Les certificats doivent avoir une longueur minimale de 2048. Les certificats à courbe elliptique doivent avoir une taille minimale de courbe de 244 bits.
- Les certificats doivent être signés à l'aide d'un algorithme de signature SHA256, SHA384 ou SHA512. Les algorithmes de signature valides sont les suivants :
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
- Algorithmes de chiffrement approuvés par la norme SP800-131
Visitez le site Web The National Institute of Standards and Technology pour plus de détails sur la norme SP800-131.
Pour savoir comment faire passer WebSphere Application Server à la norme stricte SP800-131, reportez-vous à la rubrique relative au passage de WebSphere Application Server à la norme de sécurité SP800-131. Pour savoir comment configurer SP800-131, reportez-vous à la rubrique relative à la configuration de WebSphere Application Server pour le mode strict de la norme SP800-131.
- Suite est une exigence émanant de l'organisme NSA (National Security Agency) spécifiant une stratégie d'interopérabilité
cryptographique. Cette norme est similaire à SP800-131 avec quelques limitations plus strictes. La norme Suite B peut être exécutée dans deux modes : 128 bits ou 192 bits. Le fichier de règles avec restriction fournit le chiffrement pour le mode 128 bits et est appliqué par défaut. En mode 192 bits, vous devez appliquer au kit de développement Java (JDK) le fichier de règles sans restriction de sorte que le chiffrement le plus puissant requis pour le mode 192 bits puisse être utilisé.
Le tableau ci-dessous répertorie les tailles de clé maximales que le fichier de règles avec restriction autorise pour les algorithmes IBMJCE et IBMJCECCA. Les utilisateurs qui requièrent un chiffrement renforcé doivent utiliser le fichier de règles sans restriction.
Tableau 1. Valeurs du fichier de règles avec restriction Algorithme Taille de clé maximale en bits DES 64 DESede 96 RC2 128 RC4 128 RC5 128 RSA 2048 Tous les autres algorithmes 128 Pour appliquer les fichiers de règles sans restriction, copiez les fichiers US_export_policy.jar et local_policy.jar à partir du répertoire WAS_HOME/java/J5.0/lib/security vers le répertoire WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted.
La Suite B impose les exigences suivantes sur WebSphere Application Server :- Utilisation du protocole TLSv1.2 pour le contexte SSL
- Algorithmes de chiffrement approuvés par la Suite B
- Certificats :
- Les certificats en mode 128 bits doivent être signés à l'aide de SHA256withECDSA
- Les certificats en mode 192 bits doivent être signés à l'aide de SHA384withECDSA
- Chiffrements :
- SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.
Voir la rubrique Configuration de WebSphere Application Server pour la norme de sécurité Suite B pour des informations sur la configuration de Suite B.
Propriétés utilisées pour la conformité aux normes de sécurité
La machine virtuelle IBM® pour Java (JVM) s'exécute dans un mode de sécurité donné, en fonction des propriétés système. WebSphere Application définit ces propriétés système en fonction des paramètres de configuration de la sécurité. La configuration de la sécurité peut être définie via la console d'administration ou par le biais de tâches d'administration de scriptage. Si une application définit ces propriétés directement, la communication SSL de WebSphere Application Server peut être affectée.
Norme de sécurité | Propriété système à activer | Valeurs correctes |
---|---|---|
FIPS 140-2 | com.ibm.jsse2.usefipsprovider | true ou false |
SP800-131 | com.ibm.jsse2.sp800-131 | transition ou strict |
Suite B | com.ibm.jsse2.suiteB | 128 ou 192 |
La configuration de WebSphere Application Server efface toutes ces propriétés si elles sont définies, puis les paramètre sur la façon dont la configuration de la sécurité est spécifiée. WebSphere Application Server active la norme de sécurité en fonction des propriétés personnalisées définies dans la configuration de la sécurité.
Propriétés personnalisées de la sécurité WebSphere Application Server pour la conformité à la norme de sécurité
Norme de sécurité | Propriétés personnalisées de sécurité | Propriété système JVM |
---|---|---|
FIPS 140-2 | com.ibm.security.useFips=true |
com.ibm.jsse2.usefipsprovider=true |
SP800-131- transition | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=transition |
SP800-131 – strict | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=strict |
Suite B 128 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=128 |
Suite B 192 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=192 |