Configurações do Padrão de Segurança do WebSphere Application Server
O WebSphere Application Server pode ser configurado para trabalhar com várias normas de segurança, que geralmente são usadas para atender aos requisitos de segurança exigidos pelo governo.
- FIPS 140-2 são os Federal Information Processing Standards
(FIPS) que especificam os requisitos nos módulos criptográficos. Muitos usuários
podem ser configurados para usar esse nível, mas pode ser necessário mover
para o padrão SP800-131 ou Conjunto B mais recente.
Consulte o website The National Institute of Standards and Technology para obter informações adicionais sobre a norma 140-2.
Para configurar o FIPS 140-2, consulte o tópico Configurando os Arquivos Java Secure Socket Extension de Acordo com o Federal Information Processing Standard.
- SP800-131 é um requisito originado pelo National
Institute of Standards and Technology (NIST) que requer maiores comprimentos
de chave e criptografia mais forte. A especificação também fornece uma configuração
de transição para permitir que os usuários movam para um cumprimento estrito do
SP800-131. A configuração de transição também permite que os usuários executem
com uma combinação de configurações a partir do FIPS140-2 e do SP800-131. O SP800-131
pode ser executado de dois modos, transition e strict.O cumprimento estrito dos requisitos do SP800-131 no WebSphere Application Server inclui o seguinte:
- O uso do protocolo TLSv1.2 para o contexto do Secure Sockets Layer (SSL).
- Os certificados devem ter o comprimento mínimo de 2048. O certificado Elliptical Curve (EC) requer um tamanho mínimo de curvas de 244 bits.
- Os certificados devem ser assinados com o algoritmo de assinatura de SHA256,
SHA384 ou SHA512. Os signatureAlgorithms válidos incluem as seguintes assinaturas:
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
- Conjuntos de cifras aprovados pelo SP800-131
Consulte o website The National Institute of Standards and Technology para obter detalhes adicionais sobre a norma SP800-131.
Consulte o tópico Executar a Transição do WebSphere Application Server para o Padrão de Segurança SP800-131 para obter mais informações de como executar a transição do WebSphere Application Server para o padrão estrito do SP800-131. Consulte o tópico Configurando o WebSphere Application Server para o Modo Estrito do Padrão do SP800-131 para obter mais informações sobre como configurar o SP800-131.
- Suite B é um requisito originado pela NSA (National Security Agency) para especificar uma estratégia de interoperabilidade criptográfica. Esse padrão é semelhante ao SP800-131, mas com algumas restrições mais rígidas. O B Suite pode ser executado em dois modos: 128 bits ou 192 bits. O arquivo de política restrito fornece criptografia
para o modo de 128 bits e é aplicado por padrão. Se usar o modo de
192 bits, você deverá aplicar o arquivo de políticas irrestritas para o JDK, para
que a cifra mais forte necessária para o modo de 192 bits possa ser usada.
A tabela a seguir lista os tamanhos de chave máximos que o arquivo de política restrito permite para algoritmos IBMJCE e IBMJCECCA. Usuários que requerem criptografia mais forte devem usar o arquivo de política sem restrição.
Tabela 1. Valores do Arquivo de Políticas Restritas Algoritmo Tamanho máximo da chave em bits DES 64 DESede 96 RC2 128 RC4 128 RC5 128 RSA 2048 Todos os outros algoritmos 128 Para aplicar os arquivos de políticas sem restrição, copie os arquivos US_export_policy.jar e local_policy.jar do diretório WAS_HOME/java/J5.0/lib/security para o diretório WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted.
Os requisitos do B Suite no WebSphere Application Server incluem:- O uso do protocolo TLSv1.2 para o Contexto SSL.
- Conjunto de cifras aprovadas do Suite B
- Certificados:
- Os certificados do modo de 128 bits devem ser assinados com SHA256withECDSA
- Os certificados do modo de 192 bits devem ser assinados com SHA384withECDSA
- Cifras:
- SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.
Consulte o tópico Configurando o WebSphere Application Server para o padrão Suite B para obter informações sobre como configurar o Suite B.
Propriedades Usadas para Ativar as Normas de Segurança
A IBM® virtual machine for Java (JVM) é executada em um modo de segurança fornecido baseado nas propriedades do sistema. O WebSphere Application Server configura essas propriedades de sistemas com base nas definições de configuração de segurança. A configuração de segurança pode ser configurada através do console administrativo ou através de tarefas administrativas de script. Se um aplicativo configurar essas propriedades diretamente, ele poderá afetar a comunicação do SSL do WebSphere Application Server.
Padrão de segurança | Propriedade de sistema a ser ativada | Valores Válidos |
---|---|---|
FIPS 140-2 | com.ibm.jsse2.usefipsprovider | true ou false |
SP800-131 | com.ibm.jsse2.sp800-131 | transition ou strict |
Suite B | com.ibm.jsse2.suiteB | 128 ou 192 |
A configuração do WebSphere Application Server eliminará todas essas propriedades, se elas forem configuradas e, em seguida, configuradas como a configuração de segurança que será especificada. O WebSphere Application Server ativa o padrão de segurança com base nas propriedades customizadas definidas na configuração de segurança.
Propriedades Customizadas de Segurança do WebSphere Application Server para Ativar a Norma de Segurança
Padrão de segurança | Propriedades Customizadas de Segurança | Propriedade de sistema JVM |
---|---|---|
FIPS 140-2 | com.ibm.security.useFips=true |
com.ibm.jsse2.usefipsprovider=true |
SP800-131 - transição | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=transition |
SP800-131 - estrito | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=strict |
Conjunto B 128 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=128 |
Conjunto B 192 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=192 |