Suporte de Dispositivo de Criptografia de Hardware para o Web Services Security

No IBM® WebSphere Application Server Versão 6.1 ou posterior, o Web Services Security suporta o uso de dispositivos de hardware de criptografia. Há duas maneiras de usar os dispositivos de criptografia de hardware com o Web Services Security.

Ativando Operações de Criptografia em Dispositivos de Hardware

É possível ativar operações de criptografia em dispositivos de hardware. As chaves utilizadas podem ser armazenadas em um arquivo de armazenamento de chaves Java™; não é necessário armazená-las no dispositivo de hardware. A decisão de utilizar operações de criptografia em dispositivos de hardware é tomada apenas no nível do servidor, não no nível do aplicativo.

Se operações criptográficas no dispositivo de hardware estiverem ativadas, o tempo de execução do Web Service Security primeiro tentará usar o dispositivo de hardware para operações de criptografia. Se a tentativa de utilizar o dispositivo de hardware falhar ou se o algoritmo não for suportado pelo dispositivo de hardware, o tempo de execução utilizará um provedor de software da lista de provedores de segurança.

A ativação desse recurso pode aprimorar o desempenho, dependendo do dispositivo de hardware. Para obter informações adicionais sobre como ativar operações de criptografia em dispositivos de hardware, consulte Configurando Dispositivos Criptográficos de Hardware para Segurança de Serviços da Web.

Chaves Seguras

As chaves de criptografia podem ser armazenadas no dispositivo de criptografia de hardware e nunca deixam o dispositivo. Essas chaves seguras são confinadas no dispositivo de criptografia de hardware por considerações de segurança e não por considerações de desempenho. A opção de selecionar o uso de chaves armazenadas em um dispositivo de criptografia de hardware ou um arquivo de armazenamento de chaves Java pode ser feita no nível do aplicativo.

Se a referência do keystore for especificada para ser uma configuração de dispositivo de hardware, o tempo de execução do Web Services Security primeiro tentará obter o algoritmo de criptografia a partir do dispositivo de hardware. Se o algoritmo não for suportado ou falhar, o tempo de execução utilizará um provedor de software da lista de provedores de segurança.

Para obter informações adicionais sobre como ativar chaves seguras, consulte Ativando Chaves Criptográficas Armazenadas nos Dispositivos de Hardware na Segurança de Serviços da Web.

Limitações

O suporte de dispositivo de criptografia de hardware para o Web Services Security possui atualmente as seguintes limitações:
  • Não há suporte para execução de um cliente de serviços da Web como um Java Platform, Enterprise Edition (Java EE) Application Client.
  • Não há suporte para dispositivos de criptografia de hardware no iSeries.
  • Apenas na Versão 6.1 e posterior, os aplicativos Web Services Security podem aproveitar o suporte criptográfico de hardware.
    Nota: Nas Versões 5.x e 6.0.x, o Web Services Security pode ser executado em uma Versão 6.1 do WebSphere Application Server, mas essas versões não podem aproveitar o suporte criptográfico de hardware.

Uso de Longo Prazo das Chaves de Sessão

É possível configurar o WebSphere Application Server para usar o armazenamento de chaves de hardware ou pode configurar a placa de aceleração de hardware para permitir uso das chaves de sessão em longo prazo. As chaves de sessão podem ser não seguras.

Se você estiver preocupado com as chaves de sessão inseguras, configure o WebSphere Application Server para usar o armazenamento de chaves de hardware. Consulte as informações sobre como ativar as chaves criptográficas que estão armazenadas nos dispositivos de hardware no Web Services Security.

Para configurar a placa de aceleração de hardware para permitir uso em longo prazo de chaves de sessão, consulte a documentação do fabricante para a placa de aceleração de hardware específica. Por exemplo:
  1. Para o servidor nCipher nforce 1600 Versão 2.23.6, siga as instruções da documentação do nCipher.
  2. É possível configurar o parâmetro CKNFAST_SECURITY_ASSURANCES_OVERRIDE=longterm no arquivo de configuração cknfastrc. Essa alteração na configuração elimina o limite de tempo associado às chaves de sessão.
  3. Siga a documentação do Cipher para reiniciar o servidor nCipher.
  4. Reinicie o WebSphere Application Server.

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_cryptodev
Nome do arquivo: cwbs_cryptodev.html