Federal Information Processing Standards et NIST SP800-131a

Les normes FIPS (Federal Information Processing Standards) et NIST SP800-131a sont émises par l'Institut américain NIST (National Institute of Standards and Technology) et concernent les systèmes informatiques du gouvernement fédéral. Les normes FIPS et SP800-131a sont conçues lorsque des exigences gouvernementales fédérales obligatoires en matière de normes telles que celles prévalant pour les domaines de la sécurité et de l'interopérabilité mais qu'il n'existe aucune norme industrielle acceptable.

HCL tolère la prise en charge de WebSphere® Application Server FIPS 140-2 et SP800-131a. WebSphere® Application Server intègre des modules cryptographiques tels que JSSE (Java Secure Socket Extension) et JCE (Java Cryptography Extension), qui sont certifiés FIPS 140-2. Dans la documentation et le produit, les modules JSSE et JCE d'IBM certifiés FIPS 140-2 sont appelés IBMJSSEFIPS et IBMJCEFIPS, afin de les distinguer des modules JSSE et JCE précédents non certifiés.

Le fait que la conformité à FIPS 140-2 soit tolérée signifie qu'HCL continue à fonctionner lorsque WebSphere® Application Server est configuré pour activer des modules de sécurité conformes à FIPS 140-2. Le produit HCL n'est pas doté d'un support cryptographique intégré et ne peut donc pas faire la distinction entre les modules. Les fonctions dans HCL qui utilisent le chiffrement sont les suivantes :

  • Les connexions SSL (Secure Sockets Layer) provenant de clients (cela correspond globalement au support fourni par WebSphere® Application Server et HTTP Server pour les connexions SSL et n'apparaît pas dans HCL).
  • Les connexions internes entre les fonctions d'administration d'HCL et les services d'administration de WebSphere® Application Server (appelés, par exemple, lors du déploiement d'un portlet qui doit créer une application Web dans WebSphere® Application Server).

Toutes les connexions répertoriées dans ce document sont effectuées via SSL à l'aide d'un chiffrement compatible FIPS. Sans le support FIPS 140-2, les connexions peuvent ne pas être chiffrées.

Limitations

Il existe certaines restrictions dans le niveau de prise en charge fourni par HCL lors de l'utilisation de modules certifiés FIPS :
  • Sametime ne prend pas en charge actuellement FIPS 140-2.
  • Par défaut, il se peut que TLS ne soit pas activé dans Microsoft Internet Explorer. Pour activer TLS, ouvrez le Navigateur Internet Explorer puis cliquez sur Outils > Options Internet. Sous l'onglet Avancés, cochez la case Utiliser TLS 1.0.
  • IBM Tivoli Directory Server fournit l'option d'implémentation certifiée FIPS, qui permet d'activer le serveur d'annuaire utilisé par les algorithmes de chiffrement certifiés FIPS. Pour plus d'informations, voir la section "Setting the level of encryption" dans le Guide d'administration d'IBM Tivoli Directory Server.
  • IBMJSSEFIPS n'est pas pris en charge sur la plateforme HP-UX.
  • Vous ne pouvez utiliser les fournisseurs JSSE certifiés FIPS que si vos serveurs et vos clients utilisent WebSphere® Application Server.
  • Si vous tentez d'activer le mode de traitement FIPS avec GSKit fourni avec ITDS, voir la note technique 1578181.