Modo FIPS en AMS

Advanced Message Security (AMS) utiliza funciones criptográficas para proteger los datos de los mensajes, tanto al firmarlos como al cifrarlos. En los sistemas AIX®, Linux®, and Windows , Advanced Message Security utiliza un paquete criptográfico llamado IBM Crypto for C (ICC) para realizar estas operaciones. En las plataformas AIX, Linux, and Windows , el software ICC ha superado el Programa de Validación de Criptomódulos de los Estándares Federales de Procesamiento de la Información (FIPS) del Instituto Nacional de Estándares y Tecnología de EE.UU., en el nivel 140-2.

Si su organización requiere que toda la funcionalidad criptográfica se realice utilizando una biblioteca criptográfica certificada por FIPS y utilizando algoritmos conformes con FIPS, debe configurar Advanced Message Security en modo FIPS:

Para aplicaciones cliente y aplicaciones locales, Advanced Message Security puede configurarse en modo FIPS utilizando las opciones fips del archivo de configuración del almacén de claves.
Para la interceptación MCA, Advanced Message Security puede configurarse en modo FIPS configurando el ajuste del gestor de colas SSLFIPS .

Impacto de la habilitación de FIPS en Advanced Message Security

En el modo FIPS se observan los siguientes comportamientos:

Advanced Message Security las políticas sólo pueden definirse o alterarse para utilizar algoritmos aprobados por FIPS.
Advanced Message Security sólo puede cifrar datos de mensajes utilizando algoritmos aprobados por FIPS.
Advanced Message Security sólo puede firmar datos de mensajes utilizando algoritmos aprobados por FIPS.
Advanced Message Security sólo puede utilizar certificados que cumplan los requisitos FIPS.

Algoritmos de firma

Los siguientes algoritmos de firma están disponibles en Advanced Message Security mientras esté configurado en modo FIPS:

SHA-256
SHA-384
SHA-512

Algoritmos de cifrado

Los siguientes algoritmos de cifrado están disponibles en Advanced Message Security mientras esté configurado en modo FIPS:

AES-128
AES-256

Si Advanced Message Security está configurado en modo FIPS y encuentra una política que le indica que utilice un algoritmo que no está disponible, la política se actualiza para utilizar algoritmos compatibles antes de aplicarse a los datos del mensaje. Para las aplicaciones que producen mensajes, esto significa que los datos se cifran o firman utilizando un algoritmo más potente que el especificado en la política. El algoritmo elegido es el primero que aparece en cada una de las listas de algoritmos de firma y algoritmos de cifrado. Para las aplicaciones que consumen mensajes, esto puede provocar un error, ya que si el mensaje recuperado estaba protegido mediante un algoritmo que no está disponible en el modo FIPS, no se podrá recuperar y, en su lugar, se moverá a la cola de errores de Advanced Message Security .

Modificación del comportamiento de los gestores de colas habilitados para FIPS

Si se habilita un gestor de colas para FIPS a través de la configuración SSLFIPS , esto también modifica el comportamiento de las funciones de Advanced Message Security . Esta configuración afecta al establecimiento de políticas y a la funcionalidad de la interceptación MCA de Advanced Message Security . Si se ha configurado un gestor de colas en modo FIPS pero sólo se desea que la configuración FIPS se refiera a TLS, existen dos configuraciones que pueden utilizarse para revertir Advanced Message Security a un comportamiento no FIPS.

Para permitir que se definan políticas Advanced Message Security que especifiquen cualquier algoritmo, se puede establecer el atributo DisablePolicyFIPSCheck de la estrofa Security del archivo qm.ini . Para más información, consulte la Estancia de seguridad del archivo qm.ini.
Para desactivar el modo FIPS en un interceptor MCA de Advanced Message Security , se puede proporcionar la configuración forceFipsOff en el archivo de configuración del almacén de claves. Para obtener más información, consulte Estructura del archivo de configuración del almacén de claves ( keystore.conf ) para AMS.