FipsRequired (MQLONG)

IBM® MQ può essere configurato con hardware crittografico in modo che i moduli di codifica utilizzati siano quelli forniti dal prodotto hardware; questi possono essere certificati FIPS ad un determinato livello a seconda del prodotto hardware crittografico in uso. Utilizzare questo campo per specificare che vengono utilizzati solo algoritmi certificati FIPS se la crittografia viene fornita nel software fornito da IBM MQ.

Nota: su UNIX, Linux®e Windows, IBM MQ fornisce la conformità FIPS 140-2 tramite il modulo crittografico IBM Crypto for C (ICC) . Il certificato per questo modulo è stato spostato nello stato cronologico. I clienti devono visualizzare il certificatoIBM Crypto for C (ICC) ed essere a conoscenza di eventuali consigli forniti da NIST. Un modulo FIPS 140-3 di sostituzione è attualmente in corso e il relativo stato può essere visualizzato ricercandolo in NIST CMVP modules in process list.

Quando IBM MQ è installato, viene installata anche una implementazione della codifica SSL che fornisce alcuni moduli certificati FIPS.

I valori possono essere:
MQSSL_FIPS_NO
Questo è il valore predefinito. Quando impostato su questo valore:
  • È possibile utilizzare qualsiasi CipherSpec supportato su una particolare piattaforma.
  • Se si esegue senza utilizzare l'hardware crittografico, i seguenti CipherSpecs vengono eseguiti utilizzando la crittografia certificata FIPS 140-2 sulle piattaforme IBM MQ :
    • TLS_RSA_WITH_3DES_EDE_CBC_SHA
    • TLS_RSA_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
SÌ MQSSL_FIPS
Quando è impostato su questo valore, a meno che non si stia utilizzando l'hardware crittografico per eseguire la crittografia, è possibile essere certi che
  • Solo gli algoritmi di crittografia certificati FIPS possono essere utilizzati in CipherSpec che si applica a questa connessione client.
  • Le connessioni dei canali SSL in entrata e in uscita hanno esito positivo solo se viene utilizzata una delle seguenti specifiche di cifratura:
    • TLS_RSA_WITH_3DES_EDE_CBC_SHA
    • TLS_RSA_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
Note:
  1. CipherSpec TLS_RSA_WITH_3DES_EDE_CBC_SHA è obsoleto.
  2. Laddove possibile, se sono configurati CipherSpecs solo FIPS, il client MQI rifiuta le connessioni che specificano una CipherSpec non FIPS con MQRC_SSL_INITIALIZATION_ERROR. IBM MQ non garantisce di rifiutare tutte queste connessioni ed è responsabilità dell'utente determinare se la configurazione di IBM MQ è conforme a FIPS.