Federal Information Processing Standards (FIPS) für UNIX, Linuxund Windows
Wenn Verschlüsselung auf einem SSL-oder TLS-Kanal unter Windows, UNIX and Linux® -Systemen, erforderlich ist, verwendet WebSphere® MQ ein Verschlüsselungspaket namens IBM® Crypto for C (ICC). Unter Windows, auf UNIX and Linux -Plattformen hat die ICC-Software das FIPS-Verschlüsselungsprogramm (Federal Information Processing Standards) Cryptomodule Validation Program des US National Institute of Standards and Technology auf Stufe 140-2 bestanden.
- Für alle IBM WebSphere MQ -Nachrichtenkanäle (außer CLNTCONN-Kanaltypen) ist die Verbindung FIPS-konform, wenn die folgenden Bedingungen erfüllt sind:
- Die installierte GSKit-ICC-Version ist FIPS 140-2-konform mit der installierten Version und Hardwarearchitektur des Betriebssystems.
- Das Attribut SSLFIPS des WS-Managers wurde auf YES gesetzt.
- Alle Schlüsselrepositorys wurden nur mit FIPS-konformer Software erstellt und bearbeitet, z. B. runmqakm mit der Option -fips .
- Für alle IBM WebSphere MQ MQI-Clientanwendungen verwendet die Verbindung GSKit und ist FIPS-konform, wenn die folgenden Bedingungen erfüllt sind:
- Die installierte GSKit-ICC-Version ist FIPS 140-2-konform mit der installierten Version und Hardwarearchitektur des Betriebssystems.
- Sie haben angegeben, dass nur FIPS-zertifizierte Verschlüsselung verwendet werden soll, wie in dem zugehörigen Thema für den MQI-Client beschrieben.
- Alle Schlüsselrepositorys wurden nur mit FIPS-konformer Software erstellt und bearbeitet, z. B. runmqakm mit der Option -fips .
- Für IBM WebSphere MQ -Klassen für Java-Anwendungen, die den Clientmodus verwenden, verwendet die Verbindung die SSL-und TLS-Implementierungen der JRE und ist FIPS-konform, wenn die folgenden Bedingungen erfüllt sind:
- Die zur Ausführung der Anwendung verwendete Java Runtime Environment ist mit der installierten Betriebssystemversion und Hardwarearchitektur FIPS-konform.
- Sie haben angegeben, dass nur FIPS-zertifizierte Verschlüsselung verwendet werden soll, wie im zugehörigen Abschnitt für den Java-Client beschrieben.
- Alle Schlüsselrepositorys wurden nur mit FIPS-konformer Software erstellt und bearbeitet, z. B. runmqakm mit der Option -fips .
- Für IBM WebSphere MQ -Klassen für JMS-Anwendungen, die den Clientmodus verwenden, verwendet die Verbindung die SSL-und TLS-Implementierungen der JRE und ist FIPS-konform, wenn die folgenden Bedingungen erfüllt sind:
- Die zur Ausführung der Anwendung verwendete Java Runtime Environment ist mit der installierten Betriebssystemversion und Hardwarearchitektur FIPS-konform.
- Sie haben angegeben, dass nur FIPS-zertifizierte Verschlüsselung verwendet werden soll, wie im entsprechenden Thema für den JMS-Client beschrieben.
- Alle Schlüsselrepositorys wurden nur mit FIPS-konformer Software erstellt und bearbeitet, z. B. runmqakm mit der Option -fips .
- Für nicht verwaltete .NET-Clientanwendungen verwendet die Verbindung Global Security
Kit (GSKit). Sie ist mit FIPS konform, wenn folgende Bedingungen erfüllt sind:
- Die installierte GSKit-ICC-Version ist FIPS 140-2-konform mit der installierten Version und Hardwarearchitektur des Betriebssystems.
- Sie haben angegeben, dass nur FIPS-zertifizierte Verschlüsselung verwendet werden soll, wie im entsprechenden Thema für den .NET-Client beschrieben.
- Alle Schlüsselrepositorys wurden nur mit FIPS-konformer Software erstellt und bearbeitet, z. B. runmqakm mit der Option -fips .
- Für nicht verwaltete XMS .NET-Clientanwendungen verwendet die Verbindung Global
Security Kit (GSKit). Sie ist mit FIPS konform, wenn folgende Bedingungen erfüllt sind:
- Die installierte GSKit-ICC-Version ist FIPS 140-2-konform mit der installierten Version und Hardwarearchitektur des Betriebssystems.
- Sie haben angegeben, dass nur FIPS-zertifizierte Verschlüsselung verwendet werden soll, wie in der Dokumentation zu XMS .NET beschrieben.
- Alle Schlüsselrepositorys wurden nur mit FIPS-konformer Software erstellt und bearbeitet, z. B. runmqakm mit der Option -fips .
Bei SSL- und TLS-Verbindungen, die GSKit verwenden, hat die FIPS 140-2-zertifizierte Komponente die Bezeichnung ICC. Es handelt sich um die Version dieser Komponente, die die Konformität von GSKit FIPS auf einer bestimmten Plattform bestimmt. Führen Sie den Befehl dspmqver -p 64 -v aus, um die derzeit installierte ICC-Version zu ermitteln.
ICC ============ @(#)CompanyName: IBM Corporation @(#)LegalTrademarks: IBM @(#)Dateibeschreibung: IBM Crypto für Programmiersprache C @(#)FileVersion: 8.0.0.0 @ (#) LegalCopyright: Lizenziertes Material-Eigentum von IBM @ (#) ICC @ (#) (C) Copyright IBM Corp. 2002, 2024. @ (#) Alle Rechte vorbehalten. Benutzer der US-Regierung @ (#) Restricted Rights-Use, duplication or disclosure @(#) restricted by GSA ADP Schedule Contract with IBM Corp. @ (#) Produktname: icc_8.0 (GoldCoast Build) 100415 @(#)ProductVersion: 8.0.0.0 @(#)ProductInfo: 10/04/15.03:32:19.10/04/15.18:41:51 @ (#) CMVCInfo:
Die NIST-Zertifizierungsanweisung für GSKit ICC 8 (in GSKit 8 enthalten) finden Sie unter der folgenden Adresse: Cryptographic Module Validation Program.
Wenn Verschlüsselungshardware vorhanden ist, können die von IBM WebSphere MQ verwendeten Verschlüsselungsmodule so konfiguriert werden, dass sie vom Hardwarehersteller bereitgestellt werden. Ist dies der Fall, ist die Konfiguration nur FIPS-konform, wenn die Verschlüsselungsmodule FIPS-zertifiziert sind.
Bei Einhaltung der FIPS 140-2-Konformität erzwungene Triple DES-Einschränkungen
- Alle Teile des Triple DES-Schlüssels müssen eindeutig sein.
- Kein Teil des Triple DES-Schlüssels kann ein Weak-, Semi-Weak-oder Possibly-Weak-Schlüssel sein, entsprechend den Definitionen in NIST SP800-67.
- Es können nicht mehr als 32 GB Daten über die Verbindung übertragen werden, bevor ein geheimer Schlüssel zurückgesetzt werden muss. Standardmäßig setzt WebSphere MQ den geheimen Sitzungsschlüssel nicht zurück. Daher muss diese Zurücksetzung konfiguriert werden. Wenn die Verwendung einer Triple DES-CipherSpec-und FIPS 140-2-Konformitätserfolgung nicht aktiviert wird, wird die Verbindung mit dem Fehler AMQ9288 nach der Überschreitung der maximalen Bytezahl mit dem Fehler AMQ9288 geschlossen. Informationen zum Konfigurieren der Zurücksetzung geheimer Schlüssel finden Sie unter Zurücksetzen von geheimen SSL-und TLS-Schlüsseln.