4.9.2. Cryptographie compatible FIPS 140-2 dans JDK IBM
Dans JDK IBM, le fournisseur IBMJCEFIPS IBM® JCE (Java™ Cryptographic Extension) et le module IBM JSSE (Java Secure Sockets Extension) FIPS 140-2 Cryptographic Module (IBMJSSEFIPS) pour plateformes multiples fournissent une cryptographie compatible FIPS 140-2.
Pour plus d'informations sur le fournisseur IBMJCEFIPS, voir la documentation the IBM Documentation for IBM JCEFIPS, et NIST IBMJCEFIPS – Security Policy.
Stockage des clés
Notez que le JCE IBM ne procure pas de keystore. Les clés sont stockées sur l'ordinateur et n'en sortent pas. Si les clés sont déplacées d'un ordinateur à l'autre, elles doivent être encryptées.
Pour exécuter
keytool
en mode compatible FIPS, utilisez l'option -providerClass
sur chaque commande, comme suit :
keytool -list -storetype JCEKS -keystore mystore.jck -storepass mystorepass -providerClass com.ibm.crypto.fips.provider.IBMJCEFIPS
Examinez les informations de fournisseur FIPS
Pour examiner les informations sur le IBMJCEFIPS utilisé par le serveur, activer la journalisation debug-level en ajoutant
-Djavax.net.debug=true
à standalone.conf
ou à domain.conf
. Les informations sur le fournisseur FIPS seront journalisées dans server.log
, comme par exemple :
04:22:45,685 INFO [stdout] (http-/127.0.0.1:8443-1) JsseJCE: Using MessageDigest SHA from provider IBMJCEFIPS version 1.7 04:22:45,689 INFO [stdout] (http-/127.0.0.1:8443-1) DHCrypt: DH KeyPairGenerator from provider from init IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) JsseJCE: Using KeyFactory DiffieHellman from provider IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) JsseJCE: Using KeyAgreement DiffieHellman from provider IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) DHCrypt: DH KeyAgreement from provider IBMJCEFIPS version 1.7 04:22:45,754 INFO [stdout] (http-/127.0.0.1:8443-1) DHCrypt: DH KeyAgreement from provider from initIBMJCEFIPS version 1.7