Cumplimiento de FIPS en Jitterbit App Builder

El Instituto Nacional de Estándares y Tecnología (NIST) define los Estándares Federales de Procesamiento de Información (FIPS).

Los FIPS son estándares y directrices para sistemas informáticos federales que son desarrollados por el Instituto Nacional de Estándares y Tecnología (NIST) de acuerdo con la Ley de Gestión de Seguridad de la Información Federal (FISMA) y aprobados por el Secretario de Comercio.

App Builder es una aplicación .NET. La siguiente página establece la posición de Microsoft sobre el cumplimiento de FIPS en relación con .NET:

https://docs.microsoft.com/en-us/dotnet/standard/security/fips-compliance

En el contexto de App Builder, el cumplimiento de FIPS restringe el uso de criptografía a:

• Bibliotecas criptográficas validadas por FIPS.
• Algoritmos criptográficos aprobados por FIPS y tamaños de clave.

La criptografía incluye:

• Generación de números aleatorios
• Hashing
• Cifrado
• Firmas digitales
• Almacenamiento y codificación de certificados

Configuración

App Builder no requiere ninguna configuración especial para habilitar el cumplimiento de FIPS.

App Builder en sí no implementa ningún algoritmo criptográfico. App Builder delega todas las operaciones criptográficas al sistema operativo anfitrión. Si el sistema operativo anfitrión está configurado correctamente, App Builder utilizará implementaciones validadas por FIPS.

App Builder genera tokens de seguridad utilizando solo algoritmos aprobados por FIPS. Cuando es posible, App Builder afirma que los tokens de seguridad de terceros, como las firmas digitales, utilizan solo algoritmos aprobados por FIPS.

Habilitando FIPS en Windows

En Windows, la política del sistema Usar algoritmos compatibles con FIPS para cifrado, hashing y firma habilita el modo FIPS.

Habilitando FIPS en Linux

Linux no tiene un equivalente a la política del sistema FIPS de Windows. Habilitar FIPS en Linux varía según la distribución y está fuera del alcance de este documento. Los siguientes enlaces proporcionan un punto de partida para varias distribuciones:

• RedHat Enterprise Linux
• Ubuntu
• Amazon Linux 2

En última instancia, .NET delega en OpenSSL. Por lo tanto, debe instalarse una implementación de OpenSSL validada por FIPS. Además, OpenSSL debe configurarse para ejecutarse en modo FIPS, por ejemplo, estableciendo la variable de entorno OPENSSL_FIPS.

Usos de la criptografía

App Builder utiliza la criptografía en varios subsistemas, incluyendo:

• Generación de identificadores de sesión
• Generación de tokens de Cross-Site Request Forgery (CRSF).
• Hashing de contraseñas
• Generación de claves API
• Generación de contraseñas para autenticación básica HTTP
• Firma de firma digital JWT y SAML de OAuth
• Verificación de firma digital SAML SSO
• Firma de firma digital del proveedor de identidad SAML
• Verificación de firma digital WS-Federation
• Verificación de firma digital JWT SSO
• Cifrado de columnas
• Función de tiempo de ejecución mvSQL RANDOMBYTES()