Conformidade com FIPS no Jitterbit App Builder

O Instituto Nacional de Padrões e Tecnologia (NIST) define os Padrões de Processamento de Informação Federal (FIPS).

FIPS são padrões e diretrizes para sistemas de computação federais que são desenvolvidos pelo Instituto Nacional de Padrões e Tecnologia (NIST) de acordo com a Lei de Gestão de Segurança da Informação Federal (FISMA) e aprovados pelo Secretário de Comércio.

O App Builder é uma aplicação .NET. A página a seguir declara a posição da Microsoft sobre a conformidade com FIPS em relação ao .NET:

https://docs.microsoft.com/en-us/dotnet/standard/security/fips-compliance

No contexto do App Builder, a conformidade com FIPS restringe o uso de criptografia a:

• Bibliotecas criptográficas validadas pelo FIPS.
• Algoritmos criptográficos e tamanhos de chave aprovados pelo FIPS.

A criptografia inclui:

• Geração de números aleatórios
• Hashing
• Criptografia
• Assinaturas digitais
• Armazenamento e codificação de certificados

Configuração

O App Builder não requer nenhuma configuração especial para habilitar a conformidade com FIPS.

O próprio App Builder não implementa nenhum algoritmo criptográfico. O App Builder delega todas as operações criptográficas ao sistema operacional host. Se o sistema operacional host estiver devidamente configurado, o App Builder usará implementações validadas pelo FIPS.

O App Builder gera tokens de segurança usando apenas algoritmos aprovados pelo FIPS. Sempre que possível, o App Builder afirma que tokens de segurança de terceiros, como assinaturas digitais, usam apenas algoritmos aprovados pelo FIPS.

Habilitando FIPS no Windows

No Windows, a política de sistema Usar algoritmos compatíveis com FIPS para criptografia, hashing e assinatura habilita o modo FIPS.

Habilitando FIPS no Linux

O Linux não possui equivalente à política de sistema FIPS do Windows. Habilitar FIPS no Linux varia de acordo com a distribuição e está fora do escopo deste documento. Os seguintes links fornecem um ponto de partida para várias distribuições:

• RedHat Enterprise Linux
• Ubuntu
• Amazon Linux 2

Em última análise, o .NET delega ao OpenSSL. Portanto, uma implementação do OpenSSL validada pelo FIPS deve ser instalada. Além disso, o OpenSSL deve ser configurado para rodar em modo FIPS, por exemplo, definindo a variável de ambiente OPENSSL_FIPS.

Usos da criptografia

O App Builder utiliza criptografia em vários subsistemas, incluindo:

• Geração de identificador de sessão
• Geração de token de Cross-Site Request Forgery (CRSF).
• Hashing de senhas
• Geração de chave de API
• Geração de senha para autenticação básica HTTP
• Assinatura digital de OAuth JWT e SAML
• Verificação de assinatura digital SAML SSO
• Assinatura digital do provedor de identidade SAML
• Verificação de assinatura digital WS-Federation
• Verificação de assinatura digital JWT SSO
• Criptografia de coluna
• Função de tempo de execução mvSQL RANDOMBYTES()