Avalados por :
Substituição do SAPCRYPTOLIB pelo CommonCryptoLib (CCL) e sua integração no SAP: Tudo o que você precisa saber
- Creado 01/03/2024
- Modificado 01/03/2024
- 2 Vistas
0
Loading...
Muitos anos atrás, a SAP descontinuou a SAPCRYPTOLIB e introduziu a CommonCryptoLib (CCL) como seu sucessor. O CCL não é apenas um substituto de seu antecessor, mas também do OpenSSL, que foi usado, por exemplo, pelo SAP HANA em seus primeiros dias (e até o SAP HANA 2.0 SPS01 para LDAP).
Enquanto isso, o CCL está disponível em sua última versão 8.5.x e é utilizado por muitos componentes da SAP. Alguns exemplos são:
Todos esses componentes têm uma coisa em comum: eles fazem uso de um ou mais protocolos de comunicação (por exemplo, HTTP, P4, IIOP, JDBC, LDAP) que hoje em dia devem ser seguros usando TLS (Transport Layer Security).
Por favor, leia também os outros posts desta série:
CommonCryptoLib: versões de protocolo TLS e suites de cifras
CommonCryptoLib: versões de protocolo SNC e suites de cifras
CommonCryptoLib: Gerenciar arquivos PSE e credenciais SSO (cred_v2)
CommonCryptoLib: Validação de lista de revogação de certificados
2022-09-16: Adicionadas informações sobre alterações no TLS_FALLBACK_SCSV.
Desde que os principais fornecedores de navegadores decidiram não mais suportar algumas versões do TLS, todo administrador lidando com aplicações web teve que aprender, pelo menos nos últimos meses, sobre as diferentes versões do TLS existentes.
Algumas das versões do TLS existem há mais de 20 anos e podem ser consideradas fracas. Por exemplo, o TLS 1.0 e o TLS 1.1 finalmente foram marcados como obsoletos pelo IETF (veja rfc8996, o que levou mais de dois anos e meio para isso (veja https://datatracker.ietf.org/doc/rfc8996/history/).
E outros são os novatos como o TLS 1.3 e o ETS (anteriormente conhecido como eTLS). Eles são tão "novos" que ainda não são suportados em todos os produtos.
Atualmente, a versão que pode ser considerada amplamente suportada é o TLS 1.2.
As suites de cifras definem um conjunto de algoritmos que normalmente contêm um algoritmo de troca de chaves, uma Assinatura, um algoritmo de criptografia em massa e um algoritmo de código de autenticação de mensagem (MAC).
Nem todas as suites de cifras podem ser combinadas com todas as versões do protocolo TLS.
E para causar ainda mais confusão, existem diferentes notações sobre as suites de cifras: nomeação da IANA vs. nomeação do OpenSSL.
SapSSL é o manipulador de protocolo de alto nível do Kernel da SAP e seus componentes. Sempre que a criptografia para TLS é necessária, o SapSSL aborda uma biblioteca criptográfica.
A biblioteca a ser usada é configurada pelo parâmetro de perfil
O CCL tem uma configuração padrão embutida que oferece máxima compatibilidade, mas oferece segurança muito fraca e, portanto, não deve mais ser utilizada nos dias de hoje. Para sobrescrever essa configuração padrão, a maioria dos componentes lê parâmetros de perfil e os passa através do SapSSL para o CCL.
Como alguns componentes não leem dos parâmetros de perfil, o CCL também lê de variáveis de ambiente como um fallback. Isso permite que uma configuração personalizada segura seja usada por esses componentes.
O SAP HANA (Database (incl. XS Classic) e XSA) integram o CCL de outras maneiras. A configuração do CCL é armazenada nos arquivos de configuração .ini.
Alguns componentes atuam apenas como clientes (por exemplo, sapcontrol), alguns atuam apenas como servidores (por exemplo, sapstartsrv) e alguns atuam como ambos (por exemplo, o ICM).
Enquanto isso, o CCL está disponível em sua última versão 8.5.x e é utilizado por muitos componentes da SAP. Alguns exemplos são:
- SAP Host Agent,
- SAP Instance Agent,
- SAP NetWeaver AS ABAP,
- SAP NetWeaver AS Java,
- SAP HANA,
- SAP Web Dispatcher,
- várias Ferramentas de Kernel (saphttp, sldreg, sapkprotp, sapcontrol, saphostcontrol, etc.)
- Conector Java da SAP (SAP JCo)
- Conector SAP para Microsoft .NET 3.0 (SAP NCo)
Todos esses componentes têm uma coisa em comum: eles fazem uso de um ou mais protocolos de comunicação (por exemplo, HTTP, P4, IIOP, JDBC, LDAP) que hoje em dia devem ser seguros usando TLS (Transport Layer Security).
Por favor, leia também os outros posts desta série:
CommonCryptoLib: versões de protocolo TLS e suites de cifras
CommonCryptoLib: versões de protocolo SNC e suites de cifras
CommonCryptoLib: Gerenciar arquivos PSE e credenciais SSO (cred_v2)
CommonCryptoLib: Validação de lista de revogação de certificados
Atualizações:
2022-09-16: Adicionadas informações sobre alterações no TLS_FALLBACK_SCSV.
2022-03-21: Adicionadas informações sobre alterações nas suites de cifras e atribuição de grupo.
2022-02-25: Recomendação atualizada em relação a "Permitir envio cego de um certificado de cliente".
2021-11-05: Links para outros posts desta série. Adicionada seção sobre como atualizar o CCL.
Versões de protocolo
Desde que os principais fornecedores de navegadores decidiram não mais suportar algumas versões do TLS, todo administrador lidando com aplicações web teve que aprender, pelo menos nos últimos meses, sobre as diferentes versões do TLS existentes.
Algumas das versões do TLS existem há mais de 20 anos e podem ser consideradas fracas. Por exemplo, o TLS 1.0 e o TLS 1.1 finalmente foram marcados como obsoletos pelo IETF (veja rfc8996, o que levou mais de dois anos e meio para isso (veja https://datatracker.ietf.org/doc/rfc8996/history/).
E outros são os novatos como o TLS 1.3 e o ETS (anteriormente conhecido como eTLS). Eles são tão "novos" que ainda não são suportados em todos os produtos.
Por favor, observe: A partir das notas SAP 2765639 em AS ABAP,nota SAP 2834475 em AS Java enota SAP 2939945 no SAP BusinessObjects BI Platform 4.x o TLS 1.3 ainda não é suportado.
Atualmente, a versão que pode ser considerada amplamente suportada é o TLS 1.2.
Suites de cifras
As suites de cifras definem um conjunto de algoritmos que normalmente contêm um algoritmo de troca de chaves, uma Assinatura, um algoritmo de criptografia em massa e um algoritmo de código de autenticação de mensagem (MAC).
Nem todas as suites de cifras podem ser combinadas com todas as versões do protocolo TLS.
E para causar ainda mais confusão, existem diferentes notações sobre as suites de cifras: nomeação da IANA vs. nomeação do OpenSSL.
Por favor, observe: Uma visão abrangente sobre todas as suites de cifras disponíveis, suporte a versões do TLS e uma classificação de segurança podem ser encontradas emhttps://ciphersuite.info/cs/.
Contexto técnico sobre a integração do CCL
SapSSL é o manipulador de protocolo de alto nível do Kernel da SAP e seus componentes. Sempre que a criptografia para TLS é necessária, o SapSSL aborda uma biblioteca criptográfica.
A biblioteca a ser usada é configurada pelo parâmetro de perfil
ssl/ssl_lib.O CCL tem uma configuração padrão embutida que oferece máxima compatibilidade, mas oferece segurança muito fraca e, portanto, não deve mais ser utilizada nos dias de hoje. Para sobrescrever essa configuração padrão, a maioria dos componentes lê parâmetros de perfil e os passa através do SapSSL para o CCL.
Como alguns componentes não leem dos parâmetros de perfil, o CCL também lê de variáveis de ambiente como um fallback. Isso permite que uma configuração personalizada segura seja usada por esses componentes.
O SAP HANA (Database (incl. XS Classic) e XSA) integram o CCL de outras maneiras. A configuração do CCL é armazenada nos arquivos de configuração .ini.
Alguns componentes atuam apenas como clientes (por exemplo, sapcontrol), alguns atuam apenas como servidores (por exemplo, sapstartsrv) e alguns atuam como ambos (por exemplo, o ICM).
Pedro Pascal
Se unió el 07/03/2018
Facebook
Twitter
Pinterest
Telegram
Linkedin
Whatsapp
Sin respuestas
No hay respuestas para mostrar
Se el primero en responder
contacto@primeinstitute.com
(+51) 1641 9379
(+57) 1489 6964
© 2024 Copyright. Todos los derechos reservados.
Desarrollado por Prime Institute
Hola ¿Puedo ayudarte?