Sådan indstiller og vedligeholder du et FIPS-kompatibelt OS X Lion-system

Læs mere om, hvordan du indstiller og vedligeholder et FIPS-kompatibelt OS X Lion-system.

Det FIPS-validerede CDSA/CSP-kryptografimodul, der leveres med OS X Lion, kræver et ekstra indstillingstrin for at sætte systemet i "FIPS-tilstand" og sikre fuld overensstemmelse. Installeringsprogrammet til FIPS Administration skal hentes og installeres på systemet af systemadministratoren (Crypto Officer).

Vigtigt: Før du udfører OS X Lion-opdateringer, f.eks. via Softwareopdatering, skal du deaktivere "FIPS-tilstand". Ellers starter computeren muligvis ikke korrekt efter genstart. Når softwareopdateringen er udført, skal Crypto Officer genaktivere "FIPS-tilstand" i overensstemmelse med instruktionerne i Crypto Officer Role Guide.

Sådan installerer du FIPS Administration-værktøjer

Installeringsprogrammet til FIPS Administration kan hentes her. Du kan finde alle instruktioner til installation og administration af FIPS Administration i FIPS Administration Tools Crypto Officer Role Guide.

1. Log ind som administrator på computeren, hvor værktøjerne skal installeres.

2. Dobbeltklik på installeringspakken til FIPS Administration.

3. Klik på Fortsæt efter at have læst oplysningerne på introduktionssiden.

4. Klik på Fortsæt efter at have læst oplysningerne på Læs mig-siden. Du kan også udskrive eller arkivere oplysningerne på denne side, hvis der er behov for det.

5. Klik på Fortsæt efter at have læst softwarelicensaftalen på licenssiden. Du kan også udskrive eller arkivere oplysningerne på denne side, hvis der er behov for det.

6. Klik på Enig, hvis du accepterer vilkårene i softwarelicensen. Ellers skal du klikke på Uenig, hvilket afslutter installeringsprogrammet.

7. Vælg Mac OS X-diskenheden for at installere FIPS Administration-værktøjerne, og klik derefter på Fortsæt på siden Vælg destination. Bemærk: FIPS Administration-værktøjerne bør kun installeres på startenheden (boot-enheden).

8. Klik på knappen Installer.

9. Indtast dit administratorbrugernavn og din adgangskode.

10. Klik på Fortsæt installation. Bemærk: Computeren skal genstartes, når installationen er fuldført.

11. Klik på Genstart efter installationen.

Sådan bekræfter du, at FIPS Administration-værktøjerne er blevet installeret korrekt

Installationen af FIPS Administration-værktøjerne kan bekræftes ved at sikre, at systemet er i "FIPS-tilstand".

Bekræft, at systemet er i FIPS-tilstand, ved at køre følgende i et Terminal-vindue:


/usr/sbin/fips/FIPSPerformSelfTest status

Resultatet skal være:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Der er to andre steder, hvor du manuelt kan bekræfte, at FIPS Administration-værktøjerne er installeret korrekt:

• Det første sted er i /System/Library/LaunchDaemons/, hvor du skal finde filen med navnet:

  • /System/Library/LaunchDaemons/com.apple.fipspost.plist

• Det andet sted er i

  • mappen /usr/sbin/fips, der oprettes under installationen. De værktøjer, der er installeret i denne mappe, er:

    • FIPSPerformSelfTest – (værktøj til selvtest ved opstart)

    • CryptoKAT – (værktøj til kryptoalgoritmetest af kendt svar)

    • postsig – (værktøj til DSA/ECDSA-signaturtest)

Sådan bekræfter du, at FIPS-tilstand er blevet deaktiveret, før der udføres en softwareopdatering

Bemærk: Se FIPS Administration Tools Crypto Officer Role Guide for at få oplysninger om, hvordan du deaktiverer FIPS, før du udfører softwareopdateringer.

Bekræft, at FIPS-tilstand er blevet deaktiveret i systemet, ved at køre følgende i et Terminal-vindue:

/usr/sbin/fips/FIPSPerformSelfTest status

Resultatet skal være:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Læs mere

Om det FIPS 140-2-validerede kryptografimodul i OS X Lion

OS X Lion-sikkerhedstjenester bygges nu på en nyere "Next generation Cryptography"-platform og er blevet overført fra CDSA/CSP-modulet, der tidligere var valideret på Mac OS X v10.6. Apple har dog genvalideret det samme CDSA/CSP-modul under OS X Lion for at levere fortsat validering til tredjepartsapps.

Common Data Security Architecture (CDSA) er et sæt lagdelte sikkerhedstjenester, hvor AppleCSP (Apple Cryptographic Service Provider) leverer kryptografien til alle tredjepartssoftwareprodukter, som stadig bruger CDSA.

I forbindelse med FIPS 140-2-valideringsprocessen benævnes AppleCSP og relaterede komponenter samlet "Apple FIPS-kryptografimodul (softwareversion: 1.1)". Dette modul har modtaget FIPS 140-2 Level 1 Conformance Validation-certifikat nr. 1701 og er lagt ud på CMVP-websiden med "Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules".

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Baggrund for NIST/CSEC CMVP og FIPS 140-2

NIST (National Institute of Standards and Technology) har etableret CMVP (Cryptographic Module Validation Program), der godkender kryptografimoduler i henhold til FIPS 140-2 (Federal Information Processing Standards) og andre kryptografibaserede standarder. CMVP er et samarbejde mellem NIST og CSEC (Communications Security Establishment Canada).

Hovedwebstedet for NIST/CSEC CMVP er hostet af NIST og indeholder fuldstændige oplysninger om programmet, alle relaterede standarder og dokumenter samt de officielle lister over FIPS 140-1- og FIPS 140-2-validerede kryptografimoduler.

FIPS 140-2 henviser specifikt til sikkerhedskravene for kryptografimoduler. Standarden indeholder fire kvalitative sikkerhedsniveauer i stigende rækkefølge: niveau 1, niveau 2, niveau 3 og niveau 4. Disse niveauer har til hensigt at dække et bredt område af mulige programmer og miljøer, som kryptografimoduler kan anvendes i. Du kan finde en komplet beskrivelse af hvert niveau i FIPS 140-2-udgivelsen på NIST-webstedet (FIPS PUB 140-2).

Kryptografimoduler, der overholder FIPS 140-2, accepteres af myndighederne i begge lande med hensyn til beskyttelse af følsomme oplysninger.

Se også:

• Sådan indstiller og vedligeholder du et FIPS-kompatibelt Mac OS X v10.6 Snow Leopard-system

• Installeringsprogram til FIPS Administration til Mac OS X v10.6 Snow Leopard

• FIPS Administration Tools Crypto Officer Role Guide (Mac OS X v10.6)