FIPSiä tukevan OS X Lion -järjestelmän käyttöönotto ja järjestelmän ylläpitäminen

Tässä artikkelissa kerrotaan, miten voit ottaa käyttöön FIPS-yhteensopivan OS X Lion -järjestelmän ja ylläpitää sitä.

OS X Lionin mukana toimitettu FIPS-validoitu CDSA/CSP-salausmoduuli edellyttää lisäasennusvaihetta, jotta järjestelmä voidaan asettaa FIPS-tilaan täyden vaatimustenmukaisuuden varmistamiseksi. Järjestelmänvalvojan (salaushallinnoijan) on hankittava ja asennettava järjestelmään FIPS Administration -asentaja.

Tärkeää: FIPS-tila on poistettava käytöstä ennen OS X Lion -päivitysten suorittamista esimerkiksi ohjelmistopäivityksen kautta. Muussa tapauksessa tietokone ei ehkä käynnisty onnistuneesti uudelleenkäynnistyksen jälkeen. Ohjelmistopäivityksen suorittamisen jälkeen salaushallinnoijan on otettava FIPS-tila uudelleen käyttöön Salaushallinnoijan tehtäväoppaan ohjeiden mukaisesti.

Ohjeet FIPS Administration -työkalujen asentamiseen

FIPS Administration -asentaja on saatavissa täältä. Täydelliset ohjeet FIPS Administration -asentajan asennukseen ja hallintaan löytyvät FIPS Administration -työkalujen Salaushallinnoijan tehtäväoppaasta.

1. Kirjaudu ylläpitäjänä sisään siihen tietokoneeseen, johon haluat asentaa työkalut.

2. Kaksoisklikkaa FIPS Administration Installer -pakettia.

3. Klikkaa Jatka, kun olet lukenut esittelysivun tiedot.

4. Klikkaa Jatka, kun olet lukenut Lue minut -sivun tiedot. Voit tarvittaessa tulostaa tai tallentaa sivulla olevat tiedot.

5. Klikkaa Jatka, kun olet lukenut ohjelmistolisenssisopimuksen lisenssisivulla. Voit tarvittaessa tulostaa tai tallentaa sivulla olevat tiedot.

6. Klikkaa Hyväksyn, jos hyväksyt ohjelmistolisenssin ehdot. Muussa tapauksessa klikkaa En hyväksy, jolloin asennusohjelma suljetaan.

7. Asenna FIPS Administration -työkalut valitsemalla haluamasi Mac OS X -taltio ja klikkaa sitten Kohteen valinta -sivulla Jatka. Huomautus: FIPS Administration -työkalut on asennettava käynnistystaltioon.

8. Klikkaa Asenna-painiketta.

9. Anna ylläpitäjän käyttäjätunnus ja salasana.

10. Klikkaa Jatka asennusta. Huomautus: Tietokone on käynnistettävä uudelleen, kun asennus on valmis.

11. Klikkaa asennuksen jälkeen Käynnistä uudelleen.

FIPS Administration -työkalujen onnistuneen asennuksen tarkistaminen

FIPS Administration -työkalujen asennus voidaan varmistaa tarkistamalla, että järjestelmä on FIPS-tilassa.

Varmista, että järjestelmä on FIPS-tilassa, suorittamalla Pääte-ikkunassa seuraavat toimet:


/usr/sbin/fips/FIPSPerformSelfTest status

Tuloksena pitäisi olla:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status: ENABLED

Voit tarkistaa FIPS Administration -työkalujen onnistuneen asennuksen manuaalisesti myös kahdessa muussa paikassa:

• Ensimmäinen paikka on kohteessa /System/Library/LaunchDaemons/ oleva tiedosto, jonka nimi on:

  • /System/Library/LaunchDaemons/com.apple.fipspost.plist

• Toinen paikka, joka voidaan tarkistaa, on

  • asennuksen aikana luotu kansio /usr/sbin/fips. Kansioon asennetut työkalut ovat:

    • FIPSPerformSelfTest – (Järjestelmän automaattisen testin työkalu)

    • CryptoKAT – (CRYPTO-algoritmin tunnetun vastauksen testityökalu)

    • postsig – (DSA/ECDSA-allekirjoituksen testityökalu)

FIPS-tilan käytöstä poistamisen varmistus ennen ohjelmistopäivityksen suorittamista

Huomautus: Katso FIPS Administration -työkalujen Salaushallinnoijan tehtäväoppaasta lisätietoja FIPS-tilan poistamisesta käytöstä ennen ohjelmistopäivitysten suorittamista.

Varmista, että FIPS-tila on poistettu käytöstä järjestelmässä suorittamalla seuraavat toimet Pääte-ikkunassa:

/usr/sbin/fips/FIPSPerformSelfTest status

Tuloksena pitäisi olla:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status: DISABLED

Lisätietoja

Tietoja OS X Lionin FIPS 140-2 -validoidusta salausmoduulista

OS X Lionin suojauspalvelut on nyt rakennettu uudemmalle seuraavan sukupolven salausalustalle, ja ne on siirretty Mac OS X 10.6:ssa aiemmin validoidusta CDSA/CSP-moduulista. Apple on kuitenkin validoinut saman CDSA/CSP-moduulin uudelleen OS X Lionia varten tarjotakseen jatkuvan validoinnin muiden valmistajien appeja varten.

Common Data Security Architecture (CDSA) on joukko monikerroksisia suojauspalveluita, joissa AppleCSP (Applen salauspalvelun tarjoaja) tarjoaa salauksen kaikille kolmannen osapuolen ohjelmistotuotteille, jotka edelleen käyttävät CDSA:ta.

FIPS 140-2 -validointiprosessia varten AppleCSP:stä ja siihen liittyvistä komponenteista käytetään yhteisnimitystä Apple FIPS -salausmoduuli (ohjelmistoversio: 1.1). Tämä moduuli on saanut FIPS 140-2 Level 1 Conformance Validation Certificate #1701 -varmenteen, ja se on listattu CMVP-verkkosivulla, jossa luetellaan validoidut FIPS 140-1- ja FIPS 140-2 -salausmoduulit.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

NIST/CSEC CMVP:n ja FIPS 140-2:n taustatietoja

CMVP-ohjelman (Cryptographic Module Validation Program) on perustanut NIST-virasto (National Institute of Standards and Technology), ja se validoi salausmoduulit FIPS (Federal Information Processing Standards) 140-2:n ja muiden salausstandardien mukaisesti. CMVP on NIST:n ja CSEC:n (Communications Security Establishment Canada) yhteishanke.

NIST/CSEC CMVP:n pääverkkosivusto on NIST-standardien mukainen, ja se sisältää täydelliset tiedot ohjelmasta, kaikki siihen liittyvät standardit ja asiakirjat sekä viralliset luettelot FIPS 140-1- ja FIPS 140-2 -validoiduista salausmoduuleista.

FIPS 140-2 viittaa erityisesti salausmoduulien suojausvaatimuksiin. Standardissa on neljä kasvavaa laadullista suojaustasoa: taso 1, taso 2, taso 3 ja taso 4. Tasot kattavat monet eri käyttökohteet ja ympäristöt, joissa salausmoduuleja voidaan käyttää. Kunkin tason täydellinen kuvaus on FIPS 140-2 -julkaisussa, joka löytyy NIST-verkkosivustolta (FIPS PUB 140-2).

Molempien maiden liittovaltion virastot hyväksyvät FIPS 140-2:n mukaisiksi validoidut salausmoduulit arkaluontoisten tietojen suojaukseen.

Katso myös:

• FIPSiä tukevan Mac OS X 10.6 Snow Leopard -järjestelmän käyttöönotto ja ylläpito

• FIPS Administration -asentaja Mac OS X 10.6 Snow Leopardille

• FIPS Administration -työkalujen salaushallinnoijan tehtäväopas (Mac OS X 10.6)