Cara mengatur dan mengelola sistem OS X Lion yang mendukung FIPS

Pelajari cara mengatur dan mengelola sistem OS X Lion yang mendukung FIPS.

Modul kriptografi CDSA/CSP tervalidasi FIPS yang disertakan dalam OS X Lion memerlukan langkah pengaturan tambahan untuk menempatkan sistem ke dalam “Mode FIPS” demi kepatuhan penuh. Penginstal Administrasi FIPS harus didapatkan dan diinstal di sistem oleh administrator sistem (Petugas Kripto).

Penting: Sebelum melakukan pembaruan OS X Lion, misalnya melalui Pembaruan Perangkat Lunak, nonaktifkan “Mode FIPS” terlebih dahulu. Jika tidak, komputer mungkin tidak dapat memulai dengan lancar setelah memulai ulang. Setelah melakukan pembaruan perangkat lunak, Petugas Kripto perlu mengaktifkan kembali “Mode FIPS” sesuai instruksi dalam Panduan Peran Petugas Kripto.

Cara menginstal Alat Administrasi FIPS

Penginstal Administrasi FIPS tersedia di sini. Untuk petunjuk lengkap tentang penginstalan dan manajemen Administrasi FIPS, lihat Panduan Peran Petugas Kripto Alat Administrasi FIPS.

1. Masuk sebagai administrator di komputer tempat alat akan diinstal.

2. Klik dua kali paket Penginstal Administrasi FIPS.

3. Klik Lanjutkan setelah membaca informasi di halaman Pendahuluan.

4. Klik Lanjutkan setelah membaca informasi di halaman Baca Saya. Anda juga dapat mencetak atau menyimpan informasi di halaman ini sesuai kebutuhan.

5. Klik Lanjutkan setelah membaca Perjanjian Lisensi Perangkat Lunak di halaman Lisensi. Anda juga dapat mencetak atau menyimpan informasi di halaman ini sesuai kebutuhan.

6. Klik Setuju jika Anda menyetujui ketentuan lisensi perangkat lunak. Jika tidak, klik Tidak Setuju untuk membatalkan penginstalan.

7. Pilih volume Mac OS X untuk menginstal Alat Administrasi FIPS, lalu klik Lanjutkan di halaman Pilih Tujuan. Catatan: Alat Administrasi FIPS hanya bisa diinstal di volume mulai (boot).

8. Klik tombol Instal.

9. Masukkan nama pengguna dan kata sandi administrator.

10. Klik Lanjutkan Penginstalan. Catatan: Komputer harus dimulai ulang setelah penginstalan selesai.

11. Setelah penginstalan selesai, klik Mulai Ulang.

Untuk memverifikasi bahwa Alat Administrasi FIPS berhasil diinstal

Penginstalan Alat Administrasi FIPS dapat diverifikasi dengan memastikan sistem berada dalam “Mode FIPS”.

Pastikan sistem berada dalam Mode FIPS dengan menjalankan item berikut di jendela Terminal:


/usr/sbin/fips/FIPSPerformSelfTest status

Hasilnya akan seperti ini:

[FIPSPerformSelfTest][ModeStatus] Mode Status FIPS : AKTIF

Terdapat dua tempat lain untuk memverifikasi secara manual bahwa Alat Administrasi FIPS berhasil diinstal:

• Tempat pertama terdapat di /System/Library/LaunchDemons/ untuk file bernama:

  • /System/Library/LaunchDaemons/com.apple.fipspost.plist

• Tempat kedua terdapat di

  • Folder /usr/sbin/fips yang dibuat selama penginstalan. Alat yang diinstal di folder tersebut adalah:

    • FIPSPerformSelfTest – (Alat Uji Mandiri Power-On)

    • CryptoKAT – (Alat Uji Jawaban yang Diketahui Algoritma CRYPTO)

    • postsig – (Alat Uji Tanda Tangan DSA/ECDSA)

Untuk memverifikasi bahwa Mode FIPS telah dinonaktifkan sebelum melakukan pembaruan perangkat lunak

Catatan: Harap lihat Panduan Peran Petugas Kripto Alat Administrasi FIPS untuk mendapatkan informasi tentang cara menonaktifkan FIPS sebelum melakukan pembaruan perangkat lunak apa pun.

Pastikan Mode FIPS telah dinonaktifkan pada sistem dengan menjalankan item berikut di jendela Terminal:

/usr/sbin/fips/FIPSPerformSelfTest status

Hasilnya akan seperti ini:

[FIPSPerformSelfTest][ModeStatus] Mode Status FIPS : NONAKTIF

Pelajari lebih lanjut

Tentang Modul Kriptografis Tervalidasi FIPS 140-2 pada OS X Lion

Layanan keamanan OS X Lion sekarang dibuat di platform “Kriptografi Canggih” yang lebih baru dan telah beralih dari modul CDSA/CSP yang sebelumnya divalidasi di Mac OS X v10.6. Namun, Apple telah memvalidasi ulang modul CDSA/CSP yang sama berdasarkan OS X Lion untuk memberikan validasi berkelanjutan khusus untuk aplikasi pihak ketiga.

Common Data Security Architecture (CDSA) adalah serangkaian layanan keamanan berlapis dengan AppleCSP (Apple Cryptographic Service Provider) yang menyediakan kriptografi untuk semua produk perangkat lunak pihak ketiga yang masih menggunakan CDSA.

Untuk tujuan proses validasi FIPS 140-2, AppleCSP dan komponen terkait secara bersama disebut sebagai “Modul Kriptografis FIPS Apple (Versi Perangkat Lunak: 1.1)”. Modul ini telah menerima sertifikat Validasi Kesesuaian FIPS 140-2 Level 1 #1701, dan diposting ke halaman web CMVP yang mencantumkan “Modul Kriptografis FIPS 140-1 dan FIPS 140-2 yang Divalidasi”.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Latar belakang NIST/CSEC CMVP dan FIPS 140-2

National Institute of Standards and Technology (NIST) mendirikan Cryptographic Module Validation Program (CMVP) yang memvalidasi modul kriptografi ke Federal Information Processing Standards (FIPS) 140-2 dan standar lainnya yang berbasis kriptografi. CMVP merupakan kerja sama antara NIST dan Communication Security Establishment Canada (CSEC).

Situs web utama untuk NIST/CSEC CMVP di-host oleh NIST dan berisi detail lengkap mengenai program, semua standar dan dokumen terkait, serta daftar resmi modul kriptografi tervalidasi FIPS 140-1 dan FIPS 140-2.

FIPS 140-2 mengacu secara khusus pada persyaratan keamanan untuk modul kriptografi. Standar ini memberikan empat tingkat keamanan kualitatif yang meningkat: Level 1, Level 2, Level 3, dan Level 4. Tingkat tersebut ditujukan untuk mencakup berbagai aplikasi dan lingkungan yang berpotensi di tempat modul kriptografi dapat digunakan. Penjelasan lengkap tiap level dapat ditemukan dalam publikasi FIPS 140-2 di situs web NIST (FIPS PUB 140-2).

Modul Kriptografi tervalidasi atas kesesuaiannya dengan FIPS 140-2 diterima oleh Agensi-Agensi Federal kedua negara demi perlindungan terhadap informasi rahasia.

Lihat juga:

• Cara mengatur dan mengelola sistem Mac OS X v10.6 Snow Leopard yang mendukung FIPS

• Penginstal Administrasi FIPS untuk Mac OS X v10.6 Snow Leopard

• Panduan Peran Petugas Kripto Alat Administrasi FIPS (Mac OS X v10.6)