Come configurare e mantenere un sistema OS X Lion con FIPS abilitato
Scopri come configurare e mantenere un sistema OS X Lion con FIPS abilitato.
Per attivare il sistema in “Modalità FIPS” per una piena conformità, il modulo crittografico FIPS convalidato CDSA/CSP che viene fornito con OS X Lion richiede un ulteriore passaggio per la configurazione. Il programma di installazione per l'amministrazione FIPS deve essere ottenuto e installato nel sistema dall’amministratore del sistema (Crypto Officer).
Importante: prima di eseguire qualsiasi operazione di aggiornamento di OS X Lion, per esempio tramite Aggiornamento Software, è necessario disattivare la “Modalità FIPS”. In caso contrario, il computer potrebbe non avviarsi correttamente dopo il riavvio. Dopo aver eseguito l'aggiornamento software, il Crypto Officer dovrà riattivare la “Modalità FIPS” seguendo le istruzioni riportate nella Guida al ruolo del Crypto Officer.
Come installare gli Strumenti di amministrazione FIPS
Il programma di installazione per l’amministrazione FIPS è disponibile qui. Per istruzioni complete sull’installazione e sulla gestione dell'amministrazione FIPS, consulta la Guida al ruolo del Crypto Officer degli strumenti di amministrazione FIPS.
Accedi come amministratore sul computer su cui verranno installati gli strumenti.
Fai doppio clic sul pacchetto del programma di installazione dell’amministrazione FIPS.
Fai clic su Continua dopo aver letto le informazioni sulla pagina Introduzione.
Fai clic su Continua dopo aver letto le informazioni sulla pagina Leggimi. Inoltre, puoi stampare o salvare le informazioni su questa pagina, se necessario.
Fai clic su Continua dopo aver letto il contratto di licenza software sulla pagina Licenza. Inoltre, puoi stampare o salvare le informazioni su questa pagina, se necessario.
Fai clic su Accetto per accettare i termini della licenza software. In caso contrario, fai clic su Non accetto per uscire dal programma di installazione.
Seleziona il volume Mac OS X per installare gli strumenti di amministrazione FIPS, quindi fai clic su Continua nella pagina Seleziona destinazione. Nota: gli strumenti di amministrazione FIPS devono essere installati solo sul volume di avvio.
Fai clic sul pulsante Installa.
Inserisci il nome utente e la password dell’amministratore.
Fai clic su Continua installazione. Nota: una volta completata l'installazione, il computer deve essere riavviato.
Dopo l'installazione, fai clic su Riavvia.
Per verificare che gli strumenti di amministrazione FIPS siano stati installati correttamente
La corretta installazione degli strumenti di amministrazione FIPS può essere verificata accertandosi che il sistema sia in “Modalità FIPS”.
Verificare che il sistema sia in modalità FIPS eseguendo il seguente comando in una finestra di Terminale:
stato /usr/sbin/fips/FIPSPerformSelfTest
Il risultato dovrebbe essere:
[FIPSPerformSelfTest][ModeStatus] Stato della modalità FIPS: ABILITATO
Ci sono altre due posizioni da cui è possibile verificare manualmente che gli strumenti di amministrazione FIPS siano stati installati correttamente:
Verifica innanzitutto in /System/Library/LaunchDaemons/ la presenza del file denominato:
/System/Library/LaunchDaemons/com.apple.fipspost.plist
Successivamente verifica all'interno della cartella
/usr/sbin/fips creata durante l'installazione. Gli strumenti installati in quella cartella sono i seguenti:
FIPSPerformSelfTest – (Strumento Power-On Self Test)
CryptoKAT – (Strumento di verifica della risposta nota dell'algoritmo di crittografia)
postsig – (Strumento di verifica della firma DSA/ECDSA)
Per verificare che la modalità FIPS sia stata disattivata prima di eseguire un aggiornamento software
Nota: consulta la Guida al ruolo del Crypto Officer degli strumenti di amministrazione FIPS per le informazioni su come disattivare la modalità FIPS prima di eseguire qualsiasi aggiornamento software.
Verifica che la modalità FIPS sia stata disattivata dal sistema eseguendo il seguente comando in una finestra di Terminale:
stato /usr/sbin/fips/FIPSPerformSelfTest
Il risultato dovrebbe essere:
[FIPSPerformSelfTest][ModeStatus] Stato della modalità FIPS : DISABILITATO
Ulteriori informazioni
Informazioni relative al modulo crittografico FIPS 140-2 convalidato in OS X Lion
I servizi di sicurezza OS X Lion sono ora basati su una nuova piattaforma “Next Generation Cryptography” e sono stati trasferiti dal modulo CDSA/CSP precedentemente convalidato su Mac OS X 10.6. Tuttavia, Apple ha riconfermato lo stesso modulo CDSA/CSP sotto OS X Lion per fornire una convalida continua esclusivamente per applicazioni di terze parti.
Il Common Data Security Architecture (CDSA) è un insieme di servizi di sicurezza a più livelli in cui l'AppleCSP (Cryptographic Service Provider Apple) fornisce la crittografia per qualsiasi prodotto software di terze parti che ancora utilizza CDSA.
Ai fini del processo di convalida FIPS 140-2, l'AppleCSP e i relativi componenti sono indicati collettivamente come “Modulo crittografico convalidato FIPS di Apple (versione del software: 1.1)”. Questo modulo ha ricevuto il certificato di convalida della conformità FIPS 140-2 livello 1 n. 1701 ed è stato inserito nella pagina web CMVP in cui è presente un elenco dei “moduli crittografici convalidati FIPS 140-1 e FIPS 140-2”.
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701
Informazioni sul NIST/CSEC CMVP e FIPS 140-2
Il National Institute of Standards and Technology (NIST) ha istituito il Cryptographic Module Validation Program (CMVP), che convalida i moduli crittografici in conformità al Federal Information Processing Standard (FIPS) 140-2 e ad altri standard basati su crittografia. Il CMVP è il risultato di uno sforzo congiunto tra il NIST e la Communications Security Establishment Canada (CSEC).
Il sito web principale per il NIST/CSEC CMVP è ospitato dal NIST e contiene informazioni dettagliate sul programma, tutti gli standard e i documenti correlati, nonché gli elenchi ufficiali dei moduli crittografici convalidati FIPS 140-1 e FIPS 140-2.
FIPS 140-2 si riferisce specificatamente ai requisiti di sicurezza per i moduli crittografici. Lo standard prevede quattro livelli qualitativi crescenti di sicurezza: Livello 1, Livello 2, Livello 3 e Livello 4. Questi livelli sono destinati a coprire la vasta gamma di potenziali applicazioni e ambienti in cui è possibile impiegare i moduli crittografici. Una descrizione completa di ogni livello è disponibile all’interno della pubblicazione FIPS 140-2 sul sito web del NIST (FIPS PUB 140-2).
I moduli crittografici convalidati conformi al FIPS 140-2 sono accettati dalle Agenzie federali di entrambi i Paesi per la protezione delle informazioni sensibili.
Consulta anche:
Come configurare e mantenere un sistema Mac OS X 10.6 Snow Leopard con FIPS abilitato
Programma di installazione dell'amministrazione FIPS per Mac OS X 10.6 Snow Leopard
Guida al ruolo del Crypto Officer degli strumenti di amministrazione FIPS (Mac OS X 10.6)
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.