Slik konfigurerer og vedlikeholder du et FIPS-aktivert OS X Lion-system

Finn ut hvordan du konfigurerer og vedlikeholder et FIPS-aktivert OS X Lion-system.

Den FIPS-validerte CDSA/CSP-kryptografimodulen som leveres sammen med OS X Lion, krever et ekstra konfigureringstrinn for å sette systemet i «FIPS-modus» for full overholdelse. Systemadministratoren (den kryptografiansvarlige) må skaffe og installere FIPS Administration-installeringsprogrammet på systemet.

Viktig: Før du utfører OS X Lion-oppdateringer, for eksempel via Programvareoppdatering, må du deaktivere «FIPS-modus». Hvis ikke kan det hende at datamaskinen ikke starter opp igjen etter omstarten. Når programvareoppdateringen er utført, må den kryptografiansvarlige gjenaktivere «FIPS-modus» i samsvar med instruksjonene i Crypto Officer Role Guide.

Slik installerer du FIPS Administration Tools

FIPS Administration-installeringsprogrammet er tilgjengelig her. Fullstendige instruksjoner om installering og administrasjon av FIPS Administration finner du i FIPS Administration Tools Crypto Officer Role Guide.

1. Logg deg på som administrator på datamaskinen der verktøyene skal installeres.

2. Dobbeltklikk på FIPS Administration-installeringspakken.

3. Klikk på Fortsett etter å ha lest informasjonen på Introduksjon-siden.

4. Klikk på Fortsett etter å ha lest informasjonen på Les meg-siden. Du kan også skrive ut eller lagre informasjonen på denne siden ved behov.

5. Klikk på Fortsett etter å ha lest lisensavtalen for programvaren på Lisens-siden. Du kan også skrive ut eller lagre informasjonen på denne siden ved behov.

6. Klikk på Godta hvis du samtykker i alle vilkårene i programvarelisensen. Ellers klikker du på Ikke godta. Da avsluttes installeringsprogrammet.

7. Velg Mac OS X-volumet der FIPS Administration Tools skal installeres, og klikk på Fortsett på siden for valg av installeringssted. Merk: FIPS Administration Tools skal bare installeres på oppstartsvolumet.

8. Klikk på Installer-knappen.

9. Skriv inn administratorbrukernavnet og -passordet.

10. Klikk på Fortsett installering. Merk: Datamaskinen må startes på nytt når installeringen er fullført.

11. Etter installeringen klikker du på Omstart.

Slik kontrollerer du at installeringen av FIPS Administration Tools var vellykket

Installeringen av FIPS Administration Tools kan kontrolleres ved å bekrefte at systemet er i «FIPS-modus».

Kontroller at systemet er i FIPS-modus, ved å kjøre denne kommandoen i et Terminal-vindu:


/usr/sbin/fips/FIPSPerformSelfTest status

Resultatet skal være som følger:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Det finnes to andre fremgangsmåter for å kontrollere manuelt at installeringen av FIPS Administration Tools var vellykket:

• Det første du kan gjøre, er å sjekke om /System/Library/LaunchDaemons/ inneholder en fil med dette navnet:

  • /System/Library/LaunchDaemons/com.apple.fipspost.plist

• Det andre du kan gjøre, er å kontrollere mappen

  • /usr/sbin/fips, som opprettes under installeringen. De følgende verktøyene er installert i denne mappen:

    • FIPSPerformSelfTest – (verktøy for egentest ved oppstart)

    • CryptoKAT – (testverktøy for CRYPTO-algoritme med kjent svar)

    • postsig – (DSA/ECDSA-signaturtestverktøy)

Slik kontrollerer du at FIPS-modus er deaktivert før du utfører en programvareoppdatering

Merk: Les FIPS Administration Tools Crypto Officer Role Guide for å finne ut hvordan du deaktiverer FIPS før du utfører programvareoppdateringer.

Kontroller at FIPS-modus er deaktivert på systemet, ved å kjøre denne kommandoen i et Terminal-vindu:

/usr/sbin/fips/FIPSPerformSelfTest status

Resultatet skal være som følger:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Finn ut mer

OM FIPS 140-2 Validated Cryptographic Module i OS X Lion

OS X Lion-sikkerhetstjenester er nå bygget på en nyere plattform med «neste generasjons kryptografi» og har gått bort fra CDSA/CSP-modulen som tidligere ble validert på Mac OS X v10.6. Apple har imidlertid revalidert den samme CDSA/CSP-modulen i OS X Lion for at validering fremdeles skal være tilgjengelig utelukkende for tredjepartsprogrammer.

CDSA (Common Data Security Architecture) er et sett med lagdelte sikkerhetstjenester der AppleCSP (Apple Cryptographic Service Provider) leverer kryptografi for alle tredjeparts programvareprodukter som fremdeles bruker CDSA.

Når det gjelder FIPS 140-2-valideringsprosessen henvises det til AppleCSP og beslektede komponenter under ett som «Apple FIPS Cryptographic Module (Software Version: 1.1)». Denne modulen har fått samsvarsvalideringssertifikat nr. 1701 for FIPS 140-2-nivå 1 og er lagt ut på CMVP-nettsideoppføringen «Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules» (Validerte FIPS 140-1- og FIPS 140-2-kryptografimoduler).

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Bakgrunnsinformasjon om NIST/CSEC CMVP og FIPS 140-2

NIST (National Institute of Standards and Technology) har etablert programmet for validering av kryptografimoduler (CMVP) som validerer kryptografimoduler i henhold til FIPS (Federal Information Processing Standards) 140-2 og andre kryptografiske standarder. CMVP er et samarbeidsinitiativ mellom NIST og CSEC (Communications Security Establishment Canada).

Hovednettstedet for NIST/CSEC CMVP driftes av NIST og inneholder fullstendige detaljer om programmet, alle relaterte standarder og dokumenter samt de offisielle listene over validerte FIPS 140-1- og FIPS 140-2-kryptografimoduler.

FIPS 140-2 henviser spesielt til sikkerhetskravene for kryptografimoduler. Standarden gir fire økende, kvalitative sikkerhetsnivåer: nivå 1, nivå 2, nivå 3 og nivå 4. Disse nivåene er ment å dekke hele spekteret av potensielle bruksområder og miljøer hvor kryptografimoduler kan komme til anvendelse. En komplett beskrivelse av hvert nivå finnes i FIPS 140-2-publikasjonen på NIST-nettstedet (FIPS PUB 140-2).

Kryptografimoduler som er validert i henhold til FIPS 140-2, er godkjent av de føderale myndighetene i begge land for beskyttelse av sensitiv informasjon.

Se også følgende:

• Slik konfigurerer og vedlikeholder du et FIPS-aktivert Mac OS X v10.6 Snow Leopard-system

• FIPS Administration-installeringsprogrammet for Mac OS X v10.6 Snow Leopard

• FIPS Administration Tools Crypto Officer Role Guide (Mac OS X v10.6)