บทความนี้ถูกเก็บถาวรและไม่ได้รับการอัพเดทจาก Apple อีกต่อไป

วิธีตั้งค่าและบำรุงรักษาระบบ OS X Lion ที่เปิดใช้งาน FIPS

ดูวิธีตั้งค่าและบำรุงรักษาระบบ OS X Lion ที่เปิดใช้งาน FIPS

โมดูลการเข้ารหัส CDSA/CSP ที่ผ่านการตรวจสอบโดย FIPS ซึ่งมาพร้อมกับ OS X Lion ต้องอาศัยขั้นตอนการตั้งค่าเพิ่มเติมเพื่อให้ระบบเข้าสู่ "โหมด FIPS" เพื่อให้เป็นไปตามข้อกำหนดทั้งหมด ทั้งนี้ผู้ดูแลระบบ (เจ้าหน้าที่เข้ารหัส) จะต้องรับและติดตั้งโปรแกรมติดตั้งการดูแลระบบ FIPS ลงในระบบ

ข้อสำคัญ: ก่อนดำเนินการอัปเดต OS X Lion เช่น ผ่านการอัปเดตซอฟต์แวร์ คุณควรปิดใช้งาน "โหมด FIPS" มิฉะนั้นคอมพิวเตอร์อาจเริ่มต้นระบบไม่สำเร็จหลังจากรีสตาร์ท หลังจากดำเนินการอัปเดตซอฟต์แวร์แล้ว เจ้าหน้าที่เข้ารหัสจะต้องเปิดใช้งาน "โหมด FIPS" อีกครั้ง โดยทำตามคำแนะนำในคู่มือบทบาทของเจ้าหน้าที่เข้ารหัส

วิธีติดตั้งเครื่องมือการดูแลระบบ FIPS

ดาวน์โหลดโปรแกรมติดตั้งการดูแลระบบ FIPS ได้ที่นี่ หากต้องการคำแนะนำทั้งหมดเกี่ยวกับการติดตั้งและการจัดการการดูแลระบบ FIPS ให้ดูที่คู่มือเกี่ยวกับบทบาทของเจ้าหน้าที่เข้ารหัสเครื่องมือการดูแลระบบ FIPS

  1. เข้าสู่ระบบในฐานะผู้ดูแลระบบบนคอมพิวเตอร์ที่จะติดตั้งเครื่องมือ

  2. ดับเบิ้ลคลิกที่แพ็คเกจตัวติดตั้งการดูแลระบบ FIPS

  3. คลิกดำเนินการต่อ หลังจากอ่านข้อมูลในหน้าบทนำ

  4. คลิกดำเนินการต่อ หลังจากอ่านข้อมูลในหน้าอ่านฉัน และคุณยังสามารถพิมพ์หรือบันทึกข้อมูลในหน้านี้ได้ตามต้องการ

  5. คลิกดำเนินการต่อ หลังจากอ่านข้อตกลงสิทธิ์การใช้งานซอฟต์แวร์ในหน้าสิทธิ์การใช้งานแล้ว และคุณยังสามารถพิมพ์หรือบันทึกข้อมูลในหน้านี้ได้ตามต้องการ

  6. คลิกยอมรับ หากคุณยอมรับข้อตกลงของสิทธิ์การใช้งานซอฟต์แวร์ มิฉะนั้นให้คลิกไม่ยอมรับ และโปรแกรมติดตั้งจะออกจากการทำงาน

  7. เลือกโวลุ่มของ Mac OS X ที่จะติดตั้งเครื่องมือการดูแลระบบ FIPS จากนั้นคลิกดำเนินการต่อ บนหน้าเลือกปลายทาง หมายเหตุ: ควรติดตั้งเครื่องมือการดูแลระบบ FIPS บนดิสก์โวลุ่มเริ่มต้นระบบ (บูต) เท่านั้น

  8. คลิกปุ่มติดตั้ง

  9. ป้อนชื่อผู้ใช้และรหัสผ่านผู้ดูแลระบบของคุณ

  10. คลิกดำเนินการติดตั้งต่อ หมายเหตุ: ต้องรีสตาร์ทคอมพิวเตอร์เมื่อการติดตั้งเสร็จสมบูรณ์

  11. หลังจากการติดตั้ง ให้คลิกรีสตาร์ท

หากต้องการตรวจสอบว่าเครื่องมือการดูแลระบบ FIPS ติดตั้งสำเร็จ

สามารถตรวจสอบการติดตั้งเครื่องมือดูแลระบบ FIPS ได้ด้วยการตรวจสอบให้แน่ใจว่าระบบอยู่ใน "โหมด FIPS"

ตรวจสอบว่าระบบอยู่ในโหมด FIPS โดยดำเนินการดังต่อไปนี้ในหน้าต่างเทอร์มินัล


/usr/sbin/fips/FIPSPerformSelfTest status

ผลลัพธ์ควรเป็นดังนี้

[FIPSPerformSelfTest][ModeStatus] สถานะโหมดของ FIPS : เปิดใช้งานแล้ว

มีอีกสองตำแหน่งที่คุณสามารถตรวจสอบด้วยตนเองได้ว่าเครื่องมือการดูแลระบบ FIPS ติดตั้งสำเร็จ ดังนี้

  • ตำแหน่งแรกที่ต้องตรวจสอบคือใน /System/Library/LaunchDaemons/ สำหรับไฟล์ที่ชื่อ

    • /System/Library/LaunchDaemons/com.apple.fipspost.plist

  • ตำแหน่งที่สองที่ต้องตรวจสอบคือใน

    • โฟลเดอร์ /usr/sbin/fips ที่สร้างขึ้นระหว่างการติดตั้ง เครื่องมือที่ติดตั้งในโฟลเดอร์นั้นมีดังนี้

      • FIPSPerformSelfTest - (เครื่องมือระบบทดสอบตนเองเมื่อเปิดเครื่อง)

      • CryptoKAT - (เครื่องมือทดสอบคำตอบที่อัลกอริทึม CRYPTO รู้จัก)

      • postsig - (เครื่องมือทดสอบลายเซ็น DSA/ECDSA)

หากต้องการตรวจสอบว่าได้ปิดใช้งานโหมด FIPS แล้วก่อนดำเนินการอัปเดตซอฟต์แวร์

หมายเหตุ: โปรดดูคู่มือเกี่ยวกับบทบาทของเจ้าหน้าที่เข้ารหัสเครื่องมือการดูแลระบบ FIPS หากต้องการข้อมูลเกี่ยวกับวิธีปิดใช้งาน FIPS ก่อนทำการอัปเดตซอฟต์แวร์

ตรวจสอบว่าปิดใช้งานโหมด FIPS บนระบบแล้วโดยดำเนินการดังต่อไปนี้ในหน้าต่างเทอร์มินัล

/usr/sbin/fips/FIPSPerformSelfTest status

ผลลัพธ์ควรเป็นดังนี้

[FIPSPerformSelfTest][ModeStatus] สถานะโหมดของ FIPS : ปิดใช้งานแล้ว

ดูเพิ่มเติม

เกี่ยวกับโมดูลการเข้ารหัสที่ตรวจสอบแล้วของ FIPS 140-2 ใน OS X Lion

ขณะนี้บริการรักษาความปลอดภัย OS X Lion ถูกรวมไว้ในแพลตฟอร์ม "การเข้ารหัสรุ่นใหม่" ที่ใหม่กว่าและได้เปลี่ยนจากโมดูล CDSA/CSP ที่ตรวจสอบก่อนหน้านี้บน Mac OS X v10.6 อย่างไรก็ตาม Apple ได้ตรวจสอบโมดูล CDSA/CSP เดียวกันซ้ำอีกครั้งภายใต้ OS X Lion เพื่อตรวจสอบแอปพลิเคชันภายนอกโดยเฉพาะอย่างต่อเนื่อง

Common Data Security Architecture (CDSA) คือชุดบริการรักษาความปลอดภัยแบบเป็นชั้น ซึ่ง AppleCSP (Apple Cryptographic Service Provider) จะเป็นผู้ให้การเข้ารหัสสำหรับผลิตภัณฑ์ซอฟต์แวร์ของบริษัทอื่นที่ยังคงใช้ CDSA อยู่

เพื่อจุดประสงค์ของกระบวนการตรวจสอบ FIPS 140-2, AppleCSP และส่วนประกอบที่เกี่ยวข้อง จะเรียกรวมกันว่า "โมดูลการเข้ารหัส FIPS ของ Apple (ซอฟต์แวร์เวอร์ชั่น: 1.1)" โมดูลนี้ได้รับการรับรองการตรวจสอบความสอดคล้อง FIPS 140-2 ระดับ 1 หมายเลข 1701 และโพสต์ลงในหน้าเว็บ CMVP ที่แสดงรายการ "โมดูลการเข้ารหัส FIPS 140-1 และ FIPS 140-2 ที่ผ่านการตรวจสอบแล้ว"

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

เบื้องหลังเกี่ยวกับ NIST/CSEC CMVP และ FIPS 140-2

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้สร้างโปรแกรมการตรวจสอบโมดูลการเข้ารหัส (CCMVP) ซึ่งตรวจสอบโมดูลการเข้ารหัสให้เป็นไปตามมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง (FIPS) 140-2 และมาตรฐานการเข้ารหัสอื่นๆ CMVP คือการดำเนินงานร่วมกันระหว่าง NIST กับสถาบันรักษาความปลอดภัยด้านการสื่อสารของแคนาดา (CSEC)

เว็บไซต์หลักสำหรับ NIST/CSEC CMVP โฮสต์โดย NIST และประกอบด้วยรายละเอียดทั้งหมดในโปรแกรม มาตรฐานและเอกสารทั้งหมดที่เกี่ยวข้อง รวมทั้งรายชื่ออย่างเป็นทางการของโมดูลการเข้ารหัส FIPS 140-1 และ FIPS 140-2 ที่ตรวจสอบแล้ว

FIPS 140-2 หมายถึงข้อกำหนดด้านการรักษาความปลอดภัยสำหรับโมดูลการเข้ารหัสโดยเฉพาะ มาตรฐานนี้จะให้ระดับความปลอดภัยเชิงคุณภาพเพิ่มขึ้นคือสี่ระดับ ได้แก่ ระดับที่ 1 ระดับที่ 2 ระดับที่ 3 และระดับที่ 4 ระดับเหล่านี้มีไว้เพื่อให้ครอบคลุมการใช้งานที่อาจเกิดขึ้นและสภาพแวดล้อมที่หลากหลายซึ่งอาจมีการนำโมดูลการเข้ารหัสไปใช้ สามารถดูรายละเอียดทั้งหมดของแต่ละระดับได้ภายในเอกสารเผยแพร่ FIPS 140-2 บนเว็บไซต์ NIST (FIPS PUB 140-2)

โมดูลการเข้ารหัสที่ได้รับการตรวจสอบว่าเป็นไปตาม FIPS 140-2 จะได้รับการยอมรับโดยหน่วยงานรัฐบาลกลางของทั้งสองประเทศว่าสามารถปกป้องข้อมูลที่ละเอียดอ่อนได้

ดูเพิ่มเติมที่

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: