Jak nastavit a udržovat OS X Lion, aby vyhovoval standardu FIPS

Přečtěte si, jak nastavit a udržovat OS X Lion tak, aby vyhovoval standardu FIPS.

Kryptografický modul CDSA/CSP ověřený podle standardu FIPS, který je součástí OS X Lionu, vyžaduje provedení dalšího kroku nastavení, kterým systém uvedete do „režimu FIPS“, aby byla zajištěna plná kompatibilita. Správce systému (manažer šifrování) proto musí stáhnout a nainstalovat aplikaci FIPS Administration Installer (Instalační program správy FIPS).

Důležité: Před prováděním aktualizací OS X Lionu, například prostřednictvím Aktualizace softwaru, musíte vypnout „režim FIPS“. Jinak nemusí jít počítač po restartu úspěšně spustit. Po provedení aktualizace softwaru bude muset manažer šifrování znova zapnout „režim FIPS“ podle pokynů v příručce Crypto Officer Role Guide (Průvodce rolí manažera šifrování).

Jak nainstalovat nástroje FIPS Administration Tools (Nástroje správy FIPS)

Instalační program FIPS Administration Installer je ke stažení tady. Úplné pokyny k instalaci a řízení nástrojů správy FIPS najdete v dokumentu FIPS Administration Tools Crypto Officer Role Guide (Nástroje správy FIPS – průvodce rolí manažera šifrování).

1. Přihlaste se jako správce k počítači, ve kterém budou nástroje nainstalované.

2. Dvakrát klikněte na balíček FIPS Administration Installer.

3. Až si přečtete informace na úvodní stránce, klikněte na Continue (Pokračovat).

4. Po přečtení informací na stránce Read Me, klikněte na Continue (Pokračovat). Informace z této stránky si případně můžete vytisknout nebo uložit.

5. Až si přečtete licenční smlouvu na stránce License, klikněte na Continue (Pokračovat). Informace z této stránky si případně můžete vytisknout nebo uložit.

6. Pokud souhlasíte s podmínkami licenčního ujednání, klikněte na Agree (Souhlasím). V opačném případě klikněte na Disagree (Nesouhlasím) a instalační program se ukončí.

7. Vyberte svazek systému Mac OS X, na který chcete nástroje FIPS Administration Tools (Nástroje správy FIPS) nainstalovat, a potom na stránce pro výběr cíle klikněte na Continue (Pokračovat). Poznámka: Nástroje FIPS Administration Tools (Nástroje správy FIPS) instalujte výhradně na startovací (bootovací) svazek.

8. Klikněte na tlačítko Install (Instalovat).

9. Zadejte své uživatelské jméno správce a heslo.

10. Klikněte na Continue Installation (Pokračovat v instalaci). Poznámka: Po dokončení instalace musíte počítač restartovat.

11. Po instalaci klikněte na Restart (Restartovat).

Ověření úspěšné instalace nástrojů FIPS Administration Tools (Nástroje správy FIPS)

Instalaci nástrojů FIPS Administration Tools (Nástroje správy FIPS) jde ověřit kontrolou, jestli je systém v „režimu FIPS“.

Kontrolu, jestli je systém v režimu FIPS, provedete spuštěním následujícího příkazu v okně Terminálu:


/usr/sbin/fips/FIPSPerformSelfTest status

Výsledek by měl být:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Existují další dvě místa, kde můžete ručně zkontrolovat, jestli se nástroje FIPS Administration Tools (Nástroje správy FIPS) úspěšně nainstalovaly:

• První místo ke zkontrolování je ve složce /System/Library/LaunchDaemons/ pro soubor s názvem:

  • /System/Library/LaunchDaemons/com.apple.fipspost.plist

• Druhé místo ke zkontrolování je ve složce

  • /usr/sbin/fips, která se vytvoří při instalaci. Nástroje nainstalované v této složce jsou:

    • FIPSPerformSelfTest – (Power-On-Self-Test Tool)

    • CryptoKAT – (CRYPTO Algorithm Known Answer Test Tool)

    • postsig – (DSA/ECDSA Signature Test Tool)

Ověření, jestli byl před provedením aktualizace softwaru vypnutý režim FIPS

Poznámka: Přečtěte si dokument FIPS Administration Tools Crypto Officer Role Guide (Nástroje správy FIPS – průvodce rolí manažera šifrování), kde najdete informace o vypnutí režimu FIPS před prováděním aktualizací softwaru.

K ověření, jestli byl režim FIPS v systému vypnutý, spusťte v okně Terminálu následující příkaz:

/usr/sbin/fips/FIPSPerformSelfTest status

Výsledek by měl být:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Další informace

Informace o kryptografickém modulu v OS X Lionu ověřeném podle standardu FIPS 140-2

Služby zabezpečení v OS X Lionu jsou teď vytvořené na základě novější platformy „kryptografie nové generace“ a jsou přenesené z modulu CDSA/CSP dříve ověřeného v Mac OS X 10.6. Společnost Apple nicméně znova ověřila stejný modul CDSA/CSP pod OS X Lionem, aby i nadále poskytovala ověřování výhradně pro aplikace jiných výrobců.

Architektura CDSA (Common Data Security Architecture) je sada vícevrstvých bezpečnostních služeb, ve které komponenta AppleCSP (Apple Cryptographic Service Provider) poskytuje šifrování pro všechny softwarové produkty jiných výrobců, které pořád používají CDSA.

Pro účely ověřovacího procesu FIPS 140-2 se AppleCSP a související komponenty společně nazývají „Kryptografický modul FIPS od společnosti Apple (verze softwaru: 1.1)“. Tento modul obdržel certifikát „Ověření souladu podle standardu FIPS 140-2, úroveň 1“ číslo 1701 a je publikovaný ve výčtu Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules (Kryptografické moduly ověřené podle standardů FIPS 140-1 a FIPS 140-2) na webové stránce programu CMVP.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Informace o programu CMVP organizace NIST a agentury CSEC a standardech FIPS 140-2

Národní institut standardů a technologií NIST (National Institute of Standards and Technology) zavedl program ověřování kryptografických modulů CMVP (Cryptographic Module Validation Program), který ověřuje kryptografické moduly podle standardu FIPS 140-2 a dalších šifrovacích standardů. Program CMVP je společný projekt organizace NIST a agentury CSEC (Communications Security Establishment Canada).

Hlavní web programu CMVP organizace NIST a agentury CSEC obsahuje kompletní údaje o programu, veškeré související standardy a dokumenty a oficiální seznam kryptografických modulů ověřených podle standardů FIPS 140-1 a FIPS 140-2.

Standard FIPS 140-2 se konkrétně týká bezpečnostních požadavků na kryptografické moduly. Definuje čtyři zvyšující se kvalitativní úrovně zabezpečení: úroveň 1, úroveň 2, úroveň 3 a úroveň 4. Úrovně jsou navrženy tak, aby pokrývaly široké spektrum možných použití a prostředí, ve kterých se kryptografické moduly dají využívat. Kompletní popis každé úrovně najdete v publikaci o FIPS 140-2 na webu organizace NIST (FIPS PUB 140-2).

Kryptografické moduly vyhovující standardu FIPS 140-2 jsou pro ochranu citlivých informací přijímány federálními úřady obou zemí.

Viz taky:

• Jak nastavit a udržovat Mac OS X 10.6 Snow Leopard, aby vyhovoval standardům FIPS

• FIPS Administration Installer pro Mac OS X 10.6 Snow Leopard

• FIPS Administration Tools Crypto Officer Role Guide (Nástroje správy FIPS – průvodce rolí manažera šifrování) (Mac OS X 10.6)