Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Ein FIPS-konformes OS X Lion-System konfigurieren und pflegen

Hier erfährst du, wie du ein FIPS-konformes OS X Lion-System konfigurierst und pflegst.

Das mit OS X Lion bereitgestellte kryptografische CDSA/CSP-Modul mit FIPS-Validierung erfordert einen zusätzlichen Einrichtungsschritt, um das System für die vollständige Konformität in den „FIPS-Modus“ zu versetzen. Das Installationsprogramm für die FIPS-Verwaltung muss vom Systemadministrator (Crypto Officer) geladen und auf dem System installiert werden.

Wichtig: Bevor du OS X Lion-Updates durchführst (z. B. über „Softwareupdate“), solltest du den „FIPS-Modus“ deaktivieren. Andernfalls startet der Computer nach dem Neustart möglicherweise nicht erfolgreich. Nach dem Softwareupdate muss der Crypto Officer den „FIPS-Modus“ gemäß den Anweisungen im Crypto Officer-Rollenleitfaden erneut aktivieren.

FIPS-Verwaltungswerkzeuge installieren

Das Installationsprogramm für die FIPS-Verwaltung ist hier verfügbar. Vollständige Anweisungen zur Installation und Verwaltung der FIPS-Verwaltung findest du im Crypto Officer-Rollenleitfaden für FIPS-Verwaltungswerkzeuge.

  1. Melde dich als Administrator an dem Computer an, auf dem die Werkzeuge installiert werden.

  2. Doppelklicke auf das Installationspaket für die FIPS-Verwaltung.

  3. Klicke auf „Fortfahren“, sobald du die Informationen auf der Seite „Einführung“ gelesen hast.

  4. Klicke auf „Fortfahren“, sobald du die Informationen auf der Seite „Bitte lesen“ gelesen hast. Du kannst die Informationen auf dieser Seite bei Bedarf auch ausdrucken oder sichern.

  5. Klicke auf „Fortfahren“, sobald du den Software-Lizenzvertrag auf der Seite mit den Lizenzinformationen gelesen hast. Du kannst die Informationen auf dieser Seite bei Bedarf auch ausdrucken oder sichern.

  6. Klicke auf „Akzeptieren“, wenn du den Bedingungen der Softwarelizenz zustimmst. Andernfalls klicke auf „Ablehnen“, um das Installationsprogramm zu beenden.

  7. Wähle das Mac OS X-Volume für die Installation der FIPS-Verwaltungswerkzeuge aus, und klicke dann auf der Seite „Zielvolume auswählen“ auf „Fortfahren“. Hinweis: Die FIPS-Verwaltungswerkzeuge sollten nur auf dem Startvolume installiert werden.

  8. Klicke auf die Taste „Installieren“.

  9. Gib deinen Administrator-Benutzernamen und dein Passwort ein.

  10. Klicke auf „Installation fortsetzen“. Hinweis: Der Computer muss nach Abschluss der Installation neu gestartet werden.

  11. Klicke nach der Installation auf „Neustart“.

Erfolgreiche Installation der FIPS-Verwaltungswerkzeuge überprüfen

Die Installation der FIPS-Verwaltungswerkzeuge kann überprüft werden, indem sichergestellt wird, dass sich das System im „FIPS-Modus“ befindet.

Prüfe, ob sich das System im FIPS-Modus befindet, indem du Folgendes in einem Terminal-Fenster ausführst:


/usr/sbin/fips/FIPSPerformSelfTest status

Das Ergebnis sollte folgendermaßen lauten:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Es gibt zwei weitere Stellen, an denen du manuell überprüfen kannst, ob die FIPS-Verwaltungswerkzeuge erfolgreich installiert wurden:

  • Zuerst prüfst du in /System/Library/LaunchDaemons/ die Datei mit dem Namen:

    • /System/Library/LaunchDaemons/com.apple.fipspost.plist

  • Anschließend prüfst du den Ordner

    • /usr/sbin/fips, der während der Installation erstellt wurde. Die in diesem Ordner installierten Werkzeuge sind:

      • FIPSPerformSelfTest – (Werkzeug für den Selbsttest beim Einschalten)

      • CryptoKAT – (Testwerkzeug für bekannte Antworten des KRYPTO-Algorithmus)

      • postsig – (Testwerkzeug für die DSA/ECDSA-Signatur)

Vor der Durchführung eines Softwareupdates überprüfen, ob der FIPS-Modus deaktiviert ist

Hinweis: Weitere Informationen zum Deaktivieren von FIPS vor dem Durchführen von Softwareupdates findest du im Crypto Officer-Rollenleitfaden für FIPS-Verwaltungswerkzeuge.

Prüfe, ob der FIPS-Modus auf dem System deaktiviert wurde, indem du Folgendes in einem Terminal-Fenster ausführst:

/usr/sbin/fips/FIPSPerformSelfTest status

Das Ergebnis sollte folgendermaßen lauten:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Weitere Informationen

Informationen zum kryptografischen Modul mit FIPS 140-2-Validierung in OS X Lion

OS X Lion-Sicherheitsdienste basieren jetzt auf einer neueren „Next Generation Cryptography“-Plattform und sind vom CDSA/CSP-Modul gewechselt, das zuvor auf Mac OS X 10.6 validiert wurde. Apple hat jedoch dasselbe CDSA/CSP-Modul unter OS X Lion erneut validiert, um eine fortlaufende Validierung ausschließlich für Anwendungen von Drittanbietern zu ermöglichen.

Die Common Data Security Architecture (CDSA) ist eine Reihe von mehrschichtigen Sicherheitsdiensten, in denen AppleCSP (Apple Cryptographic Service Provider) die Kryptografie für alle Drittanbieter-Softwareprodukte bereitstellt, die noch CDSA verwenden.

Für die Zwecke des FIPS 140-2-Validierungsprozesses werden AppleCSP und zugehörige Komponenten zusammen als „Apple FIPS Cryptographic Module (Softwareversion: 1.1)“ bezeichnet. Dieses Modul hat das Zertifikat Nr. 1701 zur Konformitätsprüfung gemäß FIPS 140-2-Stufe 1 erhalten und wird auf der CMVP-Webseite mit der Liste „Kryptografische Module mit FIPS 140-1- und FIPS 140-2-Validierung“ veröffentlicht.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Hintergrund zu NIST/CSEC CMVP und FIPS 140-2

Das National Institute of Standards and Technology (NIST) hat das Cryptographic Module Validation Program (CMVP) eingerichtet, das kryptografische Module gemäß den Federal Information Processing Standards (FIPS) 140-2 und anderen kryptografischen Standards validiert. Der CMVP ist eine gemeinsame Anstrengung von NIST und Communications Security Establishment Canada (CSEC).

Die Hauptwebsite für das NIST/CSEC CMVP wird von NIST gehostet und enthält umfangreiche Informationen zum Programm, alle zugehörigen Standards und Dokumente sowie die offiziellen Listen der kryptografischen Module mit FIPS 140-1- und FIPS 140-2-Validierung.

FIPS 140-2 bezieht sich speziell auf die Sicherheitsanforderungen für kryptografische Module. Der Standard bietet vier steigende, qualitative Sicherheitsstufen: Stufe 1, Stufe 2, Stufe 3 und Stufe 4. Diese Stufen sollen die breite Palette potenzieller Anwendungen und Umgebungen abdecken, in denen kryptografische Module eingesetzt werden können. Eine vollständige Beschreibung jeder Stufe findest du in der FIPS 140-2-Veröffentlichung auf der NIST-Website (FIPS PUB 140-2).

Kryptografische Module, die als FIPS 140-2-konform validiert wurden, werden von den Bundesbehörden beider Länder zum Schutz vertraulicher Daten akzeptiert.

Siehe auch:

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: