Ein FIPS-konformes OS X Lion-System konfigurieren und pflegen

Hier erfahren Sie, wie Sie ein FIPS-konformes OS X Lion-System einrichten und pflegen.

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Das gemäß FIPS validierte kryptographische Modul CDSA/CSP, das im Lieferumfang von OS X Lion enthalten ist, erfordert einen zusätzlichen Einrichtungsschritt, um das System für die vollständige Konformität in den "FIPS-Modus" zu versetzen. Das Installationsprogramm für die FIPS-Verwaltung muss vom Systemadministrator (Crypto Officer) geladen und auf dem System installiert werden.

Wichtig: Vor einer Aktualisierung von OS X Lion, beispielsweise über die Softwareaktualisierung, müssen Sie den "FIPS-Modus" deaktivieren. Ansonsten startet der Computer nach dem Neustart möglicherweise nicht mehr. Nachdem die Softwareaktualisierung ausgeführt wurde, muss der Crypto Officer den "FIPS-Modus" gemäß dem Handbuch für die Rolle des Crypto Officers neu aktivieren.

FIPS-Verwaltungswerkzeuge installieren

Das Installationsprogramm für die FIPS-Verwaltung ist hier verfügbar. Die vollständigen Anweisungen für die Installation und Verwaltung der FIPS-Verwaltung finden Sie in FIPS-Verwaltungswerkzeuge – Handbuch für die Rolle des Crypto Officers.

  1. Melden Sie sich auf dem Computer, auf dem die Werkzeuge installiert werden sollen, als Administrator an.
  2. Doppelklicken Sie auf das Installationspaket für die FIPS-Verwaltung.
  3. Nachdem Sie die Informationen auf der Seite "Einführung" gelesen haben, klicken Sie auf "Weiter".
  4. Nachdem Sie die Informationen auf der Seite "Bitte lesen" gelesen haben, klicken Sie auf "Weiter". Sie können die Informationen auf dieser Seite bei Bedarf auch drucken oder speichern.
  5. Nachdem Sie den Softwarelizenzvertrag auf der Seite "Lizenz" gelesen haben, klicken Sie auf "Weiter". Sie können die Informationen auf dieser Seite bei Bedarf auch drucken oder speichern.
  6. Klicken Sie auf "Akzeptieren", wenn Sie die Bedingungen der Softwarelizenz akzeptieren. Klicken Sie ansonsten auf "Ablehnen". In diesem Fall wird das Installationsprogramm beendet.
  7. Wählen Sie auf der Seite "Zielvolume auswählen" das Mac OS X-Volume aus, auf dem die FIPS-Verwaltungswerkzeuge installiert werden sollen, und klicken Sie anschließend auf "Weiter". Hinweis: Die FIPS-Verwaltungswerkzeuge sollten nur auf dem Startvolume installiert werden.
  8. Klicken Sie auf die Taste "Installieren".
  9. Geben Sie Ihren Administrator-Benutzernamen und das Passwort ein.
  10. Klicken Sie auf "Installation fortsetzen". Hinweis: Der Computer muss neu gestartet werden, sobald die Installation abgeschlossen ist.
  11. Klicken Sie nach der Installation auf "Neustart".

Überprüfen, ob die FIPS-Verwaltungswerkezuge erfolgreich installiert wurden

Sie können die Installation der FIPS-Verwaltungswerkezuge überprüfen, indem Sie sicherstellen, dass sich das System im "FIPS-Modus" befindet.

Überprüfen Sie, ob sich das System im FIPS-Modus befindet, indem Sie in einem Terminal-Fenster den folgenden Befehl ausführen:


/usr/sbin/fips/FIPSPerformSelfTest status

Das Ergebnis sollte wie folgt aussehen:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Es gibt zwei weitere Orte, an denen Sie manuell überprüfen können, ob die FIPS-Verwaltungswerkezuge erfolgreich installiert wurden:

  • Prüfen Sie zunächst im Ordner System/Library/LaunchDaemons/, ob die folgende Datei vorhanden ist:
    • /System/Library/LaunchDaemons/com.apple.fipspost.plist
  • Überprüfen Sie anschließend den Ordner 
    • /usr/sbin/fips, der bei der Installation erstellt wird. In diesem Ordner werden die folgenden Werkzeuge installiert:
      • FIPSPerformSelfTest – (Tool für den Selbsttest beim Start)
      • CryptoKAT – (Tool zum Testen der bekannten Antwort des CRYPTO-Algorithmus)
      • postsig – (Tool zum Testen der DSA/ECDSA-Signatur)

Überprüfen, ob der FIPS-Modus vor der Durchführung einer Softwareaktualisierung deaktiviert wurde

Hinweis: Ziehen Sie FIPS-Verwaltungswerkzeuge – Handbuch für die Rolle des Crypto Officers zurate, um Informationen darüber zu erhalten, wie Sie FIPS vor der Durchführung von Softwareaktualisierungen deaktivieren können.

Überprüfen Sie, ob der FIPS-Modus auf dem System deaktiviert wurde, indem Sie in einem Terminal-Fenster den folgenden Befehl ausführen:

/usr/sbin/fips/FIPSPerformSelfTest status

Das Ergebnis sollte wie folgt aussehen:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Weitere Informationen

Informationen zu dem gemäß FIPS 140-2 validierten kryptographischen Modul in OS X Lion

Die Sicherheitsdienste für OS X Lion bauen jetzt auf einer neueren Plattform ("Next Generation Cryptography") und nicht mehr auf dem Modul CDSA/CSP auf, das zuvor unter Mac OS X 10.6 validiert wurde. Apple hat dieses Modul CDSA/CSP jedoch erneut unter OS X Lion validiert, um die fortdauernde Validierung nur für Programme von Drittanbietern bereitzustellen.

CDSA (Common Data Security Architecture) umfasst verschiedene Sicherheitsdienste auf mehreren Ebenen, bei der der AppleCSP (Apple Cryptographic Service Provider) die Kryptographie für Softwareprodukte von Drittanbietern bereitstellt, die weiterhin CDSA verwenden.

Für den Validierungsprozess gemäß FIPS 140-2 werden der AppleCSP und relevante Komponenten zusammen als "Apple FIPS-Kryptografiemodul (Softwareversion: 1.1)" bezeichnet. Dieses Modul hat das Validierungszertifikat 1701 für die Konformität mit FIPS 140-2 Level 1 erhalten und wird auf der CMVP-Webseite unter "Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules" (Gemäß FIPS 140-1 und FIPS 140-2 validierte Kryptografiemodule) aufgeführt.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Hintergrundinformationen zu NIST/CSEC CMVP und FIPS 140-2

Das National Institute of Standards and Technology (NIST) hat das Cryptographic Module Validation Program (CMVP) aufgelegt, bei dem kryptographische Module gemäß Federal Information Processing Standards (FIPS) 140-2 und anderen Normen in Zusammenhang mit der Kryptografie validiert werden. Das CMVP wird gemeinsam von NIST und der Communications Security Establishment Canada (CSEC) getragen.

Die Haupt-Website für das NIST/CSEC CMVP wird von NIST unterhalten. Sie enthält alle Informationen zu dem Programm, alle relevanten Normen und Dokumente sowie die offizielle Liste der gemäß FIPS 140-1 und FIPS 140-2 validierten kryptographischen Module.

FIPS 140-2 bezieht sich im Besonderen auf die Sicherheitsvoraussetzungen für kryptographische Module. Die Norm umfasst vier jeweils strengere Sicherheitsstufen, die als Level 1, Level 2, Level 3 und Level 4 bezeichnet werden. Diese Stufen sollen die große Bandbreite möglicher Anwendungen und Umgebungen abdecken, in denen kryptographische Module verwendet werden können. Eine vollständige Beschreibung jeder Stufe findet sich in der Veröffentlichung zu FIPS 140-2 auf der NIST-Website (FIPS PUB 140-2).

Kryptographische Module, die als mit FIPS 140-2 konform bewertet wurden, werden von den Bundesstellen beider Länder für den Schutz sensibler Daten anerkannt.

Siehe auch:

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: