Cómo configurar y mantener un sistema OS X Lion con FIPS activado
Obtén información sobre cómo configurar y mantener un sistema OS X Lion con FIPS activado.
El módulo criptográfico CDSA/CSP validado por FIPS que se incluye con OS X Lion requiere un paso de configuración adicional para colocar el sistema en el “modo FIPS” y así cumplir todas las normas. El administrador del sistema (Crypto Officer) debe obtener e instalar en el sistema el instalador de administración FIPS.
Importante: Antes de realizar cualquier actualización de OS X Lion, como a través de Actualización de software, debes desactivar el “modo FIPS”. De lo contrario, es posible que la computadora no se inicie correctamente después del reinicio. Una vez realizada la actualización de software, el Crypto Officer deberá volver a activar el “modo FIPS” de acuerdo con las instrucciones de la Guía de la función Crypto Officer.
Cómo instalar las herramientas de administración FIPS
El instalador de administración FIPS está disponible aquí. Para obtener instrucciones completas sobre la instalación y la administración de la administración FIPS, consulta la Guía de la función Crypto Officer de las herramientas de administración FIPS.
Inicia sesión como administrador en la computadora donde se instalarán las herramientas.
Haz doble clic en el paquete del instalador de administración FIPS.
Haz clic en Continuar después de leer la información de la página Introducción.
Haz clic en Continuar después de leer la información de la página Léeme. También puedes imprimir o guardar la información de esta página según necesites.
Haz clic en Continuar después de leer el acuerdo de licencia de software de la página Licencia. También puedes imprimir o guardar la información de esta página según necesites.
Haz clic en Aceptar si estás de acuerdo con los términos de la licencia del software. De lo contrario, haz clic en No aceptar y el instalador se cerrará.
Selecciona el volumen Mac OS X para instalar las herramientas de administración FIPS y, luego, haz clic en Continuar en la página de selección de destino. Nota: Las herramientas de administración FIPS solo deben instalarse en el volumen de arranque (inicio).
Haz clic en el botón Instalar.
Ingresa tu nombre de usuario y contraseña de administrador.
Haz clic en Continuar instalación. Nota: La computadora debe reiniciarse una vez que se complete la instalación.
Después de la instalación, haz clic en Reiniciar.
Para verificar que las herramientas de administración FIPS se hayan instalado correctamente
Para verificar la instalación de las herramientas de administración FIPS, asegúrate de que el sistema esté en el “modo FIPS”.
Para verificar que el sistema esté en el modo FIPS, ejecuta lo siguiente en una ventana de Terminal:
/usr/sbin/fips/FIPSPerformSelfTest status
El resultado debe ser el siguiente:
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED
Hay otros dos lugares en los que puedes verificar manualmente que las herramientas de administración FIPS se hayan instalado correctamente:
El primer lugar para verificar esto está en /System/Library/LaunchDaemons/, en el archivo denominado:
/System/Library/LaunchDaemons/com.apple.fipspost.plist
El segundo lugar para verificar esto está en la carpeta
/usr/sbin/fips que se crea durante la instalación. Las herramientas instaladas en esa carpeta son las siguientes:
FIPSPerformSelfTest: herramienta de autodiagnóstico de encendido
CryptoKAT: herramienta de prueba de respuesta conocida con algoritmo CRIPTOGRÁFICO
Postsig: herramienta de prueba de firmas DSA/ECDSA
Para verificar que el modo FIPS se haya desactivado antes de realizar una actualización de software
Nota: Consulta la Guía de la función Crypto Officer de las herramientas de administración FIPS para obtener información sobre cómo desactivar FIPS antes de realizar actualizaciones de software.
Para verificar que el modo FIPS se haya desactivado en el sistema, ejecuta lo siguiente en una ventana de Terminal:
/usr/sbin/fips/FIPSPerformSelfTest status
El resultado debe ser el siguiente:
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED
Obtener más información
Acerca del módulo criptográfico validado por FIPS 140-2 en OS X Lion
Los servicios de seguridad de OS X Lion ahora están integrados en una plataforma más nueva de “criptografía de última generación” y han finalizado la transición del módulo CDSA/CSP previamente validado en Mac OS X v10.6. Sin embargo, Apple volvió a validar el mismo módulo CDSA/CSP en OS X Lion para proporcionar una validación continua únicamente para las apps de terceros.
La arquitectura de seguridad común de datos (CDSA) es un conjunto de servicios de seguridad en capas en los que AppleCSP (proveedor de servicios criptográficos de Apple) proporciona la criptografía para cualquier producto de software de terceros que aún use CDSA.
A los fines del proceso de validación de FIPS 140-2, AppleCSP y los componentes relacionados se denominan colectivamente “Módulo criptográfico FIPS de Apple (versión de software: 1.1)”. Este módulo recibió el certificado de validación de conformidad FIPS 140-2 de nivel 1 n.º 1701 y se publicó en la página web de CMVP donde se enumeran los “Módulos criptográficos FIPS 140-1 y FIPS 140-2 validados”.
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701
Antecedentes sobre CMVP y FIPS 140-2 de NIST/CSEC
El Instituto Nacional de Estandarización y Tecnología (NIST) inició el Programa de Validación de Módulos Criptográficos (CMVP) para validar los módulos criptográficos en función de los Estándares Federales de Procesamiento de la Información (FIPS) 140-2 y otros estándares basados en criptografía. El CMVP es una iniciativa conjunta del NIST y la Dirección de Seguridad en las Comunicaciones de Canadá (CSEC).
El sitio web principal del CMVP de NIST/CSEC está alojado por el NIST y contiene detalles completos sobre el programa, todos los estándares y documentos relacionados, así como las listas oficiales de los módulos criptográficos validados FIPS 140-1 y FIPS 140-2.
FIPS 140-2 alude concretamente a los requisitos de seguridad para módulos criptográficos. Este estándar proporciona cuatro niveles de seguridad cualitativos en pedido ascendente: nivel 1, nivel 2, nivel 3 y nivel 4. Estos niveles pretenden cubrir la amplia gama de posibles aplicaciones y entornos en los que se pueden emplear los módulos criptográficos. Se puede encontrar una descripción completa de cada nivel en la publicación de FIPS 140-2 del sitio web del NIST (FIPS PUB 140-2).
Las agencias federales de ambos países aceptan los módulos criptográficos validados de conformidad con FIPS 140-2 para la protección de la información confidencial.
Consulta también lo siguiente:
Cómo configurar y mantener un sistema Mac OS X v10.6 Snow Leopard compatible con FIPS
Instalador de administración FIPS para Mac OS X v10.6 Snow Leopard
Guía de la función Crypto Officer de las herramientas de administración FIPS (Mac OS X v10.6)
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.
