Cómo configurar y mantener un sistema OS X Lion con FIPS activado
Aprende cómo configurar y mantener un sistema OS X Lion con FIPS activado.
El módulo criptográfico CDSA/CSP validado por FIPS que se incluye con OS X Lion requiere un paso de configuración adicional para poner al sistema en “Modo FIPS” y que el cumplimiento sea pleno. El administrador del sistema (oficial criptográfico) debe conseguir e instalar FIPS Administration Installer en el sistema.
Importante: Antes de actualizar OS X Lion, por ejemplo con Actualización de software, hay que desactivar el “Modo FIPS”. Si no, el ordenador podría no arrancar correctamente después del reinicio. Después de actualizar el software, el oficial criptográfico tendrá que volver a activar el “Modo FIPS” siguiendo las instrucciones de la guía del oficial criptográfico.
Cómo instalar las Herramientas de Administración FIPS
FIPS Administration Installer está disponible aquí. Para ver las instrucciones completas de FIPS Administration Installation y su gestión, consulta la Guía del oficial criptográfico de las herramientas de administración de FIPS.
Inicia sesión como administrador en el ordenador en el que se van a instalar las herramientas.
Haz doble clic en el paquete Instalador de la Administración FIPS.
Haz clic en Continuar después de leer la información de la página Introducción.
Haz clic en Continuar después de leer la información de la página Léeme. También puedes imprimir o guardar la información de esta página si lo necesitas.
Haz clic en Continuar después de leer el Contrato de Licencia del Software en la página Licencia. También puedes imprimir o guardar la información de esta página si lo necesitas.
Haz clic en Aceptar si estás de acuerdo con las condiciones de la licencia del software. Si no, haz clic en No acepto y saldrás del instalador.
Selecciona el volumen Mac OS X para instalar las herramientas de administración FIPS y, a continuación, haz clic en Continuar en la página Selección de destino. Nota: Las herramientas de administración FIPS solamente se deben instalar en el volumen de arranque.
Haz clic en el botón Instalar.
Indica tu nombre de usuario y contraseña de administrador.
Haz clic en Continuar instalación. Nota: Hay que reiniciar el ordenador cuando se complete la instalación.
Después de la instalación, haz clic en Reiniciar.
Para verificar que las herramientas de administración FIPS se han instalado correctamente
La instalación de las herramientas de administración FIPS se puede verificar asegurándote de que el sistema está en “Modo FIPS”.
Verifica que el sistema está en Modo FIPS ejecutando lo siguiente en una ventana de Terminal:
/usr/sbin/fips/FIPSPerformSelfTest status
El resultado debe ser:
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED
Hay otros dos lugares donde puedes verificar manualmente que las herramientas de administración FIPS se han instalado correctamente:
Se puede verificar en /Sistema/Librería/LaunchDaemons/ buscando el archivo llamado:
/Sistema/Librería/LaunchDaemons/com.apple.fipspost.plist
O bien en la carpeta
/usr/sbin/fips que se crea durante la instalación. Las herramientas instaladas en esa carpeta son:
FIPSPerformSelfTest: herramienta de autodiagnóstico de encendido
CryptoKAT: herramienta de prueba de respuesta conocida de algoritmo criptográfico
postsig: herramienta de prueba de firma DSA/ECDSA
Para verificar que el Modo FIPS se ha desactivado antes de actualizar el software
Nota: Consulta la Guía del oficial criptográfico de las herramientas de administración de FIPS para obtener información sobre cómo deshabilitar FIPS antes de que se lleve a cabo ninguna actualización de software.
Verifica que el Modo FIPS se ha desactivado en el sistema ejecutando lo siguiente en una ventana de Terminal:
/usr/sbin/fips/FIPSPerformSelfTest status
El resultado debe ser:
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED
Más información
Acerca del módulo criptográfico validado por FIPS 140-2 en OS X Lion
Los servicios de seguridad de OS X Lion se han mudado desde el módulo CDSA/CSP validado previamente en Mac OS X v10.6 y ahora están basados en una nueva plataforma de “Criptografía de última generación”. No obstante, Apple ha vuelto a validar el mismo módulo CDSA/CSP en OS X Lion para ofrecer una validación continua exclusiva para aplicaciones de otros fabricantes.
La arquitectura Common Data Security (CDSA) es un conjunto de servicios de seguridad en el que AppleCSP (Apple Cryptographic Service Provider) proporciona la criptografía adecuada para los productos de software de otros fabricantes que todavía utilizan CDSA.
Para el proceso de validación FIPS 140-2, AppleCSP y los componentes afines se refieren a ellos como “Apple FIPS Cryptographic Module (Software Version: 1.1)”. Este módulo ha recibido el certificado de conformidad de nivel 1 FIPS 140-2 #1701, y se ha publicado en la página web de CMVP, en la que se recogen los “Módulos criptográficos validados por FIPS 140-1 y FIPS 140-2".
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701
Antecedentes de NIST/CSEC CMVP y FIPS 140-2
El Instituto Nacional de Estandarización y Tecnología (NIST) inició el Programa de validación de módulos criptográficos (CMVP) para validar los módulos criptográficos en función de los Estándares Federales de Procesamiento de la Información (FIPS) 140-2, entre otros estándares basados en criptografía. El CMVP es una iniciativa conjunta entre el NIST y el Communications Security Establishment Canada (CSEC).
El sitio web principal para CMVP de NIST/CSEC lo alberga NIST y contiene información detallada del programa, todos los estándares y documentos relacionados, así como las listas oficiales de los módulos criptográficos validados por FIPS 140-1 y FIPS 140-2.
FIPS 140-2 hace referencia concretamente a los requisitos de seguridad para módulos criptográficos. Este estándar proporciona cuatro niveles de seguridad cualitativos en orden ascendente: Nivel 1, Nivel 2, Nivel 3 y Nivel 4. Estos niveles están concebidos para cubrir la amplia gama de posibles aplicaciones y entornos en los que se pueden emplear los módulos criptográficos. Se puede encontrar una descripción completa de cada nivel en la publicación de FIPS 140-2 del sitio web de NIST (FIPS PUB 140-2).
Las agencias federales de ambos países aceptan los módulos criptográficos validados de conformidad con FIPS 140-2 para la protección de la información confidencial.
Consulta también:
Cómo configurar y mantener un sistema Mac OS X v10.6 Snow Leopard con FIPS activado
FIPS Administration Installer para Mac OS X v10.6 Snow Leopard
Guía del oficial criptográfico de las herramientas de administración FIPS (Mac OS X v10.6)
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.
