FIPSiä tukevan OS X Lion -järjestelmän käyttöönotto ja ylläpito

Tässä artikkelissa kerrotaan, miten FIPSiä tukeva OS X Lion -järjestelmä otetaan käyttöön ja miten sitä ylläpidetään.

Tämä artikkeli on arkistoitu eikä Apple enää päivitä sitä.

OS X Lionin kanssa toimitettava FIPS-validoitu CDSA/CSP-salausmoduuli vaatii ylimääräisen käyttöönottovaiheen, jotta järjestelmä voitaisiin asettaa FIPS-tilaan ja jotta se olisi täysin vaatimusten mukainen. Järjestelmänvalvojan (salaushallinnoijan eli crypto officerin) täytyy hankkia ja asentaa FIPS Administration -asentaja tietokoneeseen.

Tärkeää: Poista FIPS-tila käytöstä ennen kuin suoritat OS X Lion -päivityksiä esimerkiksi Ohjelmiston päivityksen avulla. Tietokone ei välttämättä käynnisty oikein uudelleenkäynnistyksen jälkeen, ellet toimi näin. Kun ohjelmiston päivitys on suoritettu, salaushallinnoijan täytyy ottaa FIPS-tila uudelleen käyttöön salaushallinnoijan tehtäväoppaan ohjeiden mukaisesti.

FIPS Administration -työkalujen asentaminen

FIPS Administration -asentaja on saatavilla täältä. Tarkat ohjeet FIPS Administrationin asentamiseen ja hallintaan ovat FIPS Administration -työkalujen salaushallinnoijan tehtäväoppaassa.

  1. Kirjaudu ylläpitäjänä tietokoneeseen, johon työkalut asennetaan.
  2. Kaksoisosoita FIPS Administration -asentajapakettia.
  3. Valitse Jatka, kun olet lukenut johdantosivun tiedot.
  4. Valitse Jatka, kun olet lukenut Lue minut -sivun tiedot. Voit tarvittaessa tulostaa tai tallentaa sivulla olevat tiedot.
  5. Valitse Jatka, kun olet lukenut ohjelmistolisenssisopimuksen lisenssisopimussivulta. Voit tarvittaessa tulostaa tai tallentaa sivulla olevat tiedot.
  6. Valitse Hyväksy, jos hyväksyt ohjelmistolisenssisopimuksen ehdot. Jos et hyväksy ehtoja, valitse En hyväksy, jolloin asentaja sulkeutuu.
  7. Valitse Mac OS X -taltio, johon FIPS Administration -työkalut asennetaan. Osoita Valitse kohde -sivulla Jatka-painiketta. Huomautus: asenna FIPS Administration -työkalut aina käynnistystaltiolle.
  8. Osoita Asenna-painiketta.
  9. Anna ylläpitäjän käyttäjätunnus ja salasana.
  10. Osoita Jatka asennusta. Huomautus: tietokone täytyy käynnistää uudelleen, kun asennus on valmis.
  11. Valitse asennuksen jälkeen Käynnistä uudelleen.

FIPS Administration -työkalujen asennuksen onnistumisen tarkistaminen

FIPS Administration -työkalujen asennus voidaan tarkistaa varmistamalla, että järjestelmä on FIPS-tilassa.

Varmista, että järjestelmä on FIPS-tilassa suorittamalla seuraava komento Pääte-ikkunassa:


/usr/sbin/fips/FIPSPerformSelfTest status

Tuloksena pitäisi olla seuraava:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Voit tarkistaa FIPS Administration -työkalujen asennuksen onnistumisen manuaalisesti myös kahdesta muusta paikasta:

  • Ensimmäinen on /Järjestelmä/Kirjasto/LaunchDaemons/ -kansio ja tiedoston nimi on
    • /System/Library/LaunchDaemons/com.apple.fipspost.plist.
  • Toinen on asennuksen aikana luotu
    • /usr/sbin/fips -kansio. Kansioon on asennettu seuraavat työkalut:
      • FIPSPerformSelfTest – (järjestelmän automaattiset testit -työkalu)
      • CryptoKAT – (salausalgoritmin tunnettujen vastausten testaustyökalu)
      • postsig – (DSA/ECDSA-allekirjoituksen testaustyökalu)

Näin voit varmistaa ennen ohjelmiston päivityksen suorittamista, että FIPS-tila on poistettu käytöstä

Huomautus: Lue FIPS Administration -työkalujen salaushallinnoijan tehtäväoppaasta lisätietoja FIPSin poistamisesta käytöstä ennen ohjelmistopäivitysten suorittamista.

Suorita seuraava komento Pääte-ikkunassa, niin voit varmistaa, että FIPS-tila on poistettu käytöstä tietokoneessa:

/usr/sbin/fips/FIPSPerformSelfTest status

Tuloksena pitäisi olla seuraava:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Lisätietoja

Tietoja OS X Lionin FIPS 140-2 -validoidusta salausmoduulista

OS X Lionin suojauspalvelut perustuvat nyt uuteen Next Generation Cryptography -alustaan, ja ne on siirretty CDSA/CSP-moduulista, joka oli aiemmin validoitu Mac OS X 10.6:ssa. Apple on kuitenkin validoinut uudelleen saman CDSA/CSP-moduulin OS X Lionissa, jotta validointi olisi jatkossa käytössä vain muun valmistajan ohjelmien osalta.

CDSA (Common Data Security Architecture) koostuu kerrostetuista suojauspalveluista, joissa AppleCSP (Apple Cryptographic Service Provider) tarjoaa salauksen muun valmistajan ohjelmistotuotteille, jotka edelleen käyttävät CDSA:ta.

FIPS 140-2 -validointia varten AppleCSP:tä ja siihen liittyviä komponentteja kutsutaan Apple FIPS -salausmoduuliksi (ohjelmistoversio 1.1). Moduulille on myönnetty FIPS 140-2 tason 1 vaatimustenmukaisuusvalidointivarmenne 1701, ja se on julkaistu CMVP-verkkosivulla kohdassa Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

NIST/CSEC CMVP:n ja FIPS 140-2:n taustatiedot

CMVP-ohjelman (Cryptographic Module Validation Program) on perustanut NIST-virasto (National Institute of Standards and Technology), ja se validoi salausmoduulit FIPS (Federal Information Processing Standards) 140-2:n ja muiden salausstandardien mukaisesti. CMVP on NIST:n ja CSEC:n (Communications Security Establishment Canada) yhteishanke.

NIST/CSEC CMVP:n pääverkkosivustoa ylläpitää NIST, ja siellä on kattavat tiedot ohjelmasta, kaikki siihen liittyvät standardit ja dokumentit sekä virallinen luettelo FIPS 140-1- ja FIPS 140-2 -validoiduista salausmoduuleista.

FIPS 140-2 viittaa erityisesti salausmoduulien suojausvaatimuksiin. Standardissa on neljä kasvavaa laadullista suojaustasoa: taso 1, taso 2, taso 3 ja taso 4. Tasot kattavat monet eri käyttökohteet ja ympäristöt, joissa salausmoduuleja voidaan käyttää.  Kunkin tason täydellinen kuvaus on FIPS 140-2 -julkaisussa NIST-verkkosivustolla (FIPS PUB 140-2).

Molempien maiden liittovaltion virastot hyväksyvät FIPS 140-2:n mukaisiksi validoidut salausmoduulit arkaluontoisten tietojen suojaukseen.

Tutustu myös seuraaviin artikkeleihin:

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: