Cet article a été archivé et ne sera plus mis à jour par Apple.

Configuration et gestion d’un système OS X Lion conforme à la norme FIPS

Découvrez comment configurer et gérer un système OS X Lion conforme à la norme FIPS.

Le module cryptographique CDSA/CSP validé par FIPS et livré avec OS X Lion nécessite une étape de configuration supplémentaire pour placer le système en « mode FIPS » afin de garantir sa conformité totale. L’administrateur du système (responsable du chiffrement) doit obtenir et installer, sur le système, le programme d’installation des outils d’administration FIPS.

Important : avant d’effectuer des mises à jour d’OS X Lion, par exemple via l’option Mise à jour logicielle, vous devez désactiver le « mode FIPS ». Sinon, il est possible que l’ordinateur ne démarre pas correctement après le redémarrage. Une fois la mise à jour logicielle effectuée, le responsable du chiffrement devra réactiver le « mode FIPS » en suivant les instructions du guide relatif au rôle de responsable du chiffrement.

Installation des outils d’administration FIPS

Le programme d’installation des outils d’administration FIPS est disponible ici. Pour obtenir des instructions complètes sur l’installation et la gestion des outils d’administration FIPS, consultez le Guide relatif au rôle de responsable du chiffrement des outils d’administration FIPS.

  1. Ouvrez une session en tant qu’administrateur sur l’ordinateur sur lequel vous souhaitez installer les outils.

  2. Double-cliquez sur le programme d’installation des outils d’administration FIPS.

  3. Cliquez sur Continuer après avoir lu les informations indiquées sur la page d’introduction.

  4. Cliquez sur Continuer après avoir lu les informations indiquées sur la page Read Me. Si vous le souhaitez, vous pouvez également imprimer ou enregistrer les informations indiquées sur cette page.

  5. Cliquez sur Continuer après avoir lu le contrat de licence du logiciel sur la page Licence. Si vous le souhaitez, vous pouvez également imprimer ou enregistrer les informations indiquées sur cette page.

  6. Cliquez sur Accepter pour accepter les conditions de la licence du logiciel. Sinon, cliquez sur Refuser pour quitter le programme d’installation.

  7. Sélectionnez le volume Mac OS X pour installer les outils d’administration FIPS, puis cliquez sur Continuer sur la page Destination. Remarque : vous ne devez installer les outils d’administration FIPS que sur le volume de démarrage.

  8. Cliquez sur le bouton Installer.

  9. Saisissez votre nom et mot de passe d’administrateur.

  10. Cliquez sur Poursuivre l’installation. Remarque : l’ordinateur doit être redémarré une fois l’installation terminée.

  11. Après l’installation, cliquez sur Redémarrer.

Pour vérifier que les outils d’administration FIPS ont bien été installés

L’installation des outils d’administration FIPS peut être vérifiée en s’assurant que le système est en « mode FIPS ».

Vérifiez que le système est en mode FIPS en exécutant les actions suivantes dans une fenêtre Terminal :


usr/sbin/fips/FIPSPerformSelfTest status

Le résultat doit être :

[FIPSPerformSelfTest][ModeStatus] État du mode FIPS : ACTIVÉ

Vous pouvez également vérifier manuellement que les outils d’administration FIPS ont bien été installés à deux autres endroits :

  • Vérifiez tout d’abord sous /System/Library/LaunchDaemons/ que le fichier ci-dessous s’y trouve bien :

    • /System/Library/LaunchDaemons/com.apple.fipspost.plist

  • Ensuite, vérifiez dans le

    • dossier /usr/sbin/fips créé lors de l’installation. Les outils installés dans ce dossier sont les suivants :

      • FIPSPerformSelfTest – (outil POST – auto-test au démarrage)

      • CryptoKAT – (outil de test des réponses connues de l’algorithme CRYPTO)

      • postsig – (outil de test de signature DSA/ECASD)

Pour vérifier que le mode FIPS a été désactivé avant d’effectuer une mise à jour logicielle

Remarque : veuillez consulter le Guide relatif au rôle de responsable du chiffrement des outils d’administration FIPS pour savoir comment désactiver FIPS avant d’effectuer des mises à jour logicielles.

Vérifiez que le mode FIPS a été désactivé sur le système en exécutant les actions suivantes dans une fenêtre Terminal :

usr/sbin/fips/FIPSPerformSelfTest status

Le résultat doit être :

[FIPSPerformSelfTest][ModeStatus] État du mode FIPS : DÉSACTIVÉ

Informations supplémentaires

À propos du module cryptographique validé FIPS 140-2 sous OS X Lion

Auparavant basés sur le module CDSA/CSP précédemment validé sous Mac OS X v10.6, les services de sécurité d’OS X Lion sont désormais basés sur une nouvelle plate-forme de « cryptographie nouvelle génération ». Toutefois, Apple a revalidé le même module CDSA/CSP sous OS X Lion pour assurer une validation continue uniquement pour les applications tierces.

La CDSA (Common Data Security Architecture) est un ensemble de services de sécurité à plusieurs niveaux dans lesquels l’AppleCSP (Apple Cryptographic Service Provider) fournit la cryptographie pour tous les produits logiciels tiers qui utilisent encore la CDSA.

Dans le cadre du processus de validation FIPS 140-2, l’AppleCSP et les composants associés sont collectivement appelés « module cryptographique FIPS Apple (version logicielle : 1.1) ». Ce module a reçu le certificat de validation de conformité de niveau 1 FIPS 140-2 n° 1701 et est publié sur la page web du CMVP, qui répertorie les « modules cryptographiques FIPS 140-1 et FIPS 140-2 validés ».

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Informations générales sur les normes CMVP et FIPS 140-2 du NIST/CSTC

Le NIST (National Institute of Standards and Technology) a mis en place le programme CMVP (Cryptographic Module Validation Program) dans le cadre duquel s’effectue la validation des modules cryptographiques, conformément à la norme FIPS (Federal Information Processing Standards) 140-2 et à d’autres normes cryptographiques. Le CMVP est le résultat de la collaboration entre le NIST et le CSTC (Centre de la sécurité des télécommunications Canada).

Le site web principal de la norme CMVP du NIST/CSTC est hébergé par le NIST et contient des informations détaillées sur le programme, toutes les normes et tous les documents connexes, ainsi que les listes officielles des modules cryptographiques validés FIPS 140-1 et FIPS 140-2.

La norme FIPS 140-2 se rapporte aux exigences en matière de sécurité applicables aux modules cryptographiques. La norme induit quatre niveaux de sécurité croissants : le niveau 1, le niveau 2, le niveau 3 et le niveau 4. Ces niveaux sont destinés à englober un grand nombre d’applications et d’environnements dans lesquels il est possible de déployer des modules cryptographiques. Une description complète de chacun des niveaux est disponible dans l’article du site web du NIST consacré à la norme FIPS PUB 140-2.

Les modules cryptographiques qui ont été validés, conformément à la norme FIPS 140-2, sont agréés par les agences fédérales qui se consacrent à la protection des informations confidentielles des deux pays.

Consultez les articles suivants :

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: