Comment configurer et gérer un système Mac OS X 10.6 Snow Leopard conforme à la norme FIPS

Le module cryptographique FIPS fourni avec Mac OS X 10.6 Snow Leopard nécessite une étape de configuration supplémentaire afin de garantir la conformité du système. L’administrateur du système (responsable du chiffrement) doit obtenir et installer, sur le système, le programme d’installation des outils d’administration FIPS.

Cet article a été archivé et ne sera plus mis à jour par Apple.

Comment installer les outils d’administration FIPS

Le programme d’installation des outils d’administration FIPS est disponible ici. Pour obtenir des instructions complètes sur l’installation et la gestion des outils d’administration FIPS, consultez le document Guide du rôle de responsable du chiffrement.

  1. Ouvrez une session en tant qu’administrateur sur l’ordinateur cible sur lequel vous souhaitez installer les outils.
  2. Double-cliquez sur le programme d’installation des outils d’administration FIPS.
  3. Cliquez sur Continuer après avoir lu les informations indiquées sur la page d’introduction.
  4. Cliquez sur Continuer après avoir lu les informations indiquées sur la page Read Me. Si vous le souhaitez, vous pouvez également imprimer ou enregistrer les informations indiquées sur cette page.
  5. Cliquez sur Continuer après avoir lu le contrat de licence du logiciel sur la page Licence. Si vous le souhaitez, vous pouvez également imprimer ou enregistrer les informations indiquées sur cette page.
  6. Cliquez sur Accepter pour accepter les conditions de la licence du logiciel. Sinon, cliquez sur Refuser pour quitter le programme d’installation.
  7. Sélectionnez le volume Mac OS X pour installer les outils d’administration FIPS, puis cliquez sur Continuer sur la page Destination. Vous ne devez installer les outils d’administration FIPS que sur le volume de démarrage.
  8. Cliquez sur le bouton Installer.
  9. Saisissez votre nom et mot de passe d’administrateur.
  10. Cliquez sur Poursuivre l’installation, tout en sachant que l’ordinateur devra redémarrer une fois l’installation terminée.
  11. Cliquez sur Redémarrer.

Pour vérifier que les outils d’administration FIPS ont été installés correctement

Pour vous assurer que les outils d’administration FIPS ont bien été installés, vérifiez que le système est en mode FIPS.

Pour ce faire, exécutez la commande suivante dans Terminal :

/usr/sbin/fips/FIPSPerformSelfTest status

Le résultat devrait être le suivant :

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

 
Vous pouvez vérifier manuellement à deux autres endroits si les outils d’administration FIPS ont été installés correctement :

  • Vérifiez tout d’abord l’emplacement suivant :
    /System/Library/LaunchDaemons/
    Recherchez le fichier ci-dessous à cet endroit :

    /System/Library/LaunchDaemons/com.apple.fipspost.plist

  • Vérifiez ensuite l’emplacement suivant (ce dossier ayant été créé lors de l’installation) :
    /usr/sbin/fips
    Les outils installés dans ce dossier sont les suivants :
    • FIPSPerformSelfTest : outils de test d’autodiagnostic
    • CryptoKAT : outil de test de la réponse connue de l’algorithme CRYPTO
    • postsig : outil de test de la signature DSA/ECDSA

Informations supplémentaires

À propos du module cryptographique 140-2 validé par FIPS sous Mac OS X 10.6

Plusieurs services de sécurité intégrés à Snow Leopard ont été conçus conformément à l’architecture commune de sécurité des données (architecture CDSA). Cette architecture est un ensemble de services de sécurité par couches, via lequel AppleCSP (fournisseur de services cryptographiques d’Apple) assure la cryptographie pour les logiciels Apple et tiers qui utilisent l’architecture CDSA.

AppleCSP et les composants connexes sont inclus à la dénomination « module cryptographique FIPS d’Apple (version logicielle : 1.0) ». Ce module a reçu la certification nº 1514 (niveau 1) et a été mis à disposition à l’adresse ci-dessous, dans la section « Modules cryptographiques FIPS 140-1 et FIPS 140-2 validés » :

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1514

Informations générales sur le programme CMVP et la norme FIPS 140-2

Le NIST (National Institute of Standards and Technology) a mis en place le programme CMVP (Cryptographic Module Validation Program) qui valide les modules cryptographiques conformément à la norme FIPS (Federal Information Processing Standards) 140-2 et à d’autres normes cryptographiques. Le CMVP est le résultat de la collaboration entre le NIST et le CSTC (Centre de la sécurité des télécommunications Canada).

Le site Web principal de NIST/CSTC CMVP est hébergé par NIST et comporte toutes les informations détaillées sur le programme, les normes et les documents connexes, ainsi que les listes officielles de modules cryptographiques validés par FIPS 140-1 et FIPS 140-2.

La norme FIPS 140-2 se rapporte aux exigences en matière de sécurité des modules cryptographiques. La norme induit quatre niveaux de sécurité croissants : le niveau 1, le niveau 2, le niveau 3 et le niveau 4. Ces niveaux sont destinés à couvrir un grand nombre d’applications et d’environnements dans lesquels il est possible de déployer des modules cryptographiques. Une description complète de chacun des niveaux est disponible sur le site Web du NIST.

Les modules cryptographiques qui ont été validés, conformément à la norme FIPS 140-2, sont agréés par les agences fédérales dédiées à la protection des informations confidentielles.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: