Configuration et gestion d’un système OS X Lion conforme à la norme FIPS

Découvrez comment configurer et gérer un système OS X Lion conforme à la norme FIPS.

Cet article a été archivé et ne sera plus mis à jour par Apple.

Le module cryptographique CDSA/CSP, conforme à la norme FIPS et fourni avec OS X Lion, nécessite une étape de configuration supplémentaire afin de garantir la conformité du système. L’administrateur du système (en charge du chiffrement) doit obtenir et installer, sur ce dernier, le programme d’installation des outils d’administration FIPS.

Important : avant de mettre à jour OS X Lion (par exemple, via Mise à jour logicielle), vous devez désactiver le mode FIPS. Si vous ne le faites pas, il est possible que l’ordinateur ne démarre pas correctement après le redémarrage. Après avoir effectué la mise à jour, l’administrateur du système doit à nouveau activer le mode FIPS, en procédant comme décrit dans le guide dédié.

Installation des outils d’administration FIPS

Le programme d’installation des outils d’administration FIPS est disponible ici. Pour obtenir des instructions complètes sur l’installation et la gestion des outils d’administration FIPS, consultez le document Guide du rôle de responsable du chiffrement.

  1. Ouvrez une session en tant qu’administrateur sur l’ordinateur sur lequel vous souhaitez installer les outils.
  2. Double-cliquez sur le programme d’installation des outils d’administration FIPS.
  3. Cliquez sur Continuer après avoir lu les informations indiquées sur la page d’introduction.
  4. Cliquez sur Continuer après avoir lu les informations indiquées sur la page Read Me. Si vous le souhaitez, vous pouvez également imprimer ou enregistrer les informations indiquées sur cette page.
  5. Cliquez sur Continuer après avoir lu le contrat de licence du logiciel. Si vous le souhaitez, vous pouvez également imprimer ou enregistrer les informations indiquées sur cette page.
  6. Cliquez sur Accepter pour accepter les conditions de la licence du logiciel. Sinon, cliquez sur Refuser. Le programme d’installation se ferme alors.
  7. Sélectionnez le volume Mac OS X pour installer les outils d’administration FIPS, puis cliquez sur Continuer sur la page Choix de la destination. Remarque : vous ne devez installer les outils d’administration FIPS que sur le volume de démarrage.
  8. Cliquez sur le bouton Installer.
  9. Saisissez votre nom et mot de passe d’administrateur.
  10. Cliquez sur Poursuivre l’installation. Remarque : une fois l’installation terminée, vous devez redémarrer l’ordinateur.
  11. Après l’installation, cliquez sur Redémarrer.

Pour vérifier que les outils d’administration FIPS ont été installés correctement

Pour vous assurer que les outils d’administration FIPS ont bien été installés, vérifiez que le système est en mode FIPS.

Pour ce faire, exécutez la commande suivante dans Terminal : 


/usr/sbin/fips/FIPSPerformSelfTest status

Le résultat doit être le suivant :

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Vous pouvez vérifier manuellement, à deux autres endroits, si les outils d’administration FIPS ont été installés correctement :

  • Commencez par vérifier si le fichier ci-dessous se trouve dans /Système/Bibliothèque/LaunchDaemons/ :
    • /System/Library/LaunchDaemons/com.apple.fipspost.plist
  • Consultez ensuite le dossier suivant :
    • /usr/sbin/fips (celui-ci est créé au cours de l’installation). Les outils installés dans ce dossier sont les suivants :
      • FIPSPerformSelfTest : outils de test d’autodiagnostic
      • CryptoKAT : outil de test de la réponse connue de l’algorithme CRYPTO
      • postsig : outil de test de la signature DSA/ECDSA

Pour vérifier que le mode FIPS a été désactivé avant d’effectuer la mise à jour

Remarque : reportez-vous au guide du rôle de responsable du chiffrement pour savoir comment désactiver le mode FIPS avant de procéder à une mise à jour.

Pour vérifier que le mode FIPS a été désactivé, exécutez la commande suivante dans Terminal :

/usr/sbin/fips/FIPSPerformSelfTest status

Le résultat doit être le suivant :

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Informations supplémentaires

À propos du module cryptographique validé par FIPS 140-2 sous OS X Lion

Les services de sécurité OS X Lion ont été conçus sur la base d’une plate-forme plus récente de cryptographie, et sont « extraits » du module CDSA/CSP validé précédemment sous Mac OS X 10.6. Toutefois, Apple a validé à nouveau ces mêmes modules CDSA/CSP sous OS X Lion, afin de permettre une conformité permanente pour les applications tierces.

L’architecture commune de sécurité des données (CDSA) est un ensemble de services de sécurité par couches, via lequel AppleCSP (fournisseur de services cryptographiques d’Apple) assure la cryptographie pour les logiciels tiers qui continuent à utiliser l’architecture CDSA.

AppleCSP et les composants connexes sont inclus à la dénomination « module cryptographique FIPS d’Apple (version logicielle : 1.1) ». Ce module a reçu le certification nº 1701 (niveau 1) et a été mis à disposition à l’adresse ci-dessous, dans la section « Modules cryptographiques FIPS 140-1 et FIPS 140-2 validés » :

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Informations générales sur le programme CMVP et la norme FIPS 140-2

Le NIST (National Institute of Standards and Technology) a mis en place le programme CMVP (Cryptographic Module Validation Program) dans le cadre duquel s’effectue la validation des modules cryptographiques, conformément à la norme FIPS (Federal Information Processing Standards) 140-2 et à d’autres normes cryptographiques. Le programme CMVP résulte de la collaboration entre le NIST et le CSTC (Communications Security Establishment Canada).

Le site Web dédié au programme CMVP est hébergé par NIST et comporte des informations détaillées se rapportant à celui-ci et aux normes, ainsi que des documents connexes et les listes officielles de modules cryptographiques validés.

La norme FIPS 140-2 se rapporte aux exigences en matière de sécurité applicables aux modules cryptographiques. La norme induit quatre niveaux de sécurité croissants : le niveau 1, le niveau 2, le niveau 3 et le niveau 4. Ces niveaux sont destinés à englober un grand nombre d’applications et d’environnements dans lesquels il est possible de déployer des modules cryptographiques. Une description complète de chacun des niveaux est disponible sur le site Web du NIST.

Les modules cryptographiques qui ont été validés, conformément à la norme FIPS 140-2, sont agréés par les agences fédérales dédiées à la protection des informations confidentielles.

Consultez également les articles suivants :

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: