FIPS-kompatibilis OS X Lion rendszer beállítása és karbantartása

Ez a cikk bemutatja az FIPS-kompatibilis OS X Lion rendszer beállításának és karbantartásának módját.

Ez egy archivált cikk, ezért az Apple egy ideje már nem frissíti.

Az OS X Lion rendszerhez biztosított, FIPS hitelesítésű CDSA/CSP kriptográfiai modul esetén egy további beállítási műveletre van szükség, ahhoz hogy a rendszer „FIPS üzemmódra” váltson a jogszabályoknak való hiánytalan megfelelés érdekében. Az FIPS rendszergazdai telepítőt a rendszergazdának (titkosítási szakembernek) kell beszereznie és a számítógépre telepítenie.

Fontos: Mielőtt frissítéseket telepítene az OS X Lion rendszerre, például a Szoftverfrissítés segítségével, tiltsa le a „FIPS üzemmódot”. Ellenkező esetben előfordulhat, hogy a számítógép nem indul el az újraindítást követően. A szoftverfrissítés végrehajtása után a titkosítási szakembernek ismét engedélyeznie kell a „FIPS üzemmódot” a Crypto Officer Role Guide útmutatása szerint.

Az FIPS rendszergazdai eszközök telepítése

Az FIPS rendszergazdai telepítő itt található. Az FIPS rendszergazdai telepítéséről és kezeléséről az FIPS Administration Tools Crypto Officer Role Guide című dokumentumban találja meg a részletes tudnivalókat.

  1. Jelentkezzen be rendszergazdaként arra a számítógépre, amelyre az eszközöket szeretné telepíteni.
  2. Kattintson duplán az FIPS rendszergazdai telepítőcsomagra.
  3. Kattintson a Folytatás gombra, miután elolvasta a Bevezetés oldalon található információkat.
  4. Kattintson a Folytatás gombra, miután elolvasta a Leírás oldalon található információkat. Ha szeretné, ki is nyomtathatja az oldalon található információkat.
  5. Kattintson a Folytatás gombra, miután elolvasta a Szoftverlicenc-szerződést a Licenc oldalon. Ha szeretné, ki is nyomtathatja az oldalon található információkat.
  6. Kattintson az Elfogadás gombra, ha elfogadja a szoftverlicenc feltételeit. Ha nem fogadja el, kattintson az Elutasítás gombra a telepítőből való kilépéshez.
  7. Válassza ki azt a Mac OS X kötetet, amelyre az FIPS rendszergazdai eszközöket szeretné telepíteni, majd kattintson a Folytatás gombra a Célválasztás oldalon. Megjegyzés: Az FIPS rendszergazdai eszközöket a rendszerindító kötetre telepítse.
  8. Kattintson a Telepítés gombra.
  9. Írja be a rendszergazdai felhasználónevét és jelszavát.
  10. Kattintson a Continue Installation (Telepítés folytatása) gombra. Megjegyzés: A telepítés befejeződésekor újra kell indítani a számítógépet.
  11. A telepítés után kattintson a Restart (Újraindítás) gombra.

Annak ellenőrzése, hogy az FIPS rendszergazdai eszközök telepítése sikerült-e

Az FIPS rendszergazdai eszközök sikeres telepítéséről annak ellenőrzésével győződhet meg, hogy a rendszer „FIPS üzemmódban” van-e.

Az FIPS üzemmód ellenőrzéséhez írja be a következő parancsot a Terminal ablakában:


/usr/sbin/fips/FIPSPerformSelfTest status

Az alábbiaknak kell megjelennie:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Két másik helyen manuálisan is ellenőrizhető, hogy az FIPS rendszergazdai eszközök telepítése sikerült-e:

  • Az egyik hely a /Rendszer/Könyvtár/LaunchDaemons/  mappa, ahol a következő fájlnak kell megtalálhatónak lennie:
    • /Rendszer/Könyvtár/LaunchDaemons/com.apple.fipspost.plist
  • A másik hely a 
    • /usr/sbin/fips  mappa, amely a telepítés során jön létre, és a következő eszközök találhatók meg benne:
      • FIPSPerformSelfTest – (bekapcsolódási önellenőrzés)
      • CryptoKAT – (CRYPTO algoritmus – ismert választ tesztelő eszköz)
      • postsig – (DSA/ECDSA aláírás-ellenőrző eszköz)

Annak ellenőrzése a szoftverfrissítés előtt, hogy a FIPS üzemmód le van-e tiltva

Megjegyzés: A FIPS Administration Tools Crypto Officer Role Guide című dokumentumban elolvashatja a FIPS letiltásának módját a szoftverfrissítések telepítése előtt.

Írja be a Terminal ablakába az alábbi parancsot annak ellenőrzéséhez, hogy a FIPS üzemmód le van-e tiltva a rendszerben:

/usr/sbin/fips/FIPSPerformSelfTest status

Az alábbiaknak kell megjelennie:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

További információk

Az OS X Lion rendszerben megtalálható FIPS 140-2 hitelesítésű kriptográfiai modul

Az OS X Lion biztonsági szolgáltatásai most már egy újabb, „következő generációs kriptografikus” platformra épülnek, és a rendszer már nem alkalmazza a Mac OS X 10.6-os verziójában hitelesített CDSA/CSP modult. Az Apple azonban ismét hitelesítette ezt a CDSA/CSP modult az OS X Lion rendszerben, így a modul továbbra is hitelesített minősítésű a külső gyártók alkalmazásai esetén.

A CDSA (Common Data Security Architecture) több, rétegesen kialakított biztonsági szolgáltatásból áll, amelyben az AppleCSP (Apple Cryptographic Service Provider) biztosítja a titkosítást a külső gyártók olyan szoftvertermékeihez, amelyek a CDSA modult alkalmazzák.

Az FIPS 140-2 hitelesítési eljárásban az AppleCSP és a kapcsolódó komponensek együttes elnevezése a következő: „Apple FIPS Cryptographic Module (Software Version: 1.1)”. A modul megkapta az FIPS 140-2 1. szintű megfelelőségi hitelesítést (tanúsítványszám: 1701), és megtalálható a CMVP weboldalán („Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules”).

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

NIST/CSEC CMVP és FIPS 140-2 – háttér-információk

A Nemzeti Szabványügyi és Technológiai Intézet (National Institute of Standards and Technology – NIST) létrehozta a Kriptográfiai Modulhitelesítési Programot (Cryptographic Module Validation Program – CMVP), amellyel a kriptográfiai modulokat hitelesítik a Szövetségi Információfeldolgozási Szabványok (Federal Information Processing Standards – FIPS) 140-2 számú szabványa és egyéb kriptográfiai alapú szabványok szerint. A CMVP az NIST és a Communications Security Establishment Canada (CSEC) együttműködése révén jött létre.

Az NIST/CSEC CMVP fő weboldalát az NIST biztosítja, és az oldal részletes információkat tartalmaz a programról, az összes kapcsolódó szabványról és dokumentumról, valamint megtalálható rajta az FIPS 140-1 és az FIPS 140-2 hitelesítésű kriptográfiai modulok hivatalos listája.

Az FIPS 140-2 a kriptográfiai modulok biztonsági követelményeire vonatkozik. A szabvány négy, egyre nagyobb követelményeket támasztó, kvalitatív biztonsági szintet ír elő: 1. szint, 2. szint, 3. szint és 4. szint. A különböző szintek rendeltetése az, hogy minél több olyan potenciális alkalmazási mód és környezet legyen vizsgálható, ahol kriptográfiai modulokat használnak. Az egyes szintek részletes leírását az FIPS 140-2 kiadvány tartalmazza, amely az NIST webhelyén található (FIPS PUB 140-2).

Azokat a kriptográfiai modulokat, amelyek a hitelesítés szerint megfelelnek az FIPS 140-2 szabványnak, elfogadja mindkét ország szövetségi hatósága a bizalmas információk védelméhez.

Tekintse meg az alábbi cikkeket is:

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: