Az FIPS-kompatibilis OS X Lion rendszer beállítása és karbantartása

Ez a cikk bemutatja, hogyan tudja beállítani és karbantartani az FIPS-kompatibilis OS X Lion rendszereket.

Az OS X Lion rendszerhez biztosított, FIPS hitelesítésű CDSA/CSP kriptográfiai modul esetén egy további beállítási műveletre van szükség, ahhoz hogy a rendszer „FIPS üzemmódra” váltson a hiánytalan megfelelés érdekében. Az FIPS rendszergazdai telepítőt a rendszergazdának (titkosítási szakembernek) kell beszereznie és a számítógépre telepítenie.

Fontos: Mielőtt frissítéseket telepítene az OS X Lion rendszerre, például a Szoftverfrissítés segítségével, tiltsa le az „FIPS üzemmódot”. Ellenkező esetben előfordulhat, hogy a számítógép nem indul el az újraindítást követően. A szoftverfrissítés végrehajtása után a titkosítási szakembernek ismét engedélyeznie kell a „FIPS üzemmódot” a Crypto Officer Role Guide útmutatása szerint.

Az FIPS Administration Tools telepítése

Az FIPS rendszergazdai telepítő itt érhető el. Az FIPS rendszergazdai telepítéséről és kezeléséről az FIPS Administration Tools Crypto Officer Role Guide című dokumentumban találja meg a részletes tudnivalókat.

1. Jelentkezzen be rendszergazdaként arra a számítógépre, amelyre az eszközöket szeretné telepíteni.

2. Kattintson duplán az FIPS Administration Installer csomagra.

3. Kattintson a Continue (Folytatás) gombra, miután elolvasta az (Introduction) Bevezetés oldalon található információkat.

4. Kattintson a Continue (Folytatás) gombra, miután elolvasta a Read Me (Olvass el) oldalon található információkat. Szükség szerint kinyomtathatja vagy mentheti is az ezen az oldalon található információkat.

5. Kattintson a Continue (Folytatás) gombra, miután elolvasta a szoftver licencszerződését a License (Licenc) oldalon. Szükség szerint kinyomtathatja vagy mentheti is az ezen az oldalon található információkat.

6. Kattintson az Agree (Elfogadom) gombra, ha elfogadja a szoftver licencszerződésének a feltételeit. Ellenkező esetben kattintson a Disagree (Nem értek egyet) gombra; ekkor a telepítő bezárul.

7. Válassza ki azt a Mac OS X-kötetet, amelyre az FIPS Administration Tools szoftvert telepíteni kívánja, majd kattintson a Continue (Folytatás) gombra a Destination Select (Cél kiválasztása) oldalon. Megjegyzés: Az FIPS Administration Tools szoftvert csak az indítási (rendszerindító) kötetre szabad telepíteni.

8. Kattintson az Install (Telepítés) gombra.

9. Adja meg rendszergazdai felhasználónevét és jelszavát.

10. Kattintson a Continue Installation (Telepítés folytatása) lehetőségre. Megjegyzés: A telepítés befejezése után újra kell indítani a számítógépet.

11. A telepítés után kattintson az Újraindítás gombra.

Az FIPS Administration Tools sikeres telepítésének ellenőrzése

Az FIPS Administration Tools sikeres telepítéséről annak ellenőrzésével győződhet meg, hogy a rendszer „FIPS üzemmódban” van-e.

Az FIPS üzemmód ellenőrzéséhez írja be a következő parancsot a Terminal ablakában:


/usr/sbin/fips/FIPSPerformSelfTest status

Az alábbiaknak kell megjelennie:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Az FIPS Administration Tools sikeres telepítését két másik helyen is ellenőrizheti manuálisan:

• Az egyik hely a /Rendszer/Könyvtár/LaunchDaemons/ mappa, ahol a következő fájlnak kell megtalálhatónak lennie:

  • /Rendszer/Könyvtár/LaunchDaemons/com.apple.fipspost.plist

• A másik hely a

  • /usr/sbin/fips mappa, amely a telepítés során jön létre. A következő eszközök találhatók meg benne:

    • FIPSPerformSelfTest – (bekapcsolódási önellenőrzés)

    • CryptoKAT – (CRYPTO algoritmus – ismert választ tesztelő eszköz)

    • postsig – (DSA/ECDSA aláírás-ellenőrző eszköz)

Annak ellenőrzése a szoftverfrissítés előtt, hogy az FIPS üzemmód le van-e tiltva

Megjegyzés: Az FIPS Administration Tools Crypto Officer Role Guide című dokumentumban elolvashatja az FIPS letiltásának módját a szoftverfrissítések telepítése előtt.

Írja be a Terminal ablakába az alábbi parancsot annak ellenőrzéséhez, hogy az FIPS üzemmód le van-e tiltva a rendszerben:

/usr/sbin/fips/FIPSPerformSelfTest status

Az alábbiaknak kell megjelennie:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

További információk

Az OS X Lion rendszerben megtalálható FIPS 140-2 hitelesítésű kriptográfiai modul

Az OS X Lion biztonsági szolgáltatásai most már egy újabb, „következő generációs kriptografikus” platformra épülnek, és a rendszer már nem alkalmazza a Mac OS X 10.6-os verziójában hitelesített CDSA/CSP modult. Az Apple azonban ismét hitelesítette ezt a CDSA/CSP modult az OS X Lion rendszerben, így a modul továbbra is hitelesített minősítésű a külső gyártók alkalmazásai esetén.

A CDSA (Common Data Security Architecture) több, rétegesen kialakított biztonsági szolgáltatásból áll, amelyben az AppleCSP (Apple Cryptographic Service Provider) biztosítja a titkosítást a külső gyártók olyan szoftvertermékeihez, amelyek a CDSA modult alkalmazzák.

Az FIPS 140-2 hitelesítési eljárásban az AppleCSP és a kapcsolódó komponensek együttes elnevezése a következő: „Apple FIPS Cryptographic Module (Software Version: 1.1)”. A modul megkapta az FIPS 140-2 1. szintű megfelelőségi hitelesítést (tanúsítványszám: 1701), és megtalálható a CMVP weboldalán („Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules”).

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Háttérinformációk – NIST/CSEC CMVP és FIPS 140-2

A Nemzeti Szabványügyi és Technológiai Intézet (National Institute of Standards and Technology – NIST) létrehozta a Kriptográfiai Modulhitelesítési Programot (Cryptographic Module Validation Program – CMVP), amellyel a kriptográfiai modulokat hitelesítik a Szövetségi Információfeldolgozási Szabványok (Federal Information Processing Standards – FIPS) 140-2 számú szabványa és egyéb kriptográfiai alapú szabványok szerint. A CMVP az NIST és a Communications Security Establishment Canada (CSEC) együttműködése révén jött létre.

Az NIST/CSEC CMVP fő webhelyét az NIST biztosítja, és az oldal részletes információkat tartalmaz a programról, az összes kapcsolódó szabványról és dokumentumról, valamint megtalálható rajta az FIPS 140-1 és az FIPS 140-2 hitelesítésű kriptográfiai modulok hivatalos listája.

Az FIPS 140-2 a kriptográfiai modulok biztonsági követelményeire vonatkozik. A szabvány négy, egyre nagyobb követelményeket támasztó, kvalitatív biztonsági szintet ír elő: 1. szint, 2. szint, 3. szint és 4. szint. A különböző szintek rendeltetése az, hogy minél több olyan potenciális alkalmazási mód és környezet legyen vizsgálható, ahol kriptográfiai modulokat használnak. Az egyes szintek részletes leírását az FIPS 140-2 kiadvány tartalmazza, amely az NIST webhelyén található (FIPS PUB 140-2).

Azokat a kriptográfiai modulokat, amelyek a hitelesítés szerint megfelelnek az FIPS 140-2 szabványnak, elfogadja mindkét ország szövetségi hatósága a bizalmas információk védelméhez.

Tekintse meg az alábbi cikkeket is:

• FIPS-kompatibilis Mac OS X 10.6 Snow Leopard rendszer beállítása és karbantartása

• FIPS Administration Installer Mac OS X 10.6 Snow Leopard rendszerhez

• FIPS Administration Tools Crypto Officer Role Guide (Mac OS X 10.6)