Dit artikel is gearchiveerd,het wordt niet meer bijgewerkt door Apple.

Een systeem met OS X Lion, waarbij FIPS is ingeschakeld, configureren en onderhouden

Lees hier hoe je een systeem met OS X Lion, waarbij FIPS is ingeschakeld, configureert en onderhoudt.

De door FIPS gevalideerde cryptografische CDSA/CSP-module die wordt geleverd met OS X Lion vereist een extra configuratiestap om het systeem in de 'FIPS-modus' te plaatsen voor volledige compatibiliteit. Het installatieprogramma voor FIPS-beheer moet worden verkregen en geïnstalleerd op het systeem door de systeembeheerder (Crypto Officer).

Belangrijk: voordat je OS X Lion-updates uitvoert, zoals via Software-update, moet je de 'FIPS-modus' uitschakelen. Anders start de computer mogelijk niet op na het herstarten. Na het uitvoeren van de software-update moet de Crypto Officer de 'FIPS-modus' opnieuw inschakelen volgens de instructies in de Crypto Officer Role Guide.

De FIPS-beheertools installeren

Het installatieprogramma voor FIPS-beheer is hier beschikbaar. Raadpleeg de Crypto Officer Role Guide voor FIPS-beheertools voor volledige instructies over de installatie van het FIPS-beheer en het beheer zelf.

  1. Log in als een beheerder op de computer waarop je de tools gaat installeren.

  2. Dubbelklik op het pakket FIPS Administration Installer.

  3. Klik op 'Ga door' nadat je de informatie op de pagina 'Introductie' hebt gelezen.

  4. Klik op 'Ga door' nadat je de informatie op de pagina 'Leesmij' hebt gelezen. Je kunt indien nodig ook de informatie op deze pagina afdrukken of bewaren.

  5. Klik op 'Ga door' nadat je de softwarelicentieovereenkomst op de pagina 'Licentie' hebt gelezen. Je kunt indien nodig ook de informatie op deze pagina afdrukken of bewaren.

  6. Klik op 'Akkoord' als je akkoord gaat met de voorwaarden van de softwarelicentie. In het andere geval klik je op 'Niet akkoord'. Je verlaat dan het installatieprogramma.

  7. Selecteer het Mac X-volume om de FIPS-beheertools te installeren. Klik vervolgens op 'Ga door' op de pagina 'Doelselectie'. Opmerking: de FIPS-beheertools mogen alleen op het opstartvolume worden geïnstalleerd.

  8. Klik op de knop 'Installeer'.

  9. Voer de gebruikersnaam en het wachtwoord van een beheerdersaccount in.

  10. Klik op 'Ga door met installatie'. Opmerking: de computer moet opnieuw worden opgestart nadat de installatie is voltooid.

  11. Klik na de installatie op 'Herstart'.

Om te controleren of de FIPS-beheertools zijn geïnstalleerd

De installatie van FIPS-beheertools kan worden geverifieerd door te controleren of het systeem in de 'FIPS-modus' staat.

Controleer of het systeem in de FIPS-modus staat door het volgende uit te voeren in een Terminal-venster:


/usr/sbin/fips/FIPSPerformSelfTest status

Het resultaat moet zijn:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Er zijn twee andere plaatsen waar je handmatig kunt controleren of de FIPS-beheertools zijn geïnstalleerd:

  • De eerste plaats die moet worden geverifieerd, is in /System/Library/LaunchDaemons/ voor het bestand met de naam:

    • /System/Library/LaunchDaemons/com.apple.fipspost.plist

  • De tweede plek om te controleren is in de

    • map /usr/sbin/fips die tijdens de installatie wordt aangemaakt. De tools die in die map zijn geïnstalleerd, zijn:

      • FIPSPerformSelfTest – (Power-On-Self-Test Tool)

      • CryptoKAT – (CRYPTO Algorithm Known Answer Test Tool)

      • postsig – (DSA/ECDSA Signature Test Tool)

Om te controleren of de FIPS-modus is uitgeschakeld voordat je een software-update uitvoert

Opmerking: raadpleeg de Crypto Officer Role Guide voor FIPS-beheertools voor informatie over het uitschakelen van FIPS voordat je software-updates uitvoert.

Controleer of de FIPS-modus is uitgeschakeld op het systeem door het volgende uit te voeren in een Terminal-venster:

/usr/sbin/fips/FIPSPerformSelfTest status

Het resultaat moet zijn:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Meer informatie

Over de door FIPS 140-2 gevalideerde cryptografische module in OS X Lion

OS X Lion-beveiligingsvoorzieningen zijn nu gebouwd op een nieuwer platform voor cryptografie van de volgende generatie en zijn overgestapt van de CDSA/CSP-module die eerder is gevalideerd op Mac OS X v10.6. Apple heeft echter dezelfde CDSA/CSP-module opnieuw gevalideerd onder OS X Lion om continue validatie te bieden, alleen voor apps van derden.

De Common Data Security Architecture (CDSA) is een reeks gelaagde beveiligingsdiensten waarin de AppleCSP (Apple Cryptographic Service Provider) cryptografie levert voor softwareproducten van derden die nog CDSA gebruiken.

In het kader van het FIPS 140-2-validatieproces worden AppleCSP en bijbehorende componenten gezamenlijk aangeduid als 'Cryptografische module Apple FIPS (softwareversie: 1.1)'. Deze module heeft het FIPS 140-2 Level 1 Conformance Validation-certificaat #1701 ontvangen en is geplaatst op de CMVP-webpagina met de vermelding 'Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules'.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Achtergrond van NIST/CSEC CMVP en FIPS 140-2

Het National Institute of Standards and Technology (NIST) heeft het Cryptographic Module Validation Program (CMVP) ontworpen dat cryptografische modules valideert met behulp van Federal Information Processing Standards (FIPS) 140-2 en andere cryptografische normen. De CMVP is een gezamenlijke inspanning van NIST en de Communications Security Organisation Canada (CSEC).

De hoofdwebsite voor de NIST/CSEC CMVP wordt gehost door NIST en bevat volledige details over het programma, alle gerelateerde normen en documenten, evenals de officiële lijsten van FIPS 140-1 en FIPS 140-2 gevalideerde cryptografische modules.

FIPS 140-2 verwijst in het bijzonder naar de beveiligingsvereisten voor cryptografische modules. De norm biedt vier steeds sterkere beveiligingsniveaus: Niveau 1, Niveau 2, Niveau 3 en Niveau 4. Deze niveaus zijn bestemd voor het brede scala van mogelijke programma’s en omgevingen waarin cryptografische modules kunnen worden gebruikt. Een complete beschrijving van elk niveau vind je in de publicatie van FIPS 140-2 op de website van NIST (FIPS PUB 140-2).

Cryptografische modules met FIPS 140-2-validatie worden aanvaard door de federale agentschappen van beide landen voor de bescherming van vertrouwelijke informatie.

Zie ook:

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: