Konfiguracja i obsługa systemu OS X Lion z włączonym trybem FIPS

Dowiedz się, jak skonfigurować i obsługiwać system OS X Lion z włączonym trybem FIPS.

Moduł kryptograficzny CDSA/CSP dostarczany z systemem OS X Lion został zweryfikowany pod kątem zgodności ze standardem FIPS. W celu zapewnienia pełnej zgodności należy przełączyć system do trybu FIPS, wykonując dodatkową czynność konfiguracyjną. Administrator systemu (użytkownik zarządzający funkcjami kryptograficznymi) musi pobrać program FIPS Administration Installer i zainstalować go w systemie.

Ważne: przed wykonaniem jakichkolwiek uaktualnień systemu OS X Lion, na przykład za pomocą narzędzia Uaktualnienia oprogramowania, należy wyłączyć tryb FIPS. W przeciwnym razie komputer może nie uruchomić się pomyślnie po ponownym uruchomieniu. Po przeprowadzeniu uaktualnienia oprogramowania użytkownik zarządzający funkcjami kryptograficznymi będzie musiał ponownie włączyć tryb FIPS zgodnie z instrukcjami zawartymi w Przewodniku dla użytkowników zarządzających funkcjami kryptograficznymi.

Instalowanie narzędzi FIPS Administration Tools

Program FIPS Administration Installer jest dostępny tutaj. Pełne instrukcje dotyczące instalacji narzędzi FIPS Administration Tools i zarządzania zawiera Przewodnik dla użytkowników zarządzających funkcjami kryptograficznym w zakresie zgodności ze standardem FIPS.

1. Zaloguj się jako administrator na komputerze, na którym zostaną zainstalowane narzędzia.

2. Kliknij dwukrotnie pakiet FIPS Administration Installer.

3. Po przeczytaniu informacji na stronie Introduction (Wprowadzenie) kliknij przycisk Continue (Dalej).

4. Po przeczytaniu informacji na stronie Read Me (Przeczytaj) kliknij przycisk Continue (Dalej). W razie potrzeby można również wydrukować lub zachować informacje znajdujące się na tej stronie.

5. Po przeczytaniu umowy licencyjnej oprogramowania na stronie License (Licencja) kliknij przycisk Continue (Dalej). W razie potrzeby można również wydrukować lub zachować informacje znajdujące się na tej stronie.

6. Jeśli wyrażasz zgodę na warunki licencji oprogramowania, kliknij przycisk Agree (Akceptuję). W przeciwnym razie kliknij przycisk Disagree (Nie akceptuję). Instalator zakończy pracę.

7. Na stronie Destination Select (Wybór miejsca docelowego) wybierz wolumin systemu Mac OS X, na którym mają zostać zainstalowane narzędzia FIPS Administration Tools, a następnie kliknij przycisk Continue (Dalej). Uwaga: The FIPS Administration Tools should only be installed on the startup (boot) volume.

8. Kliknij przycisk Install (Instaluj).

9. Wprowadź swoją nazwę użytkownika i hasło administratora.

10. Kliknij przycisk Continue Installation (Kontynuuj instalację). Uwaga: po zakończeniu instalacji należy ponownie uruchomić komputer.

11. Po zakończeniu instalacji kliknij przycisk Restart (Uruchom ponownie).

Sprawdzanie, czy narzędzia FIPS Administration Tools zostały pomyślnie zainstalowane

Aby upewnić się, że narzędzia FIPS Administration Tools zostały poprawnie zainstalowane, można sprawdzić, czy system działa w trybie FIPS.

Sprawdź, czy system działa w trybie FIPS, uruchamiając następujące polecenie w oknie aplikacji Terminal:


/usr/sbin/fips/FIPSPerformSelfTest status

Wynik powinien być następujący:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Poprawność instalacji narzędzi FIPS Administration Tools można sprawdzić ręcznie w dwóch innych miejscach:

• Sprawdzenie, czy w folderze /System/Biblioteki/LaunchDaemons/ istnieje plik o nazwie:

  • /System/Library/LaunchDaemons/com.apple.fipspost.plist

• Sprawdzenie folderu

  • /usr/sbin/fips, który jest tworzony podczas instalacji. W tym folderze są instalowane następujące narzędzia:

    • FIPSPerformSelfTest — (narzędzie testu Power On Self Test)

    • CryptoKAT — (narzędzie do testowania znanych odpowiedzi algorytmu kryptograficznego)

    • postsig — (narzędzie do testowania podpisów DSA/ECDSA)

Sprawdzanie, czy tryb FIPS został wyłączony przed uaktualnieniem oprogramowania

Uwaga: informacje o tym, jak wyłączyć tryb FIPS przed przystąpieniem do instalowania uaktualnień oprogramowania, można znaleźć w Przewodniku dla użytkowników zarządzających funkcjami kryptograficznym w zakresie zgodności ze standardem FIPS.

Upewnij się, że tryb FIPS został wyłączony w systemie, uruchamiając następujące polecenie w oknie aplikacji Terminal:

/usr/sbin/fips/FIPSPerformSelfTest status

Wynik powinien być następujący:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Więcej informacji

Informacje o module kryptograficznym systemu OS X Lion zweryfikowanym pod kątem zgodności ze standardem FIPS 140-2

Usługi zabezpieczeń systemu OS X Lion są obecnie oparte na nowszej platformie kryptografii następnej generacji i zastąpiły wcześniej zweryfikowany moduł CDSA/CSP w systemie Mac OS X 10.6. Jednak firma Apple dokonała ponownej weryfikacji tego samego modułu CDSA/CSP w systemie OS X Lion, aby zapewnić ciągłość weryfikacji wyłącznie na potrzeby aplikacji innych firm.

Architektura CDSA (Common Data Security Architecture) to zestaw usług zabezpieczeń podzielonych na warstwy, w ramach których moduł AppleCSP (Apple Cryptographic Service Provider) zapewnia funkcje kryptograficzne dla oprogramowania innych firm, które nadal korzysta z architektury CDSA.

Na potrzeby weryfikacji pod kątem zgodności ze standardem FIPS 140-2 moduł AppleCSP i powiązane składniki są wspólnie nazywane modułem Apple FIPS Cryptographic Module (wersja oprogramowania: 1.1). Ten moduł otrzymał certyfikat weryfikacji pod kątem zgodności ze standardem FIPS 140-2 poziomu 1 (nr 1701) i został opublikowany na stronie internetowej CMVP przedstawiającej moduły kryptograficzne zweryfikowane pod kątem zgodności ze standardami FIPS 140-1 i FIPS 140-2.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Informacje ogólne na temat NIST/CSEC CMVP i FIPS 140-2

Instytut NIST (National Institute of Standards and Technology) wprowadził program weryfikacji modułów kryptograficznych (CMVP, Cryptographic Module Validation Program) mający na celu weryfikację modułów kryptograficznych pod kątem zgodności ze standardem FIPS (Federal Information Processing Standard) 140-2 i innymi standardami kryptograficznymi. Program CMVP jest prowadzony wspólnie przez instytut NIST i organizację CSEC (Communications Security Establishment Canada).

Główna witryna internetowa programu NIST/CSEC CMVP jest obsługiwana przez instytut NIST i zawiera pełne informacje o programie, wszystkie powiązane standardy i dokumenty, a także oficjalne listy modułów kryptograficznych zweryfikowanych pod kątem zgodności ze standardami FIPS 140-1 i FIPS 140-2.

Standard FIPS 140-2 jest poświęcony wymaganiom dotyczącym zabezpieczeń modułów kryptograficznych. Obejmuje on cztery kolejne poziomy jakości zabezpieczeń: poziom 1, poziom 2, poziom 3 i poziom 4. Te poziomy zostały opracowane w celu uwzględnienia szerokiej gamy potencjalnych zastosowań i środowisk, w których mogą być używane moduły kryptograficzne. Pełny opis poszczególnych poziomów można znaleźć w publikacji FIPS 140-2 dostępnej w witrynie internetowej instytutu NIST (FIPS PUB 140-2).

Agencje federalne obu krajów dopuszczają ochronę poufnych informacji za pomocą modułów kryptograficznych, które zostały zweryfikowane jako zgodne ze standardem FIPS 140-2.

Zobacz też:

• Konfigurowanie i obsługa systemu Mac OS X 10.6 Snow Leopard z włączonym trybem FIPS

• FIPS Administration Installer dla systemu Mac OS X 10.6 Snow Leopard

• Przewodnik dla użytkowników zarządzających funkcjami kryptograficznym w zakresie zgodności ze standardem FIPS (Mac OS X 10.6)