Konfigurowanie i obsługa systemu Mac OS X 10.6 Snow Leopard z włączonym trybem FIPS

Moduł kryptograficzny dostarczany z systemem Mac OS X 10.6 Snow Leopard został zweryfikowany pod kątem zgodności ze standardem FIPS. W celu zapewnienia pełnej zgodności należy przełączyć system do trybu FIPS, wykonując dodatkową czynność konfiguracyjną. Administrator systemu (użytkownik zarządzający funkcjami kryptograficznymi) musi pobrać program FIPS Administration Installer i zainstalować go w systemie.

Ten artykuł został zarchiwizowany i nie jest już aktualizowany przez firmę Apple.

Instalowanie narzędzi FIPS Administration Tools

Program FIPS Administration Installer jest dostępny tutaj. Pełne instrukcje dotyczące instalacji narzędzi FIPS Administration Tools i zarządzania zawiera dokument FIPS Administration Tools Crypto Officer Role Guide (Narzędzia FIPS Administration Tools — przewodnik dla roli użytkownika zarządzającego funkcjami kryptograficznymi).

  1. Zaloguj się jako administrator na komputerze docelowym, na którym zostaną zainstalowane narzędzia.
  2. Kliknij dwukrotnie pakiet FIPS Administration Installer.
  3. Po przeczytaniu informacji na stronie Introduction (Wprowadzenie) kliknij przycisk Continue (Dalej).
  4. Po przeczytaniu informacji na stronie Read Me (Przeczytaj) kliknij przycisk Continue (Dalej). W razie potrzeby możesz też wydrukować lub zachować informacje znajdujące się na tej stronie.
  5. Po przeczytaniu umowy licencyjnej oprogramowania na stronie License (Licencja) kliknij przycisk Continue (Dalej). W razie potrzeby możesz też wydrukować lub zachować informacje znajdujące się na tej stronie.
  6. Jeśli wyrażasz zgodę na warunki licencji oprogramowania, kliknij przycisk Agree (Akceptuję). W przeciwnym razie kliknij przycisk Disagree (Nie akceptuję). Instalator zakończy pracę.
  7. Na stronie Destination Select (Wybór miejsca docelowego) wybierz wolumin systemu Mac OS X, na którym chcesz zainstalować narzędzia FIPS Administration Tools, a następnie kliknij przycisk Continue (Dalej). Narzędzie FIPS Administration Tools należy instalować tylko na woluminie startowym (rozruchowym).
  8. Kliknij przycisk Install (Instaluj).
  9. Wprowadź nazwę i hasło administratora.
  10. Kliknij opcję Continue Installation (Kontynuuj instalację). Po zakończeniu instalacji konieczne jest ponowne uruchomienie komputera.
  11. Kliknij przycisk Uruchom ponownie.

Aby upewnić się, że narzędzia FIPS Administration Tools zostały pomyślnie zainstalowane

Aby upewnić się, że narzędzia FIPS Administration Tools zostały poprawnie zainstalowane, możesz sprawdzić, czy system działa w trybie FIPS.

Sprawdź, czy system działa w trybie FIPS, uruchamiając następujące polecenie w oknie programu Terminal:

/usr/sbin/fips/FIPSPerformSelfTest status

Powinien zostać zwrócony wynik:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

 
Poprawność instalacji narzędzi FIPS Administration Tools można sprawdzić ręcznie w dwóch innych miejscach:

  • Pierwszym z nich jest katalog
    /System/Library/LaunchDaemons/
    — poszukaj w nim pliku o nazwie:

    /System/Library/LaunchDaemons/com.apple.fipspost.plist

  • Drugim takim miejscem jest katalog
    /usr/sbin/fips
    utworzony podczas instalacji. W tym katalogu są instalowane następujące narzędzia:
    • FIPSPerformSelfTest — narzędzie testu Power On Self Test
    • CryptoKAT — narzędzie do testowania znanych odpowiedzi algorytmu kryptograficznego
    • postsig – narzędzie do testowania podpisów DSA/ECDSA

Więcej informacji

Informacje o module kryptograficznym systemu Mac OS X 10.6 zweryfikowanym pod kątem zgodności ze standardem FIPS 140-2

Kilka usług zabezpieczeń systemu Snow Leopard jest opracowanych na podstawie architektury CDSA (Common Data Security Architecture).  Ta architektura stanowi zestaw usług zabezpieczeń podzielonych na warstwy, w ramach których moduł AppleCSP (Apple Cryptographic Service Provider) zapewnia funkcje kryptograficzne dla oprogramowania firmy Apple i innych, które korzysta z architektury CDSA.

Na potrzeby weryfikacji pod kątem zgodności ze standardem FIPS 140-2 moduł AppleCSP i powiązane składniki są wspólnie nazywane modułem Apple FIPS Cryptographic Module (wersja oprogramowania: 1.0). Ten moduł otrzymał certyfikat weryfikacji pod kątem zgodności ze standardem FIPS 140-2 poziomu 1 (nr 1514) i został opublikowany na stronie internetowej CMVP przedstawiającej moduły kryptograficzne zweryfikowane pod kątem zgodności ze standardami FIPS 140-1 i FIPS 140-2.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1514

Informacje o programie NIST/CSEC CMVP i standardzie FIPS 140-2

Instytut NIST (National Institute of Standards and Technology) wprowadził program weryfikacji modułów kryptograficznych (CMVP, Cryptographic Module Validation Program) mający na celu weryfikację modułów kryptograficznych pod kątem zgodności ze standardem FIPS (Federal Information Processing Standard) 140-2 i innymi standardami kryptograficznymi. Program CMVP jest prowadzony wspólnie przez instytut NIST i organizację CSEC (Communications Security Establishment Canada).

Główna witryna internetowa programu NIST/CSEC CMVP jest obsługiwana przez instytut NIST i zawiera pełne informacje o programie, wszystkie powiązane standardy i dokumenty, a także oficjalne listy modułów kryptograficznych zweryfikowanych pod kątem zgodności ze standardami FIPS 140-1 i FIPS 140-2.

Standard FIPS 140-2 jest poświęcony wymaganiom dotyczącym zabezpieczeń modułów kryptograficznych. Obejmuje on cztery kolejne poziomy jakości zabezpieczeń: poziom 1, poziom 2, poziom 3 i poziom 4. Te poziomy zostały opracowane w celu uwzględnienia szerokiej gamy potencjalnych zastosowań i środowisk, w których mogą być używane moduły kryptograficzne.  Pełny opis poszczególnych poziomów można znaleźć w publikacji FIPS 140-2 dostępnej w witrynie internetowej instytutu NIST (FIPS PUB 140-2).

Agencje federalne obu krajów dopuszczają ochronę poufnych informacji za pomocą modułów kryptograficznych, które zostały zweryfikowane jako zgodne ze standardem FIPS 140-2.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: