Konfigurowanie i obsługa systemu OS X Lion z włączonym trybem FIPS

Dowiedz się, jak skonfigurować i obsługiwać system OS X Lion z włączonym trybem FIPS.

Ten artykuł został zarchiwizowany i nie jest już aktualizowany przez firmę Apple.

Moduł kryptograficzny CDSA/CSP dostarczany z systemem OS X Lion został zweryfikowany pod kątem zgodności ze standardem FIPS. W celu zapewnienia pełnej zgodności należy przełączyć system do trybu FIPS, wykonując dodatkową czynność konfiguracyjną. Administrator systemu (użytkownik zarządzający funkcjami kryptograficznymi) musi pobrać program FIPS Administration Installer i zainstalować je w systemie.

Ważne: przed dokonaniem jakichkolwiek uaktualnień systemu OS X Lion, na przykład za pomocą narzędzia Uaktualnienia oprogramowania, należy wyłączyć tryb FIPS. W przeciwnym razie komputer może nie uruchomić się pomyślnie przy ponownym uruchomieniu. Po przeprowadzeniu uaktualnienia oprogramowania użytkownik zarządzający funkcjami kryptograficznymi musi ponownie włączyć tryb FIPS, wykonując instrukcje podane w dokumencie Crypto Officer Role Guide (Przewodnik dla roli użytkownika zarządzającego funkcjami kryptograficznymi).

Instalowanie narzędzi FIPS Administration Tools

Program FIPS Administration Installer jest dostępny tutaj. Pełne instrukcje dotyczące instalacji narzędzi FIPS Administration Tools i zarządzania zawiera dokument FIPS Administration Tools Crypto Officer Role Guide (Narzędzia FIPS Administration Tools — przewodnik dla roli użytkownika zarządzającego funkcjami kryptograficznymi).

  1. Zaloguj się jako administrator na komputerze, na którym zostaną zainstalowane narzędzia.
  2. Kliknij dwukrotnie pakiet FIPS Administration Installer.
  3. Po przeczytaniu informacji na stronie Introduction (Wprowadzenie) kliknij przycisk Continue (Dalej).
  4. Po przeczytaniu informacji na stronie Read Me (Przeczytaj) kliknij przycisk Continue (Dalej). W razie potrzeby można również wydrukować lub zachować informacje znajdujące się na tej stronie.
  5. Po przeczytaniu umowy licencyjnej oprogramowania na stronie License (Licencja) kliknij przycisk Continue (Dalej). W razie potrzeby można również wydrukować lub zachować informacje znajdujące się na tej stronie.
  6. Jeśli wyrażasz zgodę na warunki licencji oprogramowania, kliknij przycisk Agree (Akceptuję). W przeciwnym razie kliknij przycisk Disagree (Nie akceptuję). Instalator zakończy pracę.
  7. Na stronie Destination Select (Wybór miejsca docelowego) wybierz wolumin systemu Mac OS X, na którym mają zostać zainstalowane narzędzia FIPS Administration Tools, a następnie kliknij przycisk Continue (Dalej). Uwaga: narzędzia FIPS Administration Tools należy instalować tylko na woluminie startowym (rozruchowym).
  8. Kliknij przycisk Install (Instaluj).
  9. Wprowadź nazwę i hasło administratora.
  10. Kliknij przycisk Kontynuuj instalację. Uwaga: po zakończeniu instalacji należy ponownie uruchomić komputer.
  11. Po zakończeniu instalacji kliknij przycisk Restart (Uruchom ponownie).

Aby upewnić się, że narzędzia FIPS Administration Tools zostały pomyślnie zainstalowane

Aby upewnić się, że narzędzia FIPS Administration Tools zostały poprawnie zainstalowane, można sprawdzić, czy system działa w trybie FIPS.

Sprawdź, czy system działa w trybie FIPS, uruchamiając następujące polecenie w oknie programu Terminal:


/usr/sbin/fips/FIPSPerformSelfTest status

Powinien zostać zwrócony wynik:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Poprawność instalacji narzędzi FIPS Administration Tools można sprawdzić ręcznie w dwóch innych miejscach:

  • Sprawdzenie, czy w folderze /System/Biblioteki/LaunchDaemons/ istnieje plik o nazwie:
    • /System/Biblioteki/LaunchDaemons/com.apple.fipspost.plist
  • Sprawdzenie folderu 
    • /usr/sbin/fips, który jest tworzony podczas instalacji. W tym folderze są instalowane następujące narzędzia:
      • FIPSPerformSelfTest — (narzędzie testu Power On Self Test)
      • CryptoKAT – (narzędzie do testowania znanych odpowiedzi algorytmu kryptograficznego)
      • postsig – (narzędzie do testowania podpisów DSA/ECDSA)

Aby sprawdzić, czy tryb FIPS został wyłączony przed uaktualnieniem oprogramowania

Uwaga: informacje o tym, jak wyłączyć tryb FIPS przed przystąpieniem do instalowania uaktualnień oprogramowania, można znaleźć w dokumencie FIPS Administration Tools Crypto Officer Role Guide (Narzędzia FIPS Administration Tools — przewodnik dla roli użytkownika zarządzającego funkcjami kryptograficznymi).

Upewnij się, że tryb FIPS został wyłączony w systemie, uruchamiając następujące polecenie w oknie programu Terminal:

/usr/sbin/fips/FIPSPerformSelfTest status

Powinien zostać zwrócony wynik:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Więcej informacji

Informacje o module kryptograficznym systemu OS X Lion zweryfikowanym pod kątem zgodności ze standardem FIPS 140-2

Usługi zabezpieczeń systemu OS X Lion są obecnie oparte na nowszej platformie kryptografii następnej generacji i zastąpiły wcześniej zweryfikowany moduł CDSA/CSP w systemie Mac OS X 10.6. Jednak firma Apple dokonała ponownej weryfikacji tego samego modułu CDSA/CSP w systemie OS X Lion, aby zapewnić ciągłość weryfikacji wyłącznie na potrzeby aplikacji innych firm.

Architektura CDSA (Common Data Security Architecture) to zestaw usług zabezpieczeń podzielonych na warstwy, w ramach których moduł AppleCSP (Apple Cryptographic Service Provider) zapewnia funkcje kryptograficzne dla oprogramowania innych firm, które nadal korzysta z architektury CDSA.

Na potrzeby weryfikacji pod kątem zgodności ze standardem FIPS 140-2 moduł AppleCSP i powiązane składniki są wspólnie nazywane modułem Apple FIPS Cryptographic Module (wersja oprogramowania: 1.1). Ten moduł otrzymał certyfikat weryfikacji pod kątem zgodności ze standardem FIPS 140-2 poziomu 1 (nr 1701) i został opublikowany na stronie internetowej CMVP przedstawiającej moduły kryptograficzne zweryfikowane pod kątem zgodności ze standardami FIPS 140-1 i FIPS 140-2.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Informacje o programie NIST/CSEC CMVP i standardzie FIPS 140-2

Instytut NIST (National Institute of Standards and Technology) wprowadził program weryfikacji modułów kryptograficznych (CMVP, Cryptographic Module Validation Program) mający na celu weryfikację modułów kryptograficznych pod kątem zgodności ze standardem FIPS (Federal Information Processing Standard) 140-2 i innymi standardami kryptograficznymi. Program CMVP jest prowadzony wspólnie przez instytut NIST i organizację CSEC (Communications Security Establishment Canada).

Główna witryna internetowa programu NIST/CSEC CMVP jest obsługiwana przez instytut NIST i zawiera pełne informacje o programie, wszystkie powiązane standardy i dokumenty, a także oficjalne listy modułów kryptograficznych zweryfikowanych pod kątem zgodności ze standardami FIPS 140-1 i FIPS 140-2.

Standard FIPS 140-2 jest poświęcony wymaganiom dotyczącym zabezpieczeń modułów kryptograficznych. Obejmuje on cztery kolejne poziomy jakości zabezpieczeń: poziom 1, poziom 2, poziom 3 i poziom 4. Te poziomy zostały opracowane w celu uwzględnienia szerokiej gamy potencjalnych zastosowań i środowisk, w których mogą być używane moduły kryptograficzne.  Pełny opis poszczególnych poziomów można znaleźć w publikacji FIPS 140-2 dostępnej w witrynie internetowej instytutu NIST (FIPS PUB 140-2).

Agencje federalne obu krajów dopuszczają ochronę poufnych informacji za pomocą modułów kryptograficznych, które zostały zweryfikowane jako zgodne ze standardem FIPS 140-2.

Zobacz też:

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: