Настройка и обслуживание ОС Mac OS X 10.6 Snow Leopard с поддержкой FIPS

Проверенный на соответствие FIPS криптографический модуль, входящий в состав ОС Mac OS X 10.6 Snow Leopard, требует дополнительной настройки для перевода системы в «режим FIPS» для полного соответствия требованиям. Администратор системы (инспектор по криптозащите) должен получить и установить в системе пакет FIPS Administration Installer.

Данная статья была помещена в архив и больше не обновлялась.

Установка инструментов администрирования FIPS Administration

Пакет FIPS Administration Installer можно загрузить здесь. Подробные инструкции по установке модуля FIPS Administration и управлению им см. в документе Обязанности ответственного за шифрование при использовании инструментов администрирования FIPS.

  1. Используя учетную запись администратора, войдите в систему компьютера, на который необходимо установить инструменты.
  2. Дважды щелкните пакет FIPS Administration Installer.
  3. Прочитав информацию на странице «Введение», нажмите кнопку «Продолжить».
  4. Прочитав информацию на странице «Информация», нажмите кнопку «Продолжить». В случае необходимости можно также распечатать или сохранить содержимое этой страницы.
  5. Прочитав лицензионное соглашение об использовании ПО, нажмите кнопку «Продолжить». В случае необходимости можно также распечатать или сохранить содержимое этой страницы.
  6. Нажмите кнопку «Принимаю», если вы принимаете условия использования ПО. Или нажмите кнопку «Не принимаю», чтобы выйти из программы установки.
  7. Выберите том Mac OS X, на который необходимо установить инструменты администрирования FIPS Administration, а затем нажмите кнопку «Продолжить» на странице «Размещение». Инструменты FIPS Administration следует устанавливать только на загрузочный том.
  8. Нажмите кнопку «Установить».
  9. Введите имя и пароль администратора.
  10. Нажмите «Продолжить установку». Помните, что после завершения установки компьютер должен быть перезагружен.
  11. Нажмите кнопку «Перезагрузить».

Проверка того, что инструменты FIPS Administration установлены успешно

Чтобы проверить, установлены ли инструменты FIPS Administration, убедитесь, что система находится в «режиме FIPS».

Проверьте, что система находится в режиме FIPS, выполнив следующую команду в окне программы «Терминал»:

/usr/sbin/fips/FIPSPerformSelfTest status

В результате должна быть выведена следующая строка:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

 
Существует еще два способа вручную проверить успешность установки инструментов FIPS Administration.

  • Первое, проверить каталог
    /System/Library/LaunchDaemons/
    на наличие файла под именем:

    /System/Library/LaunchDaemons/com.apple.fipspost.plist

  • Второе, проверить создаваемую при установке папку
    /usr/sbin/fips
    В эту папку должны быть установлены следующие инструменты:
    • FIPSPerformSelfTest — (Power-On-Self-Test Tool);
    • CryptoKAT — (CRYPTO Algorithm Known Answer Test Tool);
    • postsig — (DSA/ECDSA Signature Test Tool).

Дополнительная информация

О криптографическом модуле, проверенном на соответствие FIPS 140-2 в ОС Mac OS X 10.6

Некоторые службы безопасности в Snow Leopard построены на архитектуре CDSA (общая архитектура безопасности данных).  Архитектура — это набор многоуровневых служб безопасности, в которых AppleCSP (поставщик криптографических услуг Apple) обеспечивает шифрование для всех программных продуктов Apple и сторонних разработчиков, использующих архитектуру CDSA.

В рамках процесса проверки FIPS 140-2 компонент AppleCSP и связанные компоненты обобщенно называются «Криптографический модуль Apple FIPS (версия ПО: 1.0)». Этот модуль получил сертификат проверки соответствия FIPS 140-2 уровню 1 № 1514 и опубликован в списке на веб-странице CMVP «Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules» (Криптографические модули, проверенные на соответствие FIPS 140-1 и FIPS 140-2).

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1514

Справочная информация о NIST/CSEC CMVP и FIPS 140-2

Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) учредил программу проверки криптографических модулей (CMVP), позволяющую проверять соответствие криптографических модулей федеральным стандартам обработки информации (FIPS) 140-2 и другим криптографическим стандартам. CMVP — это результат совместной работы NIST и Учреждения безопасности коммуникаций Канады (CSEC).

Главный веб-сайт, посвященный CMVP NIST/CSEC, размещается в организации NIST и содержит полные сведения о программе, все сопутствующие стандарты и документы, а также официальные списки криптографических модулей, проверенных на соответствие FIPS 140-1 и FIPS 140-2.

Стандарты FIPS 140-2 посвящены именно требованиям к безопасности криптографических модулей. Стандарты описывают четыре качественных уровня безопасности по возрастанию: уровень 1, уровень 2, уровень 3 и уровень 4. Эти уровни могут применяться к различным возможным ситуациям применения и средам, в которых могут быть задействованы криптографические модули.  Подробное описание каждого уровня можно найти в публикации FIPS 140-2 на веб-сайте NIST (FIPS PUB 140-2).

Криптографические модули, прошедшие проверку на соответствие FIPS 140-2, принимаются к использованию федеральными агентствами обеих стран для защиты конфиденциальной информации.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: