Настройка и обслуживание системы OS X Lion с поддержкой FIPS

Здесь приводятся сведения о настройке и обслуживании системы OS X Lion с поддержкой FIPS.

Данная статья была помещена в архив и больше не обновлялась.

Проверенный на соответствие стандартам FIPS криптографический модуль CDSA/CSP, входящий в состав ОС OS X Lion, требует дополнительной настройки для перевода системы в «Режим FIPS» и полного соответствия требованиям. Администратор системы (ответственный за криптозащиту) должен получить и установить в системе пакет FIPS Administration Installer.

Важно! Перед установкой любых обновлений ОС OS X Lion, например с помощью функции «Обновление ПО», следует отключать «Режим FIPS». Иначе компьютер может не запускаться при последующей перезагрузке. После обновления программного обеспечения ответственному за криптозащиту потребуется снова включить «Режим FIPS», выполнив действия, описанные в документе Crypto Officer Role Guide (Руководство по роли ответственного за криптозащиту).

Установка инструментов FIPS Administration

Пакет FIPS Administration Installer можно загрузить здесь. Подробные инструкции по установке и управлению FIPS Administration см. в документе FIPS Administration Tools Crypto Officer Role Guide (Руководство по роли ответственного за криптозащиту: инструменты FIPS Administration).

  1. Войдите под учетной записью администратора в систему компьютера, на который необходимо установить инструменты.
  2. Дважды щелкните пакет FIPS Administration Installer.
  3. Прочитав информацию на странице приветствия, нажмите кнопку Continue (Продолжить).
  4. Прочитав информацию на странице Read Me, нажмите кнопку Continue (Продолжить). При необходимости можно также распечатать или сохранить информацию на этой странице.
  5. Нажмите кнопку Continue (Продолжить), прочитав лицензионное соглашение на использование ПО на странице License (Лицензия). При необходимости можно также распечатать или сохранить информацию на этой странице.
  6. Нажмите кнопку Agree (Принимаю), если вы принимаете условия использования ПО. Или нажмите кнопку Disagree (Не принимаю), чтобы выйти из программы установки.
  7. Выберите том ОС Mac OS X, на который необходимо установить инструменты FIPS Administration, а затем нажмите кнопку Continue (Продолжить) на странице Destination Select (Размещение). Примечание. Инструменты FIPS Administration следует устанавливать только на загрузочный том.
  8. Нажмите кнопку Install (Установить).
  9. Введите имя и пароль администратора.
  10. Нажмите Continue Installation (Продолжить установку). Примечание. По завершении установки необходимо перезагрузить компьютер.
  11. По завершении установки нажмите Restart (Перезагрузить).

Проверка успешной установки инструментов FIPS Administration

Чтобы узнать, установлены ли инструменты FIPS Administration, удостоверьтесь в том, что система находится в «Режиме FIPS».

Убедитесь, что система находится в режиме FIPS, выполнив следующую команду в окне программы «Терминал»:


/usr/sbin/fips/FIPSPerformSelfTest status

Должно отобразиться следующее:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

Чтобы узнать, установлены ли инструменты FIPS Administration, проверьте наличие следующих файлов в двух расположениях:

  • Первое: проверить в папке /Система/Библиотеки/LaunchDaemons/ наличие файла
    • /Система/Библиотеки/LaunchDaemons/com.apple.fipspost.plist.
  • Второе: проверить папку 
    • /usr/sbin/fips, которая создается при установке. В эту папку должны быть установлены следующие инструменты:
      • FIPSPerformSelfTest — (Power-On-Self-Test Tool);
      • CryptoKAT — (CRYPTO Algorithm Known Answer Test Tool);
      • postsig — (DSA/ECDSA Signature Test Tool).

Проверка отключения режима FIPS перед обновлением ПО

Примечание.Инструкцию по отключению FIPS перед обновлением ПО см. в документе FIPS Administration Tools Crypto Officer Role Guide (Руководство по роли ответственного за криптозащиту: инструменты FIPS Administration).

Убедитесь, что режим FIPS отключен в системе, выполнив следующую команду в окне программы «Терминал»:

/usr/sbin/fips/FIPSPerformSelfTest status

Должно отобразиться следующее:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

Дополнительная информация

Сведения о проверенном на соответствие стандартам FIPS 140-2 криптографическом модуле в ОС OS X Lion

При разработке служб безопасности ОС OS X Lion компания Apple отказалась от использования модуля CDSA/CSP, который ранее был проверен в ОС Mac OS X 10.6, в пользу более новой платформы Next Generation Cryptography (криптография следующего поколения). Тем не менее компания Apple повторно проверила работу этого модуля CDSA/CSP в ОС OS X Lion для обеспечения непрерывной проверки исключительно для программ сторонних разработчиков.

CDSA (Common Data Security Architecture, общая архитектура безопасности данных) — это набор многоуровневых служб безопасности, в котором AppleCSP (Apple Cryptographic Service Provider, поставщик криптографических служб Apple) обеспечивает криптографические возможности для всех программных продуктов сторонних разработчиков, которые по-прежнему работают с архитектурой CDSA.

В рамках процесса проверки FIPS 140-2 компонент AppleCSP и связанные компоненты обобщенно называются «Криптографический модуль Apple FIPS (версия ПО: 1.1)». Этот модуль получил сертификат проверки соответствия FIPS 140-2 уровню 1 № 1701 и опубликован в списке на веб-странице CMVP Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules (Криптографические модули, проверенные на соответствие стандартам FIPS 140-1 и FIPS 140-2).

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Справочная информация о NIST/CSEC CMVP и FIPS 140-2

Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) учредил программу проверки криптографических модулей (CMVP), позволяющую проверять соответствие криптографических модулей федеральным стандартам обработки информации (FIPS) 140-2 и другим криптографическим стандартам. CMVP — это результат совместной работы NIST и Учреждения безопасности коммуникаций Канады (CSEC).

Главный веб-сайт о CMVP NIST/CSEC, созданный организацией NIST, содержит подробные сведения о программе, все сопутствующие стандарты и документы, а также официальные списки криптографических модулей, проверенных на соответствие FIPS 140-1 и FIPS 140-2.

В стандартах FIPS 140-2 описаны требованиям к безопасности криптографических модулей. Стандарты описывают четыре качественных уровня безопасности по возрастанию: уровень 1, уровень 2, уровень 3 и уровень 4. Эти уровни могут применяться к различным возможным программам и средам, в которых могут быть задействованы криптографические модули.  Подробное описание каждого уровня можно найти в публикации FIPS 140-2 на веб-сайте NIST (FIPS PUB 140-2).

Криптографические модули, прошедшие проверку на соответствие FIPS 140-2, принимаются к использованию федеральными организациями обеих стран для защиты конфиденциальной информации.

Дополнительную информацию можно найти в перечисленных ниже статьях.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: