Настройка и обслуживание системы OS X Lion с поддержкой FIPS

Узнайте, как настроить и обслуживать систему OS X Lion с поддержкой FIPS.

Проверенный на соответствие стандартам FIPS криптографический модуль CDSA/CSP, входящий в состав OS X Lion, требует дополнительной настройки для перевода системы в режим FIPS и полного соответствия требованиям. Администратор системы (ответственный за криптозащиту) должен получить и инсталлировать в системе пакет установщика средств администрирования FIPS.

Важно! Перед установкой любых обновлений для OS X Lion, например с помощью функции «Обновление ПО», следует отключать режим FIPS. Иначе компьютер может не запускаться при последующем перезапуске. После обновления программного обеспечения ответственному за криптозащиту потребуется снова включить режим FIPS, выполнив действия, описанные в руководстве по роли ответственного за криптозащиту.

Установка средств администрирования FIPS

Пакет установщика средств администрирования FIPS можно загрузить здесь. Подробные инструкции по инсталляции пакета установщика средств администрирования и управлению им см. в документе Руководство по роли ответственного за криптозащиту: средства администрирования FIPS.

1. Войдите под учетной записью администратора в систему компьютера, на который необходимо установить средства.

2. Дважды нажмите пакет установщика средств администрирования FIPS.

3. Нажмите «Продолжить», прочитав информацию на странице «Введение».

4. Нажмите «Продолжить», прочитав информацию на странице «Информация». При необходимости вы также можете распечатать или сохранить информацию с этой страницы.

5. Нажмите «Продолжить», прочитав лицензионное соглашение об использовании программного обеспечения на странице «Лицензия». При необходимости вы также можете распечатать или сохранить информацию с этой страницы.

6. Нажмите «Принимаю», если вы согласны с условиями лицензии на использование программного обеспечения. В противном случае нажмите «Не принимаю», чтобы выйти из приложения установки.

7. Выберите том Mac OS X, на который необходимо установить средства администрирования FIPS, а затем нажмите кнопку «Продолжить» на странице «Размещение». Примечание. Средства администрирования FIPS следует устанавливать только на загрузочный том.

8. Нажмите кнопку «Установить».

9. Введите имя пользователя и пароль администратора.

10. Нажмите кнопку «Продолжить установку». Примечание. По завершении установки необходимо перезапустить компьютер.

11. По завершении установки нажмите «Перезапустить».

Проверка успешной установки средств администрирования FIPS

Чтобы узнать, установлены ли средства администрирования FIPS, удостоверьтесь в том, что система находится в режиме FIPS.

Убедитесь, что система находится в режиме FIPS, выполнив в окне приложения «Терминал» следующую команду.


/usr/sbin/fips/FIPSPerformSelfTest status

Результат должен выглядеть следующим образом.

[FIPSPerformSelfTest][ModeStatus] Статус режима FIPS : ВКЛЮЧЕН

Чтобы узнать, установлены ли средства администрирования FIPS, проверьте наличие следующих файлов в двух расположениях.

• Первое: проверить в папке /System/Library/LaunchDaemons/ наличие следующего файла.

  • /System/Library/LaunchDaemons/com.apple.fipspost.plist

• Второе: проверить папку

  • /usr/sbin/fips, которая создается при установке. В эту папку должны быть установлены следующие инструменты.

    • FIPSPerformSelfTest — (Инструмент самотестирования при включении)

    • CryptoKAT — (Инструмент проверки известного ответа в рамках алгоритма CRYPTO)

    • postsig — (DSA/ECDSA Signature Test Tool)

Проверка отключения режима FIPS перед обновлением ПО

Примечание. Инструкцию по отключению FIPS перед обновлением ПО см. в документе Руководство по роли ответственного за криптозащиту: средства администрирования FIPS.

Убедитесь, что режим FIPS отключен в системе, выполнив в окне приложения «Терминал» следующую команду.

/usr/sbin/fips/FIPSPerformSelfTest status

Результат должен выглядеть следующим образом.

[FIPSPerformSelfTest][ModeStatus] Статус режима FIPS : ОТКЛЮЧЕН

Дополнительная информация

Сведения о проверенном на соответствие стандартам FIPS 140-2 криптографическом модуле в OS X Lion

При разработке служб безопасности OS X Lion компания Apple отказалась от использования модуля CDSA/CSP, который ранее был проверен в Mac OS X 10.6, в пользу более новой платформы «криптографии следующего поколения». Тем не менее в Apple повторно проверили работу этого модуля CDSA/CSP в OS X Lion для обеспечения непрерывной проверки исключительно для приложений сторонних разработчиков.

CDSA (Common Data Security Architecture, общая архитектура безопасности данных) — это набор многоуровневых служб безопасности, в котором AppleCSP (Apple Cryptographic Service Provider, поставщик криптографических служб Apple) обеспечивает криптографические возможности для всех программных продуктов сторонних разработчиков, которые по-прежнему работают с архитектурой CDSA.

В рамках процесса проверки FIPS 140-2 AppleCSP и связанные компоненты обобщенно называются криптографическим модулем Apple FIPS (версия ПО: 1.1). Этот модуль получил сертификат проверки соответствия FIPS 140-2 уровня 1 № 1701 и опубликован в списке на странице CMVP о криптографических модулях, проверенных на соответствие стандартам FIPS 140-1 и FIPS 140-2.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Справочная информация о CMVP и FIPS 140-2 от NIST/CSEC

Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) учредил программу проверки криптографических модулей (CMVP), позволяющую проверять соответствие криптографических модулей федеральным стандартам обработки информации (FIPS) 140-2 и другим криптографическим стандартам. CMVP — это результат совместной работы NIST и Учреждения безопасности коммуникаций Канады (Communications Security Establishment Canada, CSEC).

Главный веб-сайт о CMVP от NIST/CSEC, созданный организацией NIST, содержит подробные сведения о программе, все сопутствующие стандарты и документы, а также официальные списки криптографических модулей, проверенных на соответствие стандартам FIPS 140-1 и FIPS 140-2.

Стандарты FIPS 140-2 посвящены именно требованиям к безопасности криптографических модулей. Стандарты описывают четыре качественных уровня безопасности по возрастанию: уровень 1, уровень 2, уровень 3 и уровень 4. Эти уровни могут применяться к различным возможным ситуациям применения и средам, в которых могут быть задействованы криптографические модули. Полное описание каждого уровня можно найти в публикации FIPS 140-2 на веб-сайте NIST (публикация FIPS 140-2).

Криптографические модули, прошедшие проверку на соответствие FIPS 140-2, принимаются к использованию федеральными агентствами обеих стран для защиты конфиденциальной информации.

Дополнительную информацию можно найти в следующих статьях.

• Настройка и обслуживание системы Mac OS X 10.6 Snow Leopard с поддержкой FIPS

• Пакет установщика средств администрирования FIPS для Mac OS X 10.6 Snow Leopard

• Руководство по роли ответственного за криптозащиту: средства администрирования FIPS (Mac OS X 10.6)