Så konfigurerar och underhåller du ett FIPS-aktiverat OS X Lion-system

Läs om hur du konfigurerar och underhåller ett FIPS-aktiverat OS X Lion-system.

Den FIPS-validerade kryptografiska CDSA/CSP-modulen som levereras med OS X Lion kräver ett ytterligare installationssteg för att systemet ska kunna försättas i ”FIPS-läge” för fullständig efterlevnad. Installationsprogrammet för FIPS-administration måste hämtas och installeras på systemet av systemadministratören (Crypto Officer).

Viktigt! Innan du utför några OS X Lion-uppdateringar, till exempel via Programuppdatering, bör du inaktivera FIPS-läget. Annars kanske datorn inte fungerar som den ska efter start. När du har utfört programuppdateringen måste Crypto Officer återaktivera FIPS-läget enligt anvisningarna i Guiden för Crypto Officer-rollen.

Så installerar du FIPS Administration-verktygen

Installationsprogrammet för FIPS-administration är tillgängligt här. Fullständiga anvisningar om installation och hantering av FIPS-administration finns i Guiden för FIPS-administratörsverktyg för Crypto Officer-rollen.

1. Logga in som administratör på datorn där verktygen ska installeras.

2. Dubbelklicka på FIPS Administration Installer-paketet.

3. Klicka på Fortsätt efter att ha läst informationen på sidan Introduktion.

4. Klicka på Fortsätt efter att ha läst informationen på sidan Läs mig. Du kan också skriva ut eller spara informationen på denna sida efter behov.

5. Klicka på Fortsätt efter att ha läst mjukvarulicensavtalet på sidan Licens. Du kan också skriva ut eller spara informationen på denna sida efter behov.

6. Klicka på Godkänn om du godkänner villkoren i mjukvarulicensen. Annars klickar du på Håller inte med så avslutas installationsprogrammet.

7. Välj Mac OS X-skivan för att installera FIPS Administration-verktygen och klicka sedan på Fortsätt på sidan Välj destination. Obs! FIPS Administration-verktygen ska bara installeras på startskivan.

8. Klicka på knappen Installera.

9. Ange administratörens användarnamn och lösenord.

10. Klicka på Fortsätt med installationen. Obs! datorn måste startas om när installationen har genomförts.

11. När installationen har genomförts klickar du på Starta om.

Så här verifierar du att FIPS-administrationsverktygen har installerats

Du kan verifiera installationen av FIPS-administrationsverktyget genom att se till att systemet är i FIPS-läge.

Kontrollera att systemet är i FIPS-läge genom att köra följande i ett Terminal-fönster:


Status för /usr/sbin/fips/FIPSPerformSelfTest

Resultatet ska vara:

[FIPSPerformSelfTest][ModeStatus] Status för FIPS-läge: AKTIVERAT

Det finns två andra platser där du manuellt kan verifiera att FIPS-administrationsverktygen har installerats:

• Den första platsen där du kan verifiera är /System/Library/LaunchDaemons/ för filen som heter:

  • /System/Library/LaunchDaemons/com.apple.fipspost.plist

• Den andra platsen där du kan verifiera finns i

  • mappen /usr/sbin/fips som skapas under installationen. Verktygen som installeras i den mappen är:

    • FIPSPerformSelfTest – (självtestverktyg för aktivering)

    • CryptoKAT – (Testverktyg för känt svar för KRYPTOALGORITM)

    • postsig – (testverktyg för signatur i DSA/ECDSA)

Så verifierar du att FIPS-läget har inaktiverats innan en programuppdatering utförs

Obs! Läs Guiden för FIPS-administratörsverktyg för Crypto Officer-rollen för information om hur du inaktiverar FIPS innan du utför några programvaruuppdateringar.

Kontrollera att FIPS-läget har inaktiverats i systemet genom att köra följande i ett Terminal-fönster:

Status för /usr/sbin/fips/FIPSPerformSelfTest

Resultatet ska vara:

[FIPSPerformSelfTest][ModeStatus] Status för FIPS-läge: INAKTIVERAT

Läs mer

Om den validerade kryptografiska FIPS 140-2-modulen i OS X Lion

OS X Lion-säkerhetstjänster bygger nu på en nyare nästa generationens kryptografiplattform och har flyttats över från CDSA-/CSP-modulen som tidigare validerades på Mac OS X v10.6. Apple har dock på nytt validerat samma CDSA/CSP-modul under OS X Lion för att kunna tillhandahålla fortsatt validering enbart för tredjepartsprogram.

CDSA (Common Data Security Architecture) är en uppsättning säkerhetstjänster i flera lager där Apple CSP (Apple Cryptographic Service Provider) tillhandahåller kryptografi för alla programvaruprodukter från tredje part som fortfarande använder CDSA.

Inom valideringsprocessen för FIPS 140-2 omnämns AppleCSP och relaterade komponenter kollektivt som ”Apple FIPS Cryptographic Module (programvaruversion: 1.1)”. Den här modulen har fått FIPS 140-2 Level 1 Conformance Validation-certifikat nr 1 701 och finns publicerad på CMVP-webbplatsen i inlägget ”Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules”.

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

Bakgrund om NIST/CSEC CMVP och FIPS 140-2

National Institute of Standards and Technology (NIST) har inrättat Cryptographic Module Validation Program (CMVP), som verifierar kryptografiska moduler enligt Federal Information Processing Standards (FIPS) 140-2 och andra standarder för kryptografi. CMVP är ett samarbete mellan NIST och Communications Security Establishment Canada (CSEC).

Huvudwebbplatsen för NIST/CSEC CMVP drivs av NIST och innehåller fullständig information om programmet, alla relaterade standarder och dokument samt de officiella listorna över validerade kryptografiska moduler i FIPS 140-1 och FIPS 140-2.

FIPS 140-2 gäller särskilt säkerhetskraven för kryptografiska moduler. Standarden innehåller fyra säkerhetsnivåer av stigande kvalitet: Level 1, Level 2, Level 3 och Level 4. Dessa nivåer är avsedda att omfatta det breda utbudet av potentiella program och miljöer där kryptografiska moduler används. En fullständig beskrivning av varje nivå finns i FIPS 140-2-handboken på NIST:s webbplats (FIPS PUB 140-2).

Kryptografiska moduler som är verifierade enligt FIPS 140-2 godkänns av myndigheterna i båda länderna som skydd för känslig information.

Se även:

• Ställa in och underhålla ett FIPS-aktiverat Mac OS X v10.6 Snow Leopard-system

• Installationsprogram för FIPS-administration för Mac OS X v10.6 Snow Leopard

• Guiden för FIPS-administratörsverktyg för Crypto Officer-rollen (Mac OS X v10.6)