如何设置及维护已启用 FIPS 的 OS X Lion 系统

了解如何设置及维护已启用 FIPS 的 OS X Lion 系统。

本文章已经归档,因此 Apple 将不再对其进行更新。

随附 OS X Lion 的已验证 FIPS 的 CDSA/CSP 加密模块需要额外的设置步骤将系统置于“FIPS 模式”以完全遵从。FIPS 管理安装器必须由系统管理员(加密主管)在系统上获取并安装。

重要信息:在执行任何 OS X Lion 更新(如通过“软件更新”)前,您应该停用“FIPS 模式”。否则,电脑可能会在重新启动后无法成功启动。执行软件更新后,“加密主管”将需要按照“加密主管”角色指南中的说明重新启用“FIPS 模式”。

如何安装 FIPS 管理工具

可在此处获取 FIPS 管理安装器。有关 FIPS 管理安装和管理的完整说明,请参阅“FIPS 管理工具‘加密主管’角色指南”。

  1. 在要安装工具的电脑上以管理员身份登录。
  2. 连按 FIPS 管理安装器软件包。
  3. 阅读“介绍”页面上的信息后点按“继续”。
  4. 阅读“请先阅读”页面上的信息后点按“继续”。您也可以根据需要打印或存储此页面上的信息。
  5. 阅读“许可”页面上的“软件许可协议”后点按“继续”。您也可以根据需要打印或存储此页面上的信息。
  6. 如果您同意软件许可的条款,请点按“同意”。否则,请点按“不同意”,安装器将退出。
  7. 选择 Mac OS X 宗卷来安装 FIPS 管理工具,然后在“目的宗卷”页面上点按“继续”。:FIPS 管理工具只应在启动(引导)宗卷上安装。
  8. 点按“安装”按钮。
  9. 输入您的管理员用户名和密码。
  10. 点按“继续安装”。:安装完成后必须立即重新启动电脑。
  11. 安装完成后,点按“重新启动”。

如何验证 FIPS 管理工具已成功安装

可通过确保系统处于“FIPS 模式”来验证 FIPS 管理工具安装。

在“终端”窗口中执行以下命令来验证系统处于“FIPS 模式”:


/usr/sbin/fips/FIPSPerformSelfTest status

结果应如下所示:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

您可以在其他两个位置手动验证 FIPS 管理工具已成功安装:

  • 要验证的第一个位置是“/系统/资源库/LaunchDaemons/”中名称如下所示的文件:
    • /系统/资源库/LaunchDaemons/com.apple.fipspost.plist
  • 要验证的第二个位置是
    • 安装过程中创建的“/usr/sbin/fips”文件夹。在该文件夹中安装的工具为:
      • FIPSPerformSelfTest –(开机自检工具)
      • CryptoKAT –(CRYPTO 算法已知答案测试工具)
      • postsig –(DSA/ECDSA 签名测试工具)

如何验证在执行软件更新前已停用“FIPS 模式”

注:请参阅“FIPS 管理工具‘加密主管’角色指南”了解有关在执行任何软件更新之前如何停用 FIPS 的信息。

通过在“终端”窗口中执行以下命令来验证已在系统上停用“FIPS 模式”:

/usr/sbin/fips/FIPSPerformSelfTest status

结果应如下所示:

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

了解详情

关于 OS X Lion 中已验证 FIPS 140-2 的加密模块

OS X Lion 安全服务如今构建于更新的“下一代加密”平台上并且已从之前在 Mac OS X v10.6 上验证的 CDSA/CSP 模块进行了转变。但是,Apple 已重新验证 OS X Lion 下的相同 CDSA/CSP 模块以单独为第三方应用软件提供持续的验证。

通用数据安全体系 (CDSA) 是一组分层的安全服务,在该服务中 AppleCSP(Apple 加密服务供应商)为仍然使用 CDSA 的所有第三方软件产品提供加密。

就 FIPS 140-2 验证过程而言,AppleCSP 及相关组件统称为“Apple FIPS 加密模块(软件版本:1.1)”。此模块已收到 FIPS 140-2 级别 1 一致性验证证书编号 1701,并被发布至列有“已验证 FIPS 140-1 和 FIPS 140-2 的加密模块”的 CMVP 网页。

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

NIST/CSEC CMVP 和 FIPS 140-2 的背景信息

美国国家标准与技术研究所 (NIST) 建立了加密模块验证计划 (CMVP),该计划根据联邦信息处理标准 (FIPS) 140-2 和其他基于加密的标准验证加密模块。CMVP 是 NIST 和加拿大通讯安全协会 (CSEC) 共同努力的成果。

NIST/CSEC CMVP 的主网站由 NIST 托管,包含有关此计划的完整详细信息、所有相关的标准和文稿,以及 FIPS 140-1 和 FIPS 140-2 已验证的加密模块的官方列表。

FIPS 140-2 特指针对加密模块的安全要求。此标准提供四个递增的、质量上的安全级别:级别 1、级别 2、级别 3 和级别 4。这些级别的目的在于涵盖可以在其中使用加密模块的多种潜在应用软件和环境。可以在 NIST 网站 (FIPS PUB 140-2) 上的 FIPS 140-2 出版物内找到每个级别的完整描述。

已验证为符合 FIPS 140-2 的加密模块被这两个国家的联邦机构所接受,以用来保护敏感信息。

另请参阅:

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: