如何设置和维护已启用 FIPS 的 OS X Lion 系统
了解如何设置和维护已启用 FIPS 的 OS X Lion 系统。
OS X Lion 随附的通过 FIPS 验证的 CDSA/CSP 加密模块需要额外的设置步骤,才能将系统置于“FIPS 模式”以实现完全合规。FIPS 管理安装器必须由系统管理员(加密主管)获取并安装到系统上。
重要信息:在进行任何 OS X Lion 更新(例如通过“软件更新”)之前,你应该停用“FIPS 模式”。否则,电脑在重新启动后可能无法成功启动。完成软件更新后,“加密主管”将需要按照“加密主管”角色指南中的说明重新启用“FIPS 模式”。
如何安装 FIPS 管理工具
FIPS 管理安装器可在这里获取。有关 FIPS 管理工具的完整安装和管理说明,请参考“FIPS Administration Tools Crypto Officer Role Guide”(FIPS 管理工具“加密主管”角色指南)。
在要安装工具的电脑上以管理员身份登录。
连按两下 FIPS 管理安装器软件包。
阅读“介绍”页面上的信息,然后点按“继续”。
阅读“请先阅读”页面上的信息,然后点按“继续”。你还可以根据需要打印或存储这个页面上的信息。
阅读“许可”页面上的“软件许可协议”,然后点按“继续”。你还可以根据需要打印或存储这个页面上的信息。
如果你同意软件许可的条款,请点按“同意”。否则,请点按“不同意”,这时安装器将会退出。
选择要安装 FIPS 管理工具的 Mac OS X 宗卷,然后在“目的宗卷”页面上点按“继续”。注:FIPS 管理工具应仅安装在启动宗卷上。
点按“安装”按钮。
输入你的管理员用户名和密码。
点按“继续安装”。注:安装完成后必须重新启动电脑。
安装完成后,点按“重新启动”。
验证 FIPS 管理工具已成功安装
可通过确保系统处于“FIPS 模式”来验证 FIPS 管理工具已安装。
在“终端”窗口中执行以下命令来验证系统处于“FIPS 模式”:
/usr/sbin/fips/FIPSPerformSelfTest status
结果应如下所示:
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED
你可以在其他两个位置手动验证 FIPS 管理工具已成功安装:
要验证的第一个位置是“/系统/资源库/LaunchDaemons/”,查找名称如下的文件:
/系统/资源库/LaunchDaemons/com.apple.fipspost.plist
要验证的第二个位置是
安装过程中创建的“/usr/sbin/fips”文件夹。在这个文件夹中安装的工具为:
FIPSPerformSelfTest –(Power-On-Self-Test Tool)(开机自检工具)
CryptoKAT – (CRYPTO Algorithm Known Answer Test Tool)(CRYPTO 算法已知答案测试工具)
postsig – (DSA/ECDSA Signature Test Tool)(DSA/ECDSA 签名测试工具)
在进行软件更新前验证“FIPS 模式”已停用
注:请参阅“FIPS Administration Tools Crypto Officer Role Guide”(FIPS 管理工具“加密主管”角色指南),了解有关在进行任何软件更新之前如何停用 FIPS 的信息。
通过在“终端”窗口中执行以下命令来验证已在系统上停用“FIPS 模式”:
/usr/sbin/fips/FIPSPerformSelfTest status
结果应如下所示:
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED
进一步了解
关于 OS X Lion 中通过 FIPS 140-2 验证的加密模块
OS X Lion 安全服务如今构建于更新的“下一代加密”平台,并已从之前在 Mac OS X v10.6 上通过验证的 CDSA/CSP 模块进行了转变。不过,Apple 已重新验证 OS X Lion 下的相同 CDSA/CSP 模块以单独为第三方应用程序持续提供验证。
Common Data Security Architecture (CDSA) 是一组分层的安全服务,其中的 AppleCSP (Apple Cryptographic Service Provider) 为仍在使用 CDSA 的所有第三方软件产品提供加密技术。
就 FIPS 140-2 验证过程而言,AppleCSP 及相关组件统称为“Apple FIPS 加密模块(软件版本:1.1)”。这个模块已收到 FIPS 140-2 1 级一致性验证证书 #1701,并被发布至列有“Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules”(通过 FIPS 140-1 和 FIPS 140-2 验证的加密模块)的 CMVP 网页。
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701
NIST/CSEC CMVP 和 FIPS 140-2 的背景信息
美国国家标准与技术研究所 (NIST) 制定了加密模块验证计划 (CMVP),这项计划根据联邦信息处理标准 (FIPS) 140-2 和其他基于加密的标准验证加密模块。CMVP 是 NIST 和加拿大通讯安全协会 (CSEC) 共同努力的成果。
NIST/CSEC CMVP 的主网站由 NIST 托管,包含有关这项计划的完整详细信息、所有相关的标准和文稿,以及通过 FIPS 140-1 和 FIPS 140-2 验证的加密模块的官方列表。
FIPS 140-2 特指针对加密模块的安全要求。这项标准提供了四个递增的安全定性级别:级别 1、级别 2、级别 3 和级别 4。这些级别能够涵盖可以使用加密模块的各种潜在应用程序和环境。NIST 网站 (FIPS PUB 140-2) 上的 FIPS 140-2 出版物完整地介绍了每个级别。
经验证符合 FIPS 140-2 的加密模块已被这两个国家的联邦机构认可,可用来保护敏感信息。
另请参阅:
如何设置和维护已启用 FIPS 的 Mac OS X v10.6 Snow Leopard 系统
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。
