如何設定及維護具備 FIPS 功能的 OS X Lion 系統
了解如何設定及維護具備 FIPS 功能的 OS X Lion 系統。
OS X Lion 隨附經過 FIPS 驗證的 CDSA/CSP 加密模組,這個模組需要額外的設定步驟,系統才會進入「FIPS 模式」,以便完全符合規範。系統管理者(加密管理者)必須取得 FIPS 管理安裝程式,並安裝於系統。
重要事項:執行任何 OS X Lion 更新(例如透過「軟體更新」)之前,請先停用「FIPS 模式」。否則,電腦可能無法在重新啟動後成功啟動。執行軟體更新之後,加密管理者需要按照「加密管理者角色指南」中的指示重新啟用「FIPS 模式」。
如何安裝 FIPS 管理工具
這裡可以下載 FIPS 管理安裝程式。如需安裝及管理 FIPS 管理工具的完整指示,請參閱「FIPS 管理工具加密管理者角色指南」。
在要安裝工具的電腦上,以管理者的身分登入。
對 FIPS 管理安裝程式套件按兩下。
閱讀「簡介」頁面上的資訊之後,按一下「繼續」。
閱讀「請先閱讀」頁面上的資訊之後,按一下「繼續」。你也可以視需求列印或儲存這個頁面上的資訊。
閱讀「許可證」頁面上的軟體許可協議之後,按一下「繼續」。你也可以視需求列印或儲存這個頁面上的資訊。
如果同意軟體授權條款,請按一下「同意」。否則,請按一下「不同意」,安裝程式將會結束。
選取要安裝 FIPS 管理工具的 Mac OS X 卷宗,然後按一下 Destination Select(目的地選取)頁面上的「繼續」。附註:FIPS 管理工具只能安裝於啟動(開機)卷宗。
按一下「安裝」按鈕。
輸入你的管理者使用者名稱和密碼。
按一下「繼續安裝」。附註:電腦必須在安裝完成後重新啟動。
安裝後,請按一下「重新啟動」。
驗證是否已成功安裝 FIPS 管理工具
確認系統是否處於「FIPS 模式」,即可驗證 FIPS 管理工具的安裝狀態。
在「終端機」視窗中執行下列指令,以驗證系統處於 FIPS 模式:
/usr/sbin/fips/FIPSPerformSelfTest status
結果應該會是:
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED
你可以在另外兩個位置,手動驗證是否已成功安裝 FIPS 管理工具:
第一個驗證位置是 /System/Library/LaunchDaemons/,請找到下列名稱的檔案:
/System/Library/LaunchDaemons/com.apple.fipspost.plist
第二個驗證位置是在安裝期間建立的
/usr/sbin/fips 檔案夾。在該檔案夾中安裝的工具如下:
FIPSPerformSelfTest –(開機自我測試工具)
CryptoKAT –(CRYPTO 演算法已知答案測試工具)
postsig –(DSA/ECDSA 簽名測試工具)
在執行軟體更新前驗證 FIPS 模式已停用
附註:請參閱「FIPS 管理工具加密管理者角色指南」,了解如何停用 FIPS 再執行任何軟體更新。
在「終端機」視窗中執行下列指令,以驗證系統上的 FIPS 模式已停用:
/usr/sbin/fips/FIPSPerformSelfTest status
結果應該會是:
[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED
更多內容
關於 OS X Lion 中經過 FIPS 140-2 驗證的加密模組
OS X Lion 安全性服務現在建立於較新的「新一代加密技術」平台,並從先前於 Mac OS X v10.6 經過驗證的 CDSA/CSP 模組轉換而來。不過,Apple 已於 OS X Lion 重新驗證相同的 CDSA/CSP 模組,以便專為第三方應用程式提供持續驗證。
Common Data Security Architecture(CDSA)是一組分層式安全性服務,當中的 AppleCSP(Apple Cryptographic Service Provider)可以為任何仍在使用 CDSA 的第三方軟體產品提供加密技術。
為進行 FIPS 140-2 驗證程序,AppleCSP 和相關組件統稱為「Apple FIPS 加密模組(軟體版本:1.1)」。這個模組已收到 FIPS 140-2 第 1 級一致性驗證認證 #1701,並發布於 CMVP 網頁,當中列有 Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules(經過驗證的 FIPS 140-1 和 FIPS 140-2 加密模組)。
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701
NIST/CSEC CMVP 和 FIPS 140-2 的背景
加解密模組驗證計畫(CMVP)由美國國家標準暨技術研究院(NIST)建立,這項計畫會驗證加解密模組是否符合聯邦資訊處理標準(FIPS)140-2 和其他加密標準。CMVP 是由 NIST 與加拿大通信安全局(CSEC)合作的成果。
NIST/CSEC CMVP 的主要網站由 NIST 託管,當中包含完整的計畫詳細資料、所有相關標準和文件,以及經過 FIPS 140-1 和 FIPS 140-2 驗證的加密模組官方列表。
FIPS 140-2 專門用於加密模組的安全性需求。這項標準提供四個遞增的定性安全性等級:第 1 級、第 2 級、第 3 級和第 4 級。這些等級涵蓋可能採用加密模組的多種潛在應用程式和環境。如需各個等級的完整描述,請參閱 NIST 網站上的 FIPS 140-2 出版物(FIPS PUB 140-2)。
兩個國家或地區的聯邦機構均接受經過驗證、符合 FIPS 140-2 的加密模組,以保護敏感資訊。
另請參閱:
如何設定和維護具備 FIPS 功能的 Mac OS X v10.6 Snow Leopard 系統
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。