如何設定及維護具備 FIPS 功能的 OS X Lion 系統

了解如何設定及維護具備 FIPS 功能的 OS X Lion 系統。

OS X Lion 隨附經過 FIPS 驗證的 CDSA/CSP 加密模組，這個模組需要額外的設定步驟，系統才會進入「FIPS 模式」，以便完全符合規範。系統管理者（加密管理者）必須取得 FIPS 管理安裝程式，並安裝於系統。

重要事項：執行任何 OS X Lion 更新（例如透過「軟體更新」）之前，請先停用「FIPS 模式」。否則，電腦可能無法在重新啟動後成功啟動。執行軟體更新之後，加密管理者需要按照「加密管理者角色指南」中的指示重新啟用「FIPS 模式」。

如何安裝 FIPS 管理工具

這裡可以下載 FIPS 管理安裝程式。如需安裝及管理 FIPS 管理工具的完整指示，請參閱「FIPS 管理工具加密管理者角色指南」。

1. 在要安裝工具的電腦上，以管理者的身分登入。

2. 對 FIPS 管理安裝程式套件按兩下。

3. 閱讀「簡介」頁面上的資訊之後，按一下「繼續」。

4. 閱讀「請先閱讀」頁面上的資訊之後，按一下「繼續」。你也可以視需求列印或儲存這個頁面上的資訊。

5. 閱讀「許可證」頁面上的軟體許可協議之後，按一下「繼續」。你也可以視需求列印或儲存這個頁面上的資訊。

6. 如果同意軟體授權條款，請按一下「同意」。否則，請按一下「不同意」，安裝程式將會結束。

7. 選取要安裝 FIPS 管理工具的 Mac OS X 卷宗，然後按一下 Destination Select（目的地選取）頁面上的「繼續」。附註：FIPS 管理工具只能安裝於啟動（開機）卷宗。

8. 按一下「安裝」按鈕。

9. 輸入你的管理者使用者名稱和密碼。

10. 按一下「繼續安裝」。附註：電腦必須在安裝完成後重新啟動。

11. 安裝後，請按一下「重新啟動」。

驗證是否已成功安裝 FIPS 管理工具

確認系統是否處於「FIPS 模式」，即可驗證 FIPS 管理工具的安裝狀態。

在「終端機」視窗中執行下列指令，以驗證系統處於 FIPS 模式：


/usr/sbin/fips/FIPSPerformSelfTest status

結果應該會是：

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : ENABLED

你可以在另外兩個位置，手動驗證是否已成功安裝 FIPS 管理工具：

• 第一個驗證位置是 /System/Library/LaunchDaemons/，請找到下列名稱的檔案：

  • /System/Library/LaunchDaemons/com.apple.fipspost.plist

• 第二個驗證位置是在安裝期間建立的

  • /usr/sbin/fips 檔案夾。在該檔案夾中安裝的工具如下：

    • FIPSPerformSelfTest –（開機自我測試工具）

    • CryptoKAT –（CRYPTO 演算法已知答案測試工具）

    • postsig –（DSA/ECDSA 簽名測試工具）

在執行軟體更新前驗證 FIPS 模式已停用

附註：請參閱「FIPS 管理工具加密管理者角色指南」，了解如何停用 FIPS 再執行任何軟體更新。

在「終端機」視窗中執行下列指令，以驗證系統上的 FIPS 模式已停用：

/usr/sbin/fips/FIPSPerformSelfTest status

結果應該會是：

[FIPSPerformSelfTest][ModeStatus] FIPS Mode Status : DISABLED

更多內容

關於 OS X Lion 中經過 FIPS 140-2 驗證的加密模組

OS X Lion 安全性服務現在建立於較新的「新一代加密技術」平台，並從先前於 Mac OS X v10.6 經過驗證的 CDSA/CSP 模組轉換而來。不過，Apple 已於 OS X Lion 重新驗證相同的 CDSA/CSP 模組，以便專為第三方應用程式提供持續驗證。

Common Data Security Architecture（CDSA）是一組分層式安全性服務，當中的 AppleCSP（Apple Cryptographic Service Provider）可以為任何仍在使用 CDSA 的第三方軟體產品提供加密技術。

為進行 FIPS 140-2 驗證程序，AppleCSP 和相關組件統稱為「Apple FIPS 加密模組（軟體版本：1.1）」。這個模組已收到 FIPS 140-2 第 1 級一致性驗證認證 #1701，並發布於 CMVP 網頁，當中列有 Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules（經過驗證的 FIPS 140-1 和 FIPS 140-2 加密模組）。

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm#1701

NIST/CSEC CMVP 和 FIPS 140-2 的背景

加解密模組驗證計畫（CMVP）由美國國家標準暨技術研究院（NIST）建立，這項計畫會驗證加解密模組是否符合聯邦資訊處理標準（FIPS）140-2 和其他加密標準。CMVP 是由 NIST 與加拿大通信安全局（CSEC）合作的成果。

NIST/CSEC CMVP 的主要網站由 NIST 託管，當中包含完整的計畫詳細資料、所有相關標準和文件，以及經過 FIPS 140-1 和 FIPS 140-2 驗證的加密模組官方列表。

FIPS 140-2 專門用於加密模組的安全性需求。這項標準提供四個遞增的定性安全性等級：第 1 級、第 2 級、第 3 級和第 4 級。這些等級涵蓋可能採用加密模組的多種潛在應用程式和環境。如需各個等級的完整描述，請參閱 NIST 網站上的 FIPS 140-2 出版物（FIPS PUB 140-2）。

兩個國家或地區的聯邦機構均接受經過驗證、符合 FIPS 140-2 的加密模組，以保護敏感資訊。

另請參閱：

• 如何設定和維護具備 FIPS 功能的 Mac OS X v10.6 Snow Leopard 系統

• Mac OS X v10.6 Snow Leopard 的 FIPS 管理安裝程式

• FIPS 管理工具加密管理者角色指南（Mac OS X v10.6）