Apple actualiza el módulo criptográfico FIPS para OS X 10.7 Lion

30/04/2012 por Carlos Burges

Apple ha publicado la actualización Apple FIPS Cryptographic Module v1.1, un paquete de herramientas de administración criptográfica para el uso del módulo  FIPS 140-2 incluido en OS X 10.7 Lion.

FIPS 140-2 es el acrónimo de Federal Information Processing Standard (estándares federales de procesamiento de la información), publicación 140-2, es un estándar de seguridad de ordenadores del gobierno de los Estados Unidos para la acreditación de módulos criptográficos.

Su título original es Security Requirements for Cryptographic Modules (requerimientos de seguridad para módulos criptográficos), que salió a la luz en 2001 y la última actualización es del 3 de diciembre de 2003.

El Instituto Nacional para la Estandarización y Tecnología (NIST) emitió la serie de publicaciones FIPS 140 para coordinar los requerimientos y estandarización de módulos criptográficos en los que incluye componentes hardware y software. Los departamentos y agencias federales pueden validar que el módulo en uso se ampara en los certificados FIPS 140-1 y 140-2 donde se especifica el nombre exacto del módulo, hardware, software, firma y/o números de versión del componente.

Los módulos criptográficos son creados por el sector privado, o por la comunidad de código abierto, para ser usados por el gobierno de los Estados Unidos y las grandes industrias tales como financieras o de sanidad que recogen, almacenan, transfieren, comparten y distribuyen información "sensible, pero sin clasificar" (SSC). Se puede decir que, FIPS 140-2, el programa de validación de módulos criptográficos, es una unión de esfuerzos entre el NIST y el Centro de Seguridad de las Telecomunicaciones (CSE) del gobierno canadiense.

Los programas de seguridad supervisados por NIST y CSE están enfocados para trabajar con el gobierno y la industria para desarrollar sistemas y redes más seguras, promoviendo y usando instrumentos de evaluación de seguridad, técnicas, servicios y dando soporte a programas de validación, evaluación y prueba; y otras áreas como el desarrollo y mantenimiento de métricas de seguridad, indicadores de evaluación de seguridad y metodologías de evaluación, pruebas y metodología de pruebas, criterios de especificaciones de seguridad, consejos para el uso de productos de prueba y evaluación; investigación en áreas de métodos seguros, actividades de validación de protocolo de seguridad.

FIPS 140-2 define cuatro niveles de seguridad, llamados simplemente de nivel 1 a nivel 4. No se especifica con detalle que nivel de seguridad se requiere para una aplicación concreta. El módulo de Apple ha recibido el certificado de validación de nivel 1 #1701 para su módulo (versión 1.1) y está publicado en la página del CMVP entre la lista de módulos 140-1 y 140-2 validados. [Wikipedia]

La integración de FIPS 140-2 se ha realizado por vez primera en Lion desde el anterior módulo CDSA/CSP en Snow Leopard. Apple, sin embargo, ha revalidado este módulo también para OS X 10.7 Lion de forma que exista una capa de compatibilidad con las aplicaciones anteriores.

Más información sobre el módulo FIPS 140-1 su instalación y mantenimiento en Lion y Snow Leopard en Apple. Descarga de la actualización disponible en Apple.

0
Comentarios