1。是否可以在Mac OSX 10.11上使用FIPS构建OpenSSL?
2。在Mac OSX 10.11下是否提供与OpenSSL兼容的DRBG(带有df的AES-256)
答案 0 :(得分:0)
是否可以在Mac OSX 10.11上使用FIPS构建OpenSSL?
是和否。是的,您可以 构建 FIPS对象模块和FIPS Capable OpenSSL库(强调 build )。< / p>
不,因为它不是经过验证的平台。看起来唯一的OS X验证平台是x86-64上的Apple OS X 10.7。请参阅User Guide for the OpenSSL FIPS Object Module v2.0中的第3节“兼容平台”。
Mac OS X 10.11下是否提供与OpenSSL兼容的DRBG(带有df的AES-256)
是的,Apple有一些经过验证的DRBG。请参阅Apple的1091证书以及NIST's DRBG Validation List的 CTR_DRBG 。您可能也对NIST's Algorithm Validation Lists感兴趣。
我知道Apple强烈建议使用CommonCrypto ......
我认为这意味着什么。 Apple生产CommonCrypto,当然他们会推荐它!
Apple没有告诉你的是他们默默地放弃了操作系统,框架和库。因此,一旦你将某些东西与他们的图书馆联系起来,你就会变得脆弱,因为他们不会向他们提供补救措施。
例如,Apple从未向后移植ECDHE-ECDSA bug fix in SecureTransport,因此该领域存在问题。另一个例子是,Apple从未向后移植CVE-2014-1266 SecrueTransport's Goto Fail修复,因此该领域存在问题。再举一个例子,苹果用了3年的时间来修复Billion Laughs的XML解析器。再举一个例子,Apple从未修复CVE-2015-1130 (Hidden Backdoor with Root),因此该领域存在问题。
Apple也臭名昭着for releasing untested and substandard software。
Apple还隐藏了修补程序和修补程序,waits to provide them with their next latest-and-greatest OS press release。
因此,从架构和设计的角度来看,我发现最好的课程是避免Apple框架和库。这样,无论Cupertino在做什么,您都可以更新您的应用并关闭安全漏洞和漏洞。无论Apple的行为或缺乏行动,用户都将享受您更新的应用程序。
另请参阅OWASP移动安全邮件列表中的Mobile Development Architecture (Vendor Patching vs App Updates)?。