为什么在FIPS模式下可以使用Python md5?

时间:2019-04-11 09:23:12

标签: python python-3.x openssl fips

首先,我确认自己的openssl正确(已编译为FIPS支持)。

# openssl version
OpenSSL 1.0.2q-fips  20 Nov 2018

在正常模式下:

# echo -n 123456 | openssl md5
(stdin)= e10adc3949ba59abbe56e057f20f883e

在FIPS模式下:

# echo -n 123456 | OPENSSL_FIPS=1 openssl md5
Error setting digest md5
139993634896640:error:060A80A3:digital envelope routines:FIPS_DIGESTINIT:disabled for fips:fips_md.c:180:

符合预期。

现在我想验证python的行为是否也符合预期。

我有使用FIPS模式支持编译的python 3.6:

# ./python 
Python 3.6.8 (tags/v3.6.8-dirty:3c6b436a57, Apr 11 2019, 08:44:38) 
[GCC 7.3.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> import ssl
>>> ssl.OPENSSL_VERSION
'OpenSSL 1.0.2q-fips  20 Nov 2018'

我将其设置为FIPS模式:

>>> import ssl
>>> ssl.FIPS_mode_set(1)
>>> ssl.FIPS_mode()
1

现在我尝试验证它是否以FIPS模式运行:

>>> import hashlib
>>> 
>>> m = hashlib.md5()
>>> m.update(b"Nobody inspects")
>>> m.digest()
b'>\xf7)\xcc\xf0\xccV\x07\x9c\xa5F\xd5\x80\x83\xdc\x12'

为什么在FIPS模式下允许md5

编辑

我已验证python正在使用openssl实现:

>>> hashlib.md5
<built-in function openssl_md5>

1 个答案:

答案 0 :(得分:0)

我找到了解决方案。我对 Python 补丁进行了一些更改。

问题是,hashlib 向 OpenSSL 询问所询问的算法。它拒绝 md5。然后,它切换到 md5 的默认实现。我为此做了一个python补丁。

请参阅 GitHub 要点。 https://gist.github.com/goravsingal/48986505b9efedf2c05ffd729b7eae69

另一个问题是,即使您这样做。另一个开发人员可以安装加密模块,该模块公开直接与 Openssl 通信的低级库。 需要专门为此构建加密模块。

https://www.gyanblog.com/security/how-build-patch-python-3.7.9-fips-enable/