首先,我确认自己的openssl正确(已编译为FIPS支持)。
# openssl version
OpenSSL 1.0.2q-fips 20 Nov 2018
在正常模式下:
# echo -n 123456 | openssl md5
(stdin)= e10adc3949ba59abbe56e057f20f883e
在FIPS模式下:
# echo -n 123456 | OPENSSL_FIPS=1 openssl md5
Error setting digest md5
139993634896640:error:060A80A3:digital envelope routines:FIPS_DIGESTINIT:disabled for fips:fips_md.c:180:
符合预期。
现在我想验证python的行为是否也符合预期。
我有使用FIPS模式支持编译的python 3.6:
# ./python
Python 3.6.8 (tags/v3.6.8-dirty:3c6b436a57, Apr 11 2019, 08:44:38)
[GCC 7.3.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> import ssl
>>> ssl.OPENSSL_VERSION
'OpenSSL 1.0.2q-fips 20 Nov 2018'
我将其设置为FIPS模式:
>>> import ssl
>>> ssl.FIPS_mode_set(1)
>>> ssl.FIPS_mode()
1
现在我尝试验证它是否以FIPS模式运行:
>>> import hashlib
>>>
>>> m = hashlib.md5()
>>> m.update(b"Nobody inspects")
>>> m.digest()
b'>\xf7)\xcc\xf0\xccV\x07\x9c\xa5F\xd5\x80\x83\xdc\x12'
为什么在FIPS模式下允许md5?
我已验证python正在使用openssl实现:
>>> hashlib.md5
<built-in function openssl_md5>
答案 0 :(得分:0)
我找到了解决方案。我对 Python 补丁进行了一些更改。
问题是,hashlib 向 OpenSSL 询问所询问的算法。它拒绝 md5。然后,它切换到 md5 的默认实现。我为此做了一个python补丁。
请参阅 GitHub 要点。 https://gist.github.com/goravsingal/48986505b9efedf2c05ffd729b7eae69
另一个问题是,即使您这样做。另一个开发人员可以安装加密模块,该模块公开直接与 Openssl 通信的低级库。 需要专门为此构建加密模块。
见https://www.gyanblog.com/security/how-build-patch-python-3.7.9-fips-enable/