Inhaltsverzeichnis
3.2 Windows FIPS Build
Diese Anleitung erklärt, wie Sie OpenSSL mit FIPS 140-3 Unterstützung kompilieren.
Was ist FIPS 140-3?
FIPS 140-3 (Federal Information Processing Standard) ist ein US-amerikanischer Standard für kryptographische Module. Er definiert:
- Welche Algorithmen erlaubt sind
- Wie Schlüssel generiert werden müssen
- Selbsttests beim Start
- Tamper-Detection
Wer braucht FIPS?
| Branche | FIPS erforderlich? |
| ——— | ——————- |
| US-Behörden | Ja |
| EU-Behörden | Oft (BSI empfiehlt) |
| Banken | Meist ja |
| Gesundheitswesen | Oft ja |
| Interne Apps | Selten |
Voraussetzungen
Zusätzlich zu den Standard-Voraussetzungen:
- ☑ NASM ist Pflicht (nicht optional!)
- ☑ Sauberes Build-Verzeichnis
Build-Schritte
Schritt 1: Umgebung vorbereiten
REM Pfad anpassen: Community, Professional oder Enterprise call "%ProgramFiles%\Microsoft Visual Studio\2022\Community\VC\Auxiliary\Build\vcvars64.bat" set PATH=%STRAWBERRY_PERL%\bin;%LOCALAPPDATA%\bin\NASM;%PATH% cd /d %OPENSSL_SRC%
Schritt 2: Mit FIPS konfigurieren
perl Configure VC-WIN64A enable-fips --prefix=D:\Projects\openssl-3.6.0\bin --openssldir=D:\Projects\openssl-3.6.0\bin\ssl
Wichtig: Der Parameter enable-fips aktiviert den FIPS-Provider.
Schritt 3: Kompilieren
nmake
Schritt 4: Installieren (inkl. FIPS)
nmake install_sw install_fips
install_fips installiert den FIPS-Provider und generiert die Modul-Konfiguration!
Ergebnis
Zusätzlich zu den Standard-Dateien:
bin\
├── bin\
│ ├── openssl.exe
│ ├── libcrypto-3-x64.dll
│ └── libssl-3-x64.dll
├── lib\
│ └── ossl-modules\
│ ├── fips.dll # FIPS Provider Modul
│ └── legacy.dll
└── ssl\
├── openssl.cnf
└── fipsmodule.cnf # FIPS Modul-Konfiguration
FIPS aktivieren
openssl.cnf anpassen
Öffnen Sie D:\Projects\openssl-3.6.0\bin\ssl\openssl.cnf und fügen Sie hinzu:
# Am Anfang der Datei openssl_conf = openssl_init [openssl_init] providers = provider_sect alg_section = algorithm_sect [provider_sect] fips = fips_sect base = base_sect [fips_sect] activate = 1 [base_sect] activate = 1 [algorithm_sect] default_properties = fips=yes
FIPS-Modul-Hash generieren
Beim ersten Start muss der FIPS-Modul-Hash berechnet werden:
cd D:\Projects\openssl-3.6.0\bin bin\openssl.exe fipsinstall -out ssl\fipsmodule.cnf -module lib\ossl-modules\fips.dll
FIPS-Modus prüfen
set OPENSSL_CONF=D:\Projects\openssl-3.6.0\bin\ssl\openssl.cnf # Provider auflisten openssl list -providers
Erwartete Ausgabe:
Providers:
base
name: OpenSSL Base Provider
version: 3.6.0
status: active
fips
name: OpenSSL FIPS Provider
version: 3.6.0
status: active
FIPS-Algorithmen testen
Im FIPS-Modus sind nur bestimmte Algorithmen erlaubt:
# Erlaubte Hash-Algorithmen openssl list -digest-algorithms # Sollte zeigen: SHA256, SHA384, SHA512, SHA3-* # NICHT: MD5, SHA1 (im FIPS-Modus deaktiviert)
# Erlaubte Signatur-Algorithmen openssl list -signature-algorithms # Sollte zeigen: RSA-PSS, ECDSA, ML-DSA
Wichtige Hinweise
FIPS-Compliance ist mehr als nur der Build!
Für echte FIPS-Zertifizierung benötigen Sie:
- OpenSSL FIPS-validierte Version (prüfen Sie die CMVP-Liste)
- Korrekte Konfiguration ohne nicht-FIPS-Algorithmen
- Dokumentierte Key Ceremony
- Security Policy
Nicht-FIPS-Algorithmen im FIPS-Modus:
| Algorithmus | FIPS-Status |
| ————- | ————- |
| MD5 | ❌ Nicht erlaubt |
| SHA1 | ⚠️ Nur für Kompatibilität |
| DES | ❌ Nicht erlaubt |
| 3DES | ⚠️ Auslaufend |
| AES-GCM | ✅ Erlaubt |
| RSA ≥2048 | ✅ Erlaubt |
| ECDSA | ✅ Erlaubt |
| ML-DSA | ✅ Erlaubt |
| ML-KEM | ✅ Erlaubt |
Weiter zu
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
