4.3 Validacija FIPS Načina

Ova stranica pokazuje kako validirati FIPS način vaše OpenSSL instalacije.

Provjera FIPS Providera

$openssl = "D:\Projects\openssl-3.6.0\bin\bin\openssl.exe"
 
# Postavi okruženje
$env:OPENSSL_CONF = "D:\Projects\openssl-3.6.0\bin\ssl\openssl.cnf"
 
# Izlistaj providere
& $openssl list -providers

S aktivnim FIPS-om:

Providers:
  base
    name: OpenSSL Base Provider
    version: 3.6.0
    status: active
  fips
    name: OpenSSL FIPS Provider
    version: 3.6.0
    status: active

Bez FIPS-a:

Providers:
  default
    name: OpenSSL Default Provider
    version: 3.6.0
    status: active

Provjera FIPS Algoritama

U FIPS načinu, dostupni su samo certificirani algoritmi.

Dozvoljeni Hash Algoritmi

& $openssl list -digest-algorithms

FIPS dozvoljeno:

SHA-256, SHA-384, SHA-512
SHA3-256, SHA3-384, SHA3-512
SHAKE128, SHAKE256

FIPS nije dozvoljeno:

~~MD5~~
~~SHA1~~ (samo za kompatibilnost)
~~MD4~~

FIPS Samotestovi

FIPS provider izvršava samotestove pri učitavanju:

# Verbose način za izlaz samotestova
$env:OPENSSL_FIPS_TEST = "1"
& $openssl list -providers

Ako samotestovi ne uspiju, FIPS provider neće biti aktiviran!

Provjera Integriteta FIPS Modula

FIPS moduli imaju ugrađeni hash za provjeru integriteta:

# Generiraj/provjeri hash FIPS modula
& $openssl fipsinstall -verify -module "D:\Projects\openssl-3.6.0\bin\lib\ossl-modules\fips.dll" -in "D:\Projects\openssl-3.6.0\bin\ssl\fipsmodule.cnf"

Očekivani izlaz:

VERIFY PASSED

Pri grešci:

VERIFY FAILED

Ako VERIFY FAILED: DLL je možda modificiran. Ponovno kompilirajte!

Kontrolna Lista FIPS Usklađenosti

#	Kontrolna točka	Status
—	—————–	——–
1	`enable-fips` korišten pri kompilaciji	☐
2	`fips.dll` prisutan u `ossl-modules/`	☐
3	`fipsmodule.cnf` generiran	☐
4	`openssl.cnf` FIPS provider aktiviran	☐
5	`openssl list -providers` pokazuje FIPS aktivan	☐
6	`fipsinstall -verify` PASSED	☐
7	MD5 blokiran (test)	☐

Nastavite na

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

Inhaltsverzeichnis