問題タブ [fips]

Windows で実行されているサービス プロジェクトで OpenSSL ライブラリを使用しています。これらのライブラリは、FIPS 準拠として構築されています。32 ビット Windows OS では、サービスは正常に動作します。ただし、64 ビット Windows (Windows Server 2008、Windows 7 など) でプロジェクトを実行しようとすると、プログラムがクラッシュします。

プログラムの出力: .\fips\fips.c(146): OpenSSL internal error, assertion failed: FATAL FIPS SELFTEST FAILURE

そのサービス プロジェクトを実装し、MS Visual Studio 2010 で作業するために C++ を使用しています。さらに、そのプロジェクトを Win32 設定でビルドし、32 ビットでコンパイルされた OpenSSL ライブラリも、それを受け取った 64 ビット プラットフォームで使用しています。エラー。OpenSSL のバージョンは 0.9.8r です。

事前に感謝します。

Java アプリケーションで FIPS 180-3 を有効にしようとしています。FIPS 180-3 では、5 つの安全な [ハッシュ] (http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf) の使用のみが許可されていますが、MD5 はその 1 つではありません。したがって、Sun プロバイダーから MD5 アルゴリズムをプログラムで削除しようとしています。これがサンプルコードです。

しかし、これは次の例外をスローしています。「sun.remove(..」とコメントすると、プログラムは正常に動作します。MD5 の代わりに MD2 を削除すると、正常に動作します。

私には、jre ライブラリが署名に MD5 を使用しているように見えますが、jre/lib/ext/sunjce_provider.jar 署名者とその使用 sha1 を確認しました。

私のコードがこのエラーで失敗する理由は何ですか?

TestRemoveMD5.main(TestRemoveMD5.java:20) での javax.crypto.Cipher.getInstance(DashoA13*..) でのスレッド「メイン」java.lang.ExceptionInInitializerError での例外

原因: java.lang.SecurityException: Cannot set up certs for trusted CAs at javax.crypto.SunJCE_b.(DashoA13*..) ... 3 詳細

原因: java.lang.SecurityException: javax.crypto.SunJCE_b.d(DashoA13*..) で javax.crypto.SunJCE_b.c(DashoA13*..) で javax.crypto.SunJCE_b$1 で署名クラスが改ざんされました.run(DashoA13*..) at java.security.AccessController.doPrivileged(Native Method) ... 4 詳細

androidでfips対応のopensslライブラリ（私の場合はlibcrypto.a）を使用するには、ビルドされたlibcrypto.aをmy.so（JNIコード）にリンクする必要があります。openssl fips 2.0のユーザーマニュアルによると、hmac署名の検証と生成にはfipsldを使用する必要があります。現在、「ndk-build」を使用してlibcrypto.aにリンクし、my.soを生成しています。質問は、fipsldをAndroid.mkに統合するにはどうすればよいですか？

Android.mk / ndk-buildを使用するのが難しい場合は、arm-eabi-gccを使用してlibcrypto.aをリンクし、my.soを作成するように切り替えます。fipsldを使用するgccの方法は、opensslfipsのユーザーマニュアルに記載されています。誰かが私にAndroid用の.soリンク.aを構築するサンプルセット（config / Makefile）へのリンクを提供できますか？

ありがとう

私の .NET 4.0 Web サービスは libeay32.dll を使用しています。この libeay32.dll は、FIPS に準拠するために /FIXED オプションを使用して VS2010 でコンパイルされています。これは、libeay32.dll が特定のアドレス (0xfb00000) に存在しない限り、ロードに失敗することを意味します。スローされる例外は次のとおりです。

System.DllNotFoundException: DLL 'some_dependent_library.dll' を読み込めません: 無効なアドレスにアクセスしようとしています。

libeay32.dll が正しいアドレスを取得することを保証する唯一の方法は、他の DLL がロードされる前に (kernel32.dll から LoadLibrary() を使用して) Main() メソッドでロードすることです。これは、私が Windows サービスと単体テストで使用して成功したアプローチです。ただし、私の Web サービスでは、LoadLibrary を Global.asax.cs の Application_Start() に配置しましたが、それでも散発的に失敗します。(私は procmon を調べました - 他の多くの DLL が最初にロードされます)

libeay32.dll が必要なアドレスを確実に取得できるようにする他の方法はありますか? アプリケーション プールの起動時に Application_Start() の前に実行できるコードはありますか?

ndk-r8を使用して、Android用のopenssl-fips-2.0+openssl-1.0.1cを正常にビルドしました。
MacOSXでクロスコンパイルを行っています。

ただし、FIPS_mode_set（1）を渡すことができません。次のエラーが発生します：「FIPSルーチン：FIPS_check_incore_fingerprint：fingerprintが一致しません」

openssl-fips-2.0 / util/incoreから提供されているincoreスクリプトを使用しています。

私の設定は次のとおりです。

インコア指紋検証に合格できない理由はありますか？クロスコンパイルで特別なwrtincoreが必要ですか？

fips 準拠モードで Oracle データベースを構成していますが、fips.ora が見つかりません。新しいファイルを作成する必要があるか、またはデフォルトの場所があるか教えてください。

誰かがPostgresデータベースでFIPSを有効にする手順を指定できますか？グーグルで検索しましたが、具体的なものは見つかりませんでした。

キーストアとして NSS を使用しています。機密データの暗号化/復号化 (AES を使用) に使用する秘密鍵を生成しましたが、すべて正常に動作します。

移植性のために、この秘密鍵を抽出して別の NSS DB に挿入する方法はありますか?

SunPKCS11 プロバイダーで jre6 を使用しています。次のようにキーを生成しています

問題としてこの質問を編集すると、現在は異なります。

適切なプラットフォーム (armv7) 用にビルドすることで、リンクの問題を解決しました。現在、アプリを起動できない別の問題に悩まされています。FIPSモードが有効かどうかを基本的にチェックするテストアプリの出力は次のとおりです。

最初の方法までは取得できません。

起動前自体に多少の誤差があります。mac book 、ipad 、および xcode を複数回再起動しましたが、うまくいきません。

何が起こっているのか手がかりはありますか？

OpenSSL FIPS コンテナー バージョン 2.0.1 をビルドし、そのコンテナーを使用して OpenSSL 1.0.1c をビルドしました ( OpenSSL FIPS オブジェクト モジュール v2.0 のユーザー ガイドの指示に従って):

.NET アプリケーションでこれらのインポートを取得しました (これは明らかに上記の libeay32.dll を使用しています)。

問題は、 を呼び出すと、 FIPS モードを有効にできなかったことを示すFIPS_mode_set(1)が返されることです。0

問題の原因を突き止めるために、私はこれを行っています：

このエラーメッセージが表示されます：

OPENSSL_Uplink(0FAF1000,08): no OPENSSL_Applink

答えを探してみましたが、空っぽになりました - どんな提案でも大歓迎です!

**更新**

Visual Studio 2010 コマンドライン (以前に使用したもの) の代わりに、Visual Studio 2008 コマンドラインから同じ手順を使用してビルドしようとしましたが、うまくいきました!

しかし、Visual Studio 2010 で動作しない理由がわかりません。また、Visual Studio 2008 を永遠に使い続けたくありません。Visual Studio 2010 で正常にビルドするにはどうすればよいでしょうか?