【问题标题】:How to upgrade openssl 1.1.0e to openssl fips 2.0.x version in linux?如何在 linux 中将 openssl 1.1.0e 升级到 openssl fips 2.0.x 版本?
【发布时间】:2018-01-08 06:12:10
【问题描述】:

我正在使用具有 1.1.0e openssl 版本的代理的遗留代码。我必须将符合 FIPS 的 openssl 库集成到 Broker。所以我从OpenSSL web site 下载了“openssl-fips-2.0.16”。当我查看 2.0.16 版本的大小时,我一直在怀疑,因为 1.1.0e 的大小几乎是 5 倍。我的问题是;

  • 更改库而不是相互更改就足够了吗?
  • 如果不是,如何在linux中将openssl 1.1.0e升级到openssl fips 2.0.x版本?

我是安全方面的新手,非常感谢您从现在开始的帮助。

【问题讨论】:

    标签: openssl fips


    【解决方案1】:

    更换库就足够了吗?

    openssl-fips-2.0.16 不是 OpenSSL 的 FIPS 认证版本,而是需要与 OpenSSL 源代码一起使用的 FIPS 模块。换句话说:这不是 OpenSSL 的替代品。

    如何在linux中将openssl 1.1.0e升级到openssl fips 2.0.x版本?

    来自the documentation

    2.0 FIPS 模块与 OpenSSL 版本 1.0.1 和 1.0.2 兼容,不兼容其他版本。 OpenSSL 1.1 的大量内部结构更改阻止了在该版本中使用 2.0 FIPS 模块。

    因此,无法将当前的 FIPS 模块与您的 OpenSSL 1.1.0e 一起使用。

    【讨论】:

    • 非常感谢@SteffenUllrich,您的回答改变了我对解决方案的看法。根据 OpenSSL FIPS 指南 " 如果原始发行版被修改,或者如果使用了这三个指定命令以外的任何命令,或者如果修改了任何中间文件,则结果不会经过 FIPS 验证。 " 如果我要问你一个额外的问题,我必须自定义 openssl 1.0.x 版本的源代码。能够集成到 Broker 的遗留代码(基于 C),那么我什么时候可以将 FIPS 对象模块集成到源代码中? 感谢您的帮助,再次感谢您。
    • @korayguney:我认为您引用的 FIPS 指南在这里非常清楚:如果您修改 OpenSSL 代码,那么结果将不再符合 FIPS。在应用 FIPS 模块之前或之后对其进行修改都没有关系。但无论如何 - 这是一个与你原来的问题不同的问题,所以如果你想更深入地讨论这个问题,请创建一个新问题,不要在此处的 cmets 中继续。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2017-08-20
    • 2018-11-12
    • 2012-06-20
    • 1970-01-01
    • 1970-01-01
    • 2012-08-06
    • 1970-01-01
    相关资源
    最近更新 更多