【发布时间】:2016-04-06 17:14:46
【问题描述】:
1.是否可以在 Mac OSX 10.11 上使用 FIPS 构建 OpenSSL?
- 我正在努力保持与许多其他平台的兼容性,这些平台都使用 OpenSSL 和 FIPS。
- 我知道 Apple 强烈建议使用 CommonCrypto,我相信这将满足我使用等效摘要和加密算法的大部分跨平台兼容性需求。
- 这将需要大量额外的工作,并且会偏离我宁愿避免的已构建的通用框架。
- 与 FIPS 验证相比,我对兼容性和可行的解决方案更感兴趣。
2。 Mac OSX 10.11 下是否有兼容 OpenSSL 的 DRBG(AES-256 和 df)
- 我的理解是Common Crypto下的DRGB是AES-128
【问题讨论】:
-
是的,可以在 Mac OS X 10.11 上构建
openssl-fips-2.0.12:我使用sh ./Configure --prefix=/opt/openssl darwin64-x86_64-cc来完成这项工作。如果您希望将软件安装在其他位置,请选择您希望软件安装的位置,而不是/opt/openssl。 -
对于 DRBG(确定性随机位生成器),您可以查看 DRBG Validation,它有多个 Apple 条目(816,以及 800-811 范围内的更多条目)。这些似乎确实是 AES-128,而不是 AES-256。在 845 处还有一个 OpenSSL 条目。这有帮助吗? (另请注意 DRBG Historical 不再批准 Dual_EC_DRBG 随机数生成器。(Google 搜索词“drbg 验证”。)
-
乔纳森,也许我做错了什么。之后,您是否能够执行 FIPS_mode_set() 并成功进入 fips 模式?
标签: macos encryption openssl fips