RHEL8: FIPS对象模块存在吗？

Question

我被RHEL8弄糊涂了。它报告说：

# openssl
OpenSSL> version
OpenSSL 1.1.1g FIPS  21 Apr 2020
OpenSSL> exit
# find / -name fipscanister*.*

我的系统报告说正在运行一个符合FIPS的OpenSSL，但是我没有在系统上找到一个FIPS罐.我检查了ISO (流变-8.4-x86_64-dvd.iso)，在BaseOS/软件包中有: openssl-devel-1.1.1g-15.el8_3.x86_64.rpm，但也不包含FIPS罐。

需要做些什么才能在系统上有一个fipscanister？

BR，Rene

Answer 1

我假设您指的是fipcanister.o(编译FIPS算法的对象文件)。您将找不到它，因为它是在libcrypto.so*中链接的。

根据[ OpenSSL ]：用户指南-2.0.pdf-OpenSSL FIPS对象模块v2.0的用户指南 (是我的)：

注意，除了在最不寻常的情况下，FIPS对象模块本身(fipscanister.o)没有直接链接到应用程序代码。则将FIPS对象模块嵌入到OpenSSL libcrypto库(libcryp.a/libcryp.so)中，然后应用程序代码以通常的方式引用该库。这种组合被称为"FIPS功能“OpenSSL库，并在第2.5节中详细讨论。

有关(一些有趣的)细节，请查看集合不在Python密码库中工作(@CristiFati的答案)。

下面是一些示例输出([SO]：如何用SSL在RHEL上编译python3？SSL无法导入(@CristiFati的回答)留下的环境)：

根@cFati-5510-0:/work/q069539286>pythonPython2.7.5(默认值，2020年11月16日，22:23:17) GCC 4.8.5 20150623 (RedHat4.8.5-44)在linux2类型“帮助”、“版权”、“信用”或“许可”中获得更多信息。>>>导入ct >>> >>> lcr =ct.CDLL(“OpenSSL-1.1.1g/lib/libcryp.so”)#加载库>>> lcr.FIPS_mode() #调用它导出的函数(仅用于演示目的，而不是在生产中使用(如此))0