我有一个使用FIPS对象模块进行FIPSvalidationencryption的OpenSSL版本。 某些应用程序(如Tomcat)支持使用此专用的FIPS OpenSSL。 您可以针对OpenSSLencryption库进行编译,然后在某个configuration文件中设置一个选项(对于Tomcat,这将在server.xml中为FIPSMode = on )。
我想在MySQL中使用FIPS OpenSSL。 我知道你可以build立MySQL来使用OpenSSL ,但是我没有发现你可以通过configuration文件或其他方式来启用FIPS模式。 这可能吗?
一些背景知识:要在FIPS模式下使用OpenSSL,应用程序必须调用FIPS_mode_set(),并且必须返回非零值。 如果在server.xml中正确设置FIPSMode标志,Tomcat将为您执行此操作。 MySQL似乎没有这样的标志。 也许还有其他一些方法来完成这个。
可以使用OpenSSL MySQL运行在FIPS模式?
可能不是。 FIPS 140-2不允许使用algorithmMD5和SHA-1(某些方面放弃,因为例如在TLS中使用的PRF中提供了明确的豁免)。
不幸的是,某些版本的MySQL仍然依靠SHA-1来执行一些内部函数,如密码散列。 这包括最新版本的MySQL,在撰写本文时是5.7。
在过去,我已经看到允许MySQL满足FIPS 140-2标准的补丁,但是它们是由第三方提供的。 然而,应用程序本身仍然可能需要一个正式的评估,一旦它实际上可以传递FIPS 140-2中的checkbox项目。