linux fips 模式,linux – FIPS Capable OpenSSL交叉编译:内容指纹问题

于 2021-05-13 22:27:53 发布
阅读量383 收藏
点赞数
文章标签: linux fips 模式

我在尝试使用在MIPS设备上编译为FIPS的OpenSSL共享库(libcrypto)时遇到问题.

我以下面的方式交叉编译FIPS对象模块,然后是OpenSSL库(总结):

export FIPS_SIG=/incore

./config fips --with-fipsdir=/fips-2.0

make depend

make

make install

我做了所有必要的步骤,所以我能够编译和安装库.

当我尝试从链接OpenSSL库的应用程序运行FIPS_mod_set(1)API时,会出现此问题.

FIPS模式初始化失败,收到此错误:

2010346568:error:2D06B06F:lib(45):func(107):reason(111):NA:0:

调试FIPS代码,我发现问题出在FIPS_check_incore_fingerprint(void)函数中:

检查memcmp(FIPS_signature,sig,sizeof(FIPS_signature))失败.

深入调试我发现FIPS_signature值仍然是默认值,因此我怀疑由fipsld实用程序调用的incore脚本没有正确嵌入OpenSSL共享对象中的指纹.

如何检查incore脚本是否将指纹嵌入共享对象中?

如何打印预期的指纹?

我需要调整incore脚本吗? (我想这是不允许的)

你有什么建议吗?

非常感谢!

P.S.:我正在使用x86 Linux机器进行交叉编译.

解决方法:

我发现了这个问题!我将尝试解释整个调试过程和解决方案.

介绍:

当OpenSSL配置为支持FIPS时,在编译期间Makefile调用一个实用程序fipsld,它们都执行FIPS检查

对象模块并为应用程序可执行文件生成新的HMAC-SHA-1摘要(如官方OpenSSL用户指南https://www.openssl.org/docs/fips/UserGuide-2.0.pdf中所述)

fipsld命令要求设置CC和FIPSLD_CC环境变量,

后者优先.

在Makefile中你会发现这样的东西:

libcrypto$(SHLIB_EXT): libcrypto.a fips_premain_dso$(EXE_EXT)

@if [ "$(SHLIB_TARGET)" != "" ]; then \

if [ "$(FIPSCANLIB)" = "libcrypto" ]; then \

FIPSLD_LIBCRYPTO=libcrypto.a ; \

FIPSLD_CC="$(CC)"; CC=$(FIPSDIR)/bin/fipsld; \

export CC FIPSLD_CC FIPSLD_LIBCRYPTO; \

fi; \

$(MAKE) -e SHLIBDIRS=crypto CC="$${CC:-$(CC)}" build-shared && \

(touch -c fips_premain_dso$(EXE_EXT) || :); \

else \

echo "There's no support for shared libraries on this platform" >&2; \

exit 1; \

fi

然后,fipsld实用程序调用一个shell脚本,用于将FIPS对象模块的预期指纹嵌入OpenSSL共享对象中.通过FIPS_SIG env变量指定incore路径很重要,例如:

export FIPS_SIG=$PWD/openssl­fips­2.0/util/incore

调试:

调试incore脚本,我可以看到脚本试图将签名嵌入到偏移0x001EE6B0的共享对象中,而共享对象内的FIPS_signature符号位于不同的偏移处,更具体地说是0x001F0630:

objdump -t libcrypto.so.1.0.0 | grep FIPS_signature

001f0630 g O .data 00000014 FIPS_signature

readelf -a libcrypto.so.1.0.0 | grep FIPS_signature

870: 001f0630 20 OBJECT GLOBAL DEFAULT 18 FIPS_signature

3925: 001f0630 20 OBJECT GLOBAL DEFAULT 18 FIPS_signature

此外,转储共享对象我无法在偏移0x001EE6B0处找到生成的签名,因此我得出结论,共享对象是在其他进程的签名嵌入过程之后编辑的.

解:

我正在使用以下方式格式化OpenSSL数据包的Makefile包:

$(MAKE) $(PKG_JOBS) -C $(PKG_BUILD_DIR)

all

$(MAKE) $(PKG_JOBS) -C $(PKG_BUILD_DIR)

build-shared

rm $(PKG_BUILD_DIR)/libssl.so.*.*.*

$(MAKE) $(PKG_JOBS) -C $(PKG_BUILD_DIR)

do_linux-shared

$(MAKE) -C $(PKG_BUILD_DIR)

install

正如所怀疑的那样,make build-shared和make do_linux-shared命令负责以错误的方式更改共享对象.

注意在不使用适当的环境变量的情况下调用了build-shared.

我更改了包Makefile:

$(MAKE) $(PKG_JOBS) -C $(PKG_BUILD_DIR)

all

$(MAKE) -C $(PKG_BUILD_DIR)

install

现在FIPS_check_incore_fingerprint(void)函数返回成功,一切正常!

注意:

标签:linux,openssl,cross-compiling,mips,fips

来源: https://codeday.me/bug/20190622/1265633.html

SO豹猫
关注
checking OpenSSL library version... configure: error: OpenSSL >= 1.1.1 required (have “100020bf 解决方案
weixin_43178406的博客
02-02 2万+
 本文主要介绍了checking OpenSSL library version… configure: error: OpenSSL >= 1.1.1 required (have “100020bf (OpenSSL 1.0.2k-fips 26 Jan 2017)”)解决方案,希望能对使用Linux的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
OpenSSL 3.0.0 设计(三)|FIPS 模块
u19967317326的博客
08-16 504
Tongsuo-8.4.0 是基于 OpenSSL-3.0.3 开发,所以本文对 Tongsuo 开发者同样适用,内容丰富,值得一读!由于文章篇幅较长,今天带来的是部分内容,已发布文章《介绍、术语与架构》、《Core 和 Provider 设计》可看发表记录。后续内容将随每周推送完整发布,请持续关注!
nginx全套linux环境搭建包( nginx-1.2.6+openssl-fips-2.0.5+pcre-8.32+zlib-1.2.7)
09-18
nginx全套linux环境搭建包: 1.nginx-1.2.6.tar.gz 2.openssl-fips-2.0.5.tar.gz 3.pcre-8.32.tar.gz 4.zlib-1.2.7.tar.gz 免去您一个个资源寻找的麻烦,本人已测,绝对能用,识货的来!
OPENSSL FIPS
weixin_33709364的博客
01-08 1339
https://www.openssl.org/docs/fipsnotes.html https://wiki.openssl.org/index.php/FIPS_mode() openssl-fips是符合FIPS标准的Openssl。 联邦信息处理标准(Federal Information Processing Standards,FIPS)是一套描述文件处理、加密算法和其他信息技...
FIPSLINUX分区
07-31 333
FIPSLINUX分区 LINUX是目前最热门的东西,相信许多朋友都在准备着装一个。在各种媒介上也都有许多关于LINUX的文章,网上更是随处可见。但是奇怪的是都没有提到用FIPS这个分区工具?真是很奇怪啊!    那么FIPS是什么东西来的呢?其实你打开LINUX光盘找一
FIPSLINUX分区(转)
08-13 124
FIPSLINUX分区(转)[@more@]  LINUX是目前最热门的东西,相信许多朋友都在准备着装一个。在各种媒介上也都有许多关于LINUX的文章,网上更是随处可见。但是奇怪的是都没有提到用FIPS这个分区工具?真是很奇...
openssl-fips-2.0.10.tar.gz,安装nginx所需要的环境包
03-02
在下载并解压`openssl-fips-2.0.10.tar.gz`压缩包后,你会得到`openssl-fips-2.0.10`目录,其中包含所有必要的源代码和其他文件,用于编译和安装FIPS模块。 安装OpenSSL FIPS模块通常涉及以下步骤: 1. **编译环境...
openssl-fips-2.0.16.tar
01-23
OpenSSL-fips 2.0.16 发布了。OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。 该版本更新...
openssl-fips-2.0.15.tar.gz
最新发布
06-23
OpenSSL is licensed under an Apache-style license, which basically means that you are free to get and use it for commercial and non-commercial purposes subject to some simple license conditions. ...
OpenSSLOpenSSL-FIPSOpenSSL-FIPS-ECP的区别
热门推荐
云与山的彼端
12-26 6万+
OpenSSL的官网上可以看到三个分支,分别是openssl-、openssl-fips-、openssl-fips-ecp-。这三者的区别如下。 分支 内容差异 openssl- 完整版的OpenSSL openssl-fips- 把密码函数库单独抽出来,做成一个满足FIPS 1...
linux 检查openssl,linux 如何检查OpenSSL中的FIPS 140-2支持?
weixin_34847632的博客
05-13 682
How do I check whether OpenSSL has is providing FIPS validated cryptography or not?这取决于您想要检查的方式和时间.它还取决于应用程序.FIPS可以使用但不能使用.因此,应用程序必须通过FIPS_mode_set启用经过验证的加密,并且调用必须成功.如果要检查FIPS Capable Library(如OpenSSL...
编译FIPS兼容的openssl-1.0.2a
a4990374的博客
03-23 715
1. 安装Perl和Visual Studio 2010 2. 下载openssl-1.0.2-latest.tar.gz和openssl-fips-2.0.9.tar.gz,并解压到D盘,网址:https://www.openssl.org/source/ 3. 打开D:\openssl-fips-2.0.9\ms\do_fips.bat,因为要编译32位的openssl链接库,将...
undefined symbol: FIPS_mode
zzz_781111的专栏
09-16 5897
问题:安装lamp遇到sshd故障 报错为undefined symbol: FIPS_mode 解决办法 重装 openssl
rhel centos 源_Rhel centos 7的fips脚本
weixin_26636643的博客
09-27 440
rhel centos 源My script implements a Red Hat solution. 我的脚本实现了Red Hat解决方案。 Cryptography is vital for business, organizations, really for everyone. Cryptography has been around in one form or another f...
硬盘分区
weixin_34102807的博客
10-21 104
FIPSLinux分割   首先,FIPS是什么呢?其实您打开Linux光盘找一找,它就在光盘根目录的dos-stuff目录下或dos-stuff\fips目录下。好了,找到了吧?那么我们就具体谈谈它的使用吧!   FIPS(First Interactive Partition Splitter)程序是一个功能非常强大的MS-DOS工具程序,它可以在不删除硬盘上原有...
openwrt加入leveldb包编译
生于忧患,死于安乐
10-23 523
升级openwrt的cmake工具版本 由于标准openwrt发行版没有带leveldb包,需要自己加入,首先openwrt 的cmake 版本必须在3.1.13版本往上。升级cmake方法,修改openwrt/tools/cmake/Makefile如下,同时删掉patchs目录 # # Copyright (C) 2006-2014 OpenWrt.org # # This is free software, licensed under the GNU General Public License
linux安装openssl-fips
10-27
要在Linux上安装OpenSSL-FIPS,需要先安装Perl和GCC编译器。然后,您需要从http://www.openssl.org/source/下载OpenSSL-FIPS源代码。下载后,您需要解压缩源代码并进入解压缩后的目录。在该目录中,您需要运行./...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>