linux fips 模式,linux – FIPS Capable OpenSSL交叉编译:内容指纹问题

于 2021-05-13 22:27:53 发布
阅读量625 收藏
点赞数
文章标签: linux fips 模式

我在尝试使用在MIPS设备上编译为FIPS的OpenSSL共享库(libcrypto)时遇到问题.

我以下面的方式交叉编译FIPS对象模块,然后是OpenSSL库(总结):

export FIPS_SIG=/incore

./config fips --with-fipsdir=/fips-2.0

make depend

make

make install

我做了所有必要的步骤,所以我能够编译和安装库.

当我尝试从链接OpenSSL库的应用程序运行FIPS_mod_set(1)API时,会出现此问题.

FIPS模式初始化失败,收到此错误:

2010346568:error:2D06B06F:lib(45):func(107):reason(111):NA:0:

调试FIPS代码,我发现问题出在FIPS_check_incore_fingerprint(void)函数中:

检查memcmp(FIPS_signature,sig,sizeof(FIPS_signature))失败.

深入调试我发现FIPS_signature值仍然是默认值,因此我怀疑由fipsld实用程序调用的incore脚本没有正确嵌入OpenSSL共享对象中的指纹.

如何检查incore脚本是否将指纹嵌入共享对象中?

如何打印预期的指纹?

我需要调整incore脚本吗? (我想这是不允许的)

你有什么建议吗?

非常感谢!

P.S.:我正在使用x86 Linux机器进行交叉编译.

解决方法:

我发现了这个问题!我将尝试解释整个调试过程和解决方案.

介绍:

当OpenSSL配置为支持FIPS时,在编译期间Makefile调用一个实用程序fipsld,它们都执行FIPS检查

对象模块并为应用程序可执行文件生成新的HMAC-SHA-1摘要(如官方OpenSSL用户指南https://www.openssl.org/docs/fips/UserGuide-2.0.pdf中所述)

fipsld命令要求设置CC和FIPSLD_CC环境变量,

后者优先.

在Makefile中你会发现这样的东西:

libcrypto$(SHLIB_EXT): libcrypto.a fips_premain_dso$(EXE_EXT)

@if [ "$(SHLIB_TARGET)" != "" ]; then \

if [ "$(FIPSCANLIB)" = "libcrypto" ]; then \

FIPSLD_LIBCRYPTO=libcrypto.a ; \

FIPSLD_CC="$(CC)"; CC=$(FIPSDIR)/bin/fipsld; \

export CC FIPSLD_CC FIPSLD_LIBCRYPTO; \

fi; \

$(MAKE) -e SHLIBDIRS=crypto CC="$${CC:-$(CC)}" build-shared && \

(touch -c fips_premain_dso$(EXE_EXT) || :); \

else \

echo "There's no support for shared libraries on this platform" >&2; \

exit 1; \

fi

然后,fipsld实用程序调用一个shell脚本,用于将FIPS对象模块的预期指纹嵌入OpenSSL共享对象中.通过FIPS_SIG env变量指定incore路径很重要,例如:

export FIPS_SIG=$PWD/openssl­fips­2.0/util/incore

调试:

调试incore脚本,我可以看到脚本试图将签名嵌入到偏移0x001EE6B0的共享对象中,而共享对象内的FIPS_signature符号位于不同的偏移处,更具体地说是0x001F0630:

objdump -t libcrypto.so.1.0.0 | grep FIPS_signature

001f0630 g O .data 00000014 FIPS_signature

readelf -a libcrypto.so.1.0.0 | grep FIPS_signature

870: 001f0630 20 OBJECT GLOBAL DEFAULT 18 FIPS_signature

3925: 001f0630 20 OBJECT GLOBAL DEFAULT 18 FIPS_signature

此外,转储共享对象我无法在偏移0x001EE6B0处找到生成的签名,因此我得出结论,共享对象是在其他进程的签名嵌入过程之后编辑的.

解:

我正在使用以下方式格式化OpenSSL数据包的Makefile包:

$(MAKE) $(PKG_JOBS) -C $(PKG_BUILD_DIR)

all

$(MAKE) $(PKG_JOBS) -C $(PKG_BUILD_DIR)

build-shared

rm $(PKG_BUILD_DIR)/libssl.so.*.*.*

$(MAKE) $(PKG_JOBS) -C $(PKG_BUILD_DIR)

do_linux-shared

$(MAKE) -C $(PKG_BUILD_DIR)

install

正如所怀疑的那样,make build-shared和make do_linux-shared命令负责以错误的方式更改共享对象.

注意在不使用适当的环境变量的情况下调用了build-shared.

我更改了包Makefile:

$(MAKE) $(PKG_JOBS) -C $(PKG_BUILD_DIR)

all

$(MAKE) -C $(PKG_BUILD_DIR)

install

现在FIPS_check_incore_fingerprint(void)函数返回成功,一切正常!

注意:

标签:linux,openssl,cross-compiling,mips,fips

来源: https://codeday.me/bug/20190622/1265633.html

App Growing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSL】为Android系统构建OpenSSL
开心乐源的专栏
02-10 5969
参考Wiki:http://wiki.openssl.org/index.php/Android While the Executive Summary provided the whirlwind instructions for building and installing the OpenSSL library, this sections provides detail
LWN:让内核支持符合FIPS规范的随机数!
Linux News搬运工
12-17 384
关注了就能看到更多这么棒的文章哦~FIPS-compliant random numbers for the kernelBy Jake EdgeDecember 7, 2021DeepL...
Linux命令
weixin_39650971的博客
03-27 405
nginx yum install gcc gcc-c++ cd /usr/local wget http://www.openssl.org/source/openssl-fips-2.0.10.tar.gz tar -zxvf openssl-fips-2.0.10.tar.gz cd openssl-fips-2.0.10 ./config && make &&...
OPENSSL FIPS
weixin_33709364的博客
01-08 1319
https://www.openssl.org/docs/fipsnotes.html https://wiki.openssl.org/index.php/FIPS_mode() openssl-fips是符合FIPS标准的Openssl。 联邦信息处理标准(Federal Information Processing Standards,FIPS)是一套描述文件处理、加密算法和其他信息技...
openssl-fips-2.0.10.tar.gz,安装nginx所需要的环境包
03-02
在下载并解压`openssl-fips-2.0.10.tar.gz`压缩包后,你会得到`openssl-fips-2.0.10`目录,其中包含所有必要的源代码和其他文件,用于编译和安装FIPS模块。 安装OpenSSL FIPS模块通常涉及以下步骤: 1. **编译环境...
OpenSSH_7.8p1, OpenSSL 1.0.2n-fips
10-23
包括openssh-7.8p1-1.el6.x86_64.rpm、openssh-clients-7.8p1-1.el6.x86_64.rpm、openssh-server-7.8p1-1.el6.x86_64.rpm、openssl-1.0.2n-9.el6.x86_64.rpm、openssl-devel-1.0.2n-9.el6.x86_64.rpm、openssl-libs-...
nginx全套linux环境搭建包.rar
05-29
在Nginx中启用FIPS模式,需要在编译时指定OpenSSLFIPS模块路径,并在Nginx配置文件中启用FIPS: ```bash ./configure --with-openssl=fips-2.0.5 \ --with-http_ssl_module ``` 安装OpenSSL-FIPS后,Nginx将...
openssl-fips-2.0.12.tar.gz
04-26
Linux系统上,解压`openssl-fips-2.0.12.tar.gz`后,通常需要按照以下步骤进行编译和安装: 1. **解压文件**:`tar -zxvf openssl-fips-2.0.12.tar.gz` 2. **进入源码目录**:`cd openssl-fips-2.0.12` 3. **配置...
openssl-libs-1.0.2k-23.0.1.el7-9-fips.x86-64.rpm
最新发布
05-17
mysql或其他资源漏洞扫描后需要升级至该版本,可下载使用
nginx全套linux环境搭建包( nginx-1.2.6+openssl-fips-2.0.5+pcre-8.32+zlib-1.2.7)
09-18
nginx全套linux环境搭建包: 1.nginx-1.2.6.tar.gz 2.openssl-fips-2.0.5.tar.gz 3.pcre-8.32.tar.gz 4.zlib-1.2.7.tar.gz 免去您一个个资源寻找的麻烦,本人已测,绝对能用,识货的来!
openssl-fips-2.0.16.tar
01-23
OpenSSL-fips 2.0.16 发布了。OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。 该版本更新可以请自行查看提交记录。
Android下的编译OpenSSL
章志强的专栏
10-26 5029
1. 概述 OpenSSL可以编译成ARM下面的二进制代码(动态库或者静态库),方便APP使用,APP在使用的时候,需要使用JNI来进行调用。 官方WIKI有写如何为Android编译OpenSSL,地址是:https://wiki.openssl.org/index.php/Android 因此也是参考这篇文章实现的。 编译不太复杂,基本步骤如下: 下载NDK 下载OpenSSL源码和...
linux 检查openssl,linux 如何检查OpenSSL中的FIPS 140-2支持?
weixin_34847632的博客
05-13 604
How do I check whether OpenSSL has is providing FIPS validated cryptography or not?这取决于您想要检查的方式和时间.它还取决于应用程序.FIPS可以使用但不能使用.因此,应用程序必须通过FIPS_mode_set启用经过验证的加密,并且调用必须成功.如果要检查FIPS Capable Library(如OpenSSL...
openssh编译 linux, linux CentOS 下编译升级 openSSH 详细步骤参考
weixin_39524183的博客
05-08 308
CentOS 7.x 及以下自带的 openSSH 版本基本都在7.x 以下。而 openSSH 7.3 以下的版本均存在高危漏洞。所以服务器升级 openSSH 就成了一件必做的事情。1、查看当前系统信息1.1、查看当前系统版本[root@localhost src]# cat /etc/redhat-releaseCentOS Linux release 7.0.1406 (Core)[roo...
mac下OPENSSL在Android Studio中使用NDK的方式编译出.so运行调试和测试
springsu的专栏
09-29 1334
这里只是记录一下制作的思路 我使用的版本GMSSL2.0版本,看了命令行的输出是openssl 1.1.0d 的版本上分支出来的版本。 与别人的编译流程相同。 1.下载GMSSL2.0的版本库(其实是废话) 2.从openssl 官网上下载Setenv-android.sh该脚本。这是为了让GMSSL2.0可以编译生成需要的头文件。 3.配置Setenv-andoird.sh文件里的内容...
OpenSSLOpenSSL-FIPSOpenSSL-FIPS-ECP的区别
热门推荐
云与山的彼端
12-26 6万+
OpenSSL的官网上可以看到三个分支,分别是openssl-、openssl-fips-、openssl-fips-ecp-。这三者的区别如下。 分支 内容差异 openssl- 完整版的OpenSSL openssl-fips- 把密码函数库单独抽出来,做成一个满足FIPS 1...
OpenSSL FIPS安装
yuanhangq220的专栏
06-24 8268
OpenSSL FIPS documentation:  http://www.openssl.org/docs/fips/ Download: http://www.openssl.org/source/ unpack and compile OpenSSL FIPS module: ./config make sudo make install unpack and comip
linux安装openssl-fips
10-27
要在Linux上安装OpenSSL-FIPS,需要先安装Perl和GCC编译器。然后,您需要从http://www.openssl.org/source/下载OpenSSL-FIPS源代码。下载后,您需要解压缩源代码并进入解压缩后的目录。在该目录中,您需要运行./config && make && make install命令以编译和安装OpenSSL-FIPS。请注意,您需要以root用户身份运行此命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值