fips_config
名称
fips_config - OpenSSL FIPS 配置
描述
一个单独的配置文件,使用 OpenSSL 的 config(5) 语法,用于保存有关 FIPS 模块的信息。这包括共享库文件的摘要,以及自测试状态。此数据由模块本身自动用于两个目的:
- - 运行启动时 FIPS 自测试已知答案测试 (KAT)。
-
这通常在安装时完成一次,但也可以设置为在每次使用模块时运行。
- - 验证模块的校验和。
-
这在每次使用模块时都会执行。
此文件由 openssl-fipsinstall(1) 程序生成,并在 FIPS 模块初始化期间由模块内部使用。
支持以下选项。它们都应该出现在一个部分中,该部分的名称由 "Provider Configuration Module" in config(5) 中描述的 providers 部分中的 fips 选项确定。
- activate
-
如果存在,则激活模块。分配给此名称的值并不重要。
- install-version
-
fips 安装过程的版本号。应该是 1。
- conditional-errors
-
FIPS 模块通常在任何自测试失败时进入内部错误模式。一旦此错误模式处于活动状态,从这一点开始,将无法访问任何服务或加密算法。连续测试是自测试的子集(例如,密钥生成期间的密钥对测试,或 CRNG 输出测试)。将此值设置为
0允许在任何连续测试失败时不触发错误模式。1的默认值将触发错误模式。无论值如何,如果其连续测试失败,调用连续测试的操作(例如,密钥生成)将返回错误代码。如果错误模式尚未触发,则可以重试该操作。 - security-checks
-
这表示是否使用与执行安全参数相关的运行时检查,例如密钥的最小安全强度和批准的曲线名称。值为 '1' 将执行检查,否则如果值为 '0',则不会执行检查,FIPS 合规性必须通过相关安全策略中记录的程序来完成。
- module-mac
-
FIPS 提供程序文件的计算 MAC。
- install-status
-
自测试成功运行的指示器。这应该只在模块在安装期间成功通过其自测试后写入。如果此字段不存在,则模块加载时将运行自测试。
- install-mac
-
install-status 选项值的 MAC,以防止意外更改该值。它与 install-status 更新同时写入。
例如
[fips_sect]
activate = 1
install-version = 1
conditional-errors = 1
security-checks = 1
module-mac = 41:D0:FA:C2:5D:41:75:CD:7D:C3:90:55:6F:A4:DC
install-mac = FE:10:13:5A:D3:B4:C7:82:1B:1E:17:4C:AC:84:0C
install-status = INSTALL_SELF_TEST_KATS_RUN注释
使用 FIPS 提供程序时,建议启用 config_diagnostics 选项以防止意外使用非 FIPS 验证算法,这些算法可能是由于配置错误或错误造成的。见 config(5)。
另请参见
config(5) openssl-fipsinstall(1)
历史
此功能在 OpenSSL 3.0 中添加。
版权
版权所有 2019-2021 OpenSSL 项目作者。保留所有权利。
根据 Apache 许可证 2.0(“许可证”)获得许可。除非遵守许可证,否则您不得使用此文件。您可以在源代码分发中的 LICENSE 文件或 https://www.openssl.org/source/license.html 中获得副本。