Pergunta
Olhando através destes vários documentos do OpenSSL 3.0
- https://security.stackexchange.com/questions/34791/openssl-vs-fips-enabled-openssl
- https://github.com/openssl/openssl/blob/master/README-FIPS.md
- https://www.openssl.org/docs/man3.0/man7/fips_module.html
- https://en.wikipedia.org/wiki/FIPS_140-2
Consegui montar uma solução para habilitar o modo FIPS no OpenSSL com o seguinte objetivo em mente:
A ênfase está no fato de que, uma vez habilitado o modo FIPS no OpenSSL, todas as operações criptográficas realizadas através do OpenSSL, incluindo aquelas usadas pelo C++ Boost.Asio para conexões SSL/TLS, utilizarão algoritmos aprovados pelo FIPS, garantindo a conformidade com os padrões FIPS em todo o Impulsione o aplicativo C++.
Esta é uma função válida enableFIPS()para ativar o modo OpenSSL FIPS para Boost C++?
Exemplo
principal.cpp
#include <iostream>
#include <string>
#include <boost/asio.hpp>
#include <boost/asio/ssl.hpp>
#include <openssl/provider.h>
bool PrintErrorSSL(const std::string& err)
{
std::cerr << err << std::endl;
unsigned long err_code;
while ((err_code = ERR_get_error()) != 0)
{
char err_msg[256];
ERR_error_string_n(err_code, err_msg, sizeof(err_msg));
std::cerr << "OpenSSL error: " << err_msg << std::endl;
}
// FIPS mode not enabled.
return false;
}
bool enableFIPS()
{
std::string ConfigPath;
std::string TestPath = "C:/Projects/sys-openssl-fips/Test/";
#ifdef _WIN32
ConfigPath = TestPath + "openssl-fips.cnf";
#else
ConfigPath = TestPath + "openssl-fips-linux.cnf";
#endif
if (!OSSL_PROVIDER_set_default_search_path(nullptr, TestPath.c_str()))
{
return PrintErrorSSL("OSSL_PROVIDER_set_default_search_path() Failed");
}
if (!OSSL_LIB_CTX_load_config(nullptr, ConfigPath.c_str()))
{
return PrintErrorSSL("OSSL_LIB_CTX_load_config() Failed");
}
if (!OSSL_PROVIDER_available(nullptr, "fips") || !OSSL_PROVIDER_available(nullptr, "base"))
{
return PrintErrorSSL("OSSL_PROVIDER_available() Failed");
}
if (!EVP_default_properties_is_fips_enabled(nullptr))
{
return PrintErrorSSL("EVP_default_properties_is_fips_enabled() Failed");
}
// FIPS mode enabled.
return true;
}
int main(int argc, char* argv[])
{
if (enableFIPS())
{
using boost::asio::ip::tcp;
boost::asio::io_context io_context;
boost::asio::ssl::context ssl_context(boost::asio::ssl::context::tlsv12);
boost::asio::ssl::stream<tcp::socket> socket(io_context, ssl_context);
tcp::resolver resolver(io_context);
auto endpoints = resolver.resolve("www.google.com", "443");
boost::asio::connect(socket.lowest_layer(), endpoints);
socket.handshake(boost::asio::ssl::stream_base::client);
std::string request = "GET / HTTP/1.1\r\nHost: www.google.com\r\nConnection: close\r\n\r\n";
boost::asio::write(socket, boost::asio::buffer(request));
boost::asio::streambuf response;
boost::system::error_code ec;
boost::asio::read_until(socket, response, "\r\n", ec);
std::istream response_stream(&response);
std::string http_status;
std::getline(response_stream, http_status);
if (http_status.find("200 OK") != std::string::npos)
return 0;
}
return 1;
}
openssl-fips.cnf
config_diagnostics = 1
openssl_conf = openssl_init
[fips_sect]
activate = 1
conditional-errors = 1
security-checks = 1
module-mac = D9:AB:CC:37:8A:4C:06:BF:E9:E3:A8:F7:B9:B5:02:48:58:71:76:EB:5E:71:8A:0F:87:AA:52:46:7D:60:B0:EB
[openssl_init]
providers = provider_sect
alg_section = algorithm_sect
[provider_sect]
fips = fips_sect
base = base_sect
[base_sect]
activate = 1
[algorithm_sect]
default_properties = fips=yes
Saída (Windows)
Modo OpenSSL FIPS: DESLIGADO
Os projetos utilizarão algoritmos não aprovados pelo FIPS fornecidos por essas bibliotecas estáticas do openssl
- libssl - Implementa o protocolo Transport Layer Security (TLS).
- libcrypto - Implementa algoritmos criptográficos.
Modo OpenSSL FIPS: LIGADO
Os projetos utilizarão algoritmos aprovados pelo FIPS fornecidos por essas bibliotecas compartilhadas do openssl
- fips.so (no Linux)
- fips.dll (no Windows)
Usando Process Explorer , fips.dllé carregado:
Parece próximo.
Eu diria que você precisa ter cuidado ao usar o construtor específico para
asio::ssl::context. Parece queenableFIPSa maioria define padrões, então talvez por segurança você também possa instanciar manualmente um SSL_CTX* e construirasio::ssl::contexta partir dele usando https://live.boost.org/doc/libs/1_84_0/doc/html/boost_asio/reference/ssl__context /context/overload2.htmlAlém disso, eu sempre garantiria os testes de conformidade. É claro que você pode começar com alguns testes internos de unidade/integração que verificam se configurações inadequadas são rejeitadas ativamente.