O MySQL com OpenSSL pode rodar no modo FIPS?

1

Eu tenho uma compilação do OpenSSL que usa o FIPS Object Module para criptografia validada por FIPS. Certos aplicativos, como o Tomcat, suportam o uso desse FIPS OpenSSL especializado. Você compila as bibliotecas de criptografia do OpenSSL e, em seguida, define uma opção em algum arquivo de configuração (para o Tomcat, isso seria FIPSMode = on em server.xml ).

Eu gostaria de usar o FIPS OpenSSL com o MySQL. Eu sei que você pode construir o MySQL para usar o OpenSSL , mas não encontrei nenhuma indicação de que você pode ativar o modo FIPS, seja por meio de um arquivo de configuração ou por algum outro meio. Isso é possível?

Alguns antecedentes: para usar o OpenSSL no modo FIPS, o aplicativo deve chamar FIPS_mode_set () e isso deve retornar diferente de zero. O Tomcat fará isso para você se você definir o sinalizador FIPSMode adequadamente no server.xml. O MySQL não parece ter essa bandeira. Talvez haja algum outro meio para conseguir isso.

    
por Graph Theory 04.10.2017 / 20:38

1 resposta

1

Can MySQL with OpenSSL run in FIPS mode?

Provavelmente não. O FIPS 140-2 não permite o uso de algoritmos MD5 e SHA-1 (algumas dispensas de mão, porque há exceções explícitas fornecidas, por exemplo, no PRF usado no TLS).

Infelizmente, algumas versões do MySQL ainda dependem do SHA-1 para algumas funções internas, como hashing de senhas. Isso inclui a versão mais recente do MySQL, que é 5.7 no momento em que este texto foi escrito.

No passado, eu vi patches que permitem que o MySQL atenda aos critérios do FIPS 140-2, mas eles são fornecidos por terceiros. No entanto, o próprio aplicativo ainda provavelmente precisaria de uma avaliação formal, uma vez que chega ao ponto em que pode realmente passar os itens da caixa de seleção do FIPS 140-2.

    
por 05.10.2017 / 13:50

Tags