为 Boost C++ 启用 OpenSSL FIPS 模式

问题描述 投票:0回答:1

问题

浏览这些不同的 OpenSSL 3.0 文档

我已经设法拼凑出一个解决方案,以在 OpenSSL 中启用 FIPS 模式,并牢记以下目标:

重点是,一旦在 OpenSSL 中启用 FIPS 模式, 通过 OpenSSL 执行的所有加密操作,包括 C++ Boost.Asio 用于 SSL/TLS 连接的那些,将利用 FIPS 批准的算法,确保符合 FIPS 标准 贯穿整个 Boost C++ 应用程序。

这是为 Boost C++ 启用 OpenSSL FIPS 模式的有效函数 

enableFIPS()
吗?

示例

main.cpp

#include <iostream>
#include <string>
#include <boost/asio.hpp>
#include <boost/asio/ssl.hpp>
#include <openssl/provider.h>

bool PrintErrorSSL(const std::string& err)
{
   std::cerr << err << std::endl;
   unsigned long err_code;
   while ((err_code = ERR_get_error()) != 0)
   {
      char err_msg[256];
      ERR_error_string_n(err_code, err_msg, sizeof(err_msg));
      std::cerr << "OpenSSL error: " << err_msg << std::endl;
   }
   // FIPS mode not enabled.
   return false;
}

bool enableFIPS()
{
   std::string ConfigPath;
   std::string TestPath = "C:/Projects/sys-openssl-fips/Test/";
   
#ifdef _WIN32
    ConfigPath = TestPath + "openssl-fips.cnf";
#else
    ConfigPath = TestPath + "openssl-fips-linux.cnf";
#endif

   if (!OSSL_PROVIDER_set_default_search_path(nullptr, TestPath.c_str()))
   {
      return PrintErrorSSL("OSSL_PROVIDER_set_default_search_path() Failed");
   }

   if (!OSSL_LIB_CTX_load_config(nullptr, ConfigPath.c_str()))
   {
      return PrintErrorSSL("OSSL_LIB_CTX_load_config() Failed");
   }

   if (!OSSL_PROVIDER_available(nullptr, "fips") || !OSSL_PROVIDER_available(nullptr, "base"))
   {
      return PrintErrorSSL("OSSL_PROVIDER_available() Failed");
   }

   if (!EVP_default_properties_is_fips_enabled(nullptr))
   {
      return PrintErrorSSL("EVP_default_properties_is_fips_enabled() Failed");
   }

   // FIPS mode enabled.
   return true;
}

int main(int argc, char* argv[])
{
   if (enableFIPS())
   {
      using boost::asio::ip::tcp;
      boost::asio::io_context io_context;
      boost::asio::ssl::context ssl_context(boost::asio::ssl::context::tlsv12);
      boost::asio::ssl::stream<tcp::socket> socket(io_context, ssl_context);
      tcp::resolver resolver(io_context);
      auto endpoints = resolver.resolve("www.google.com", "443");
      boost::asio::connect(socket.lowest_layer(), endpoints);
      socket.handshake(boost::asio::ssl::stream_base::client);
      std::string request = "GET / HTTP/1.1\r\nHost: www.google.com\r\nConnection: close\r\n\r\n";
      boost::asio::write(socket, boost::asio::buffer(request));
      boost::asio::streambuf response;
      boost::system::error_code ec;
      boost::asio::read_until(socket, response, "\r\n", ec);
      std::istream response_stream(&response);
      std::string http_status;
      std::getline(response_stream, http_status);
      if (http_status.find("200 OK") != std::string::npos)
         return 0;
   }

   return 1;
}

openssl-fips.cnf

config_diagnostics = 1
openssl_conf = openssl_init

[fips_sect]
activate = 1
conditional-errors = 1
security-checks = 1
module-mac = D9:AB:CC:37:8A:4C:06:BF:E9:E3:A8:F7:B9:B5:02:48:58:71:76:EB:5E:71:8A:0F:87:AA:52:46:7D:60:B0:EB

[openssl_init]
providers = provider_sect
alg_section = algorithm_sect

[provider_sect]
fips = fips_sect
base = base_sect

[base_sect]
activate = 1

[algorithm_sect]
default_properties = fips=yes

输出(Windows)

OpenSSL FIPS 模式:关闭

项目将利用这些 openssl static 库提供的非 FIPS 批准的算法

  • libssl - 实现传输层安全(TLS)协议。
  • libcrypto - 实现加密算法。

OpenSSL FIPS 模式:开启

项目将利用这些 openssl 共享库提供的经 FIPS 批准的算法

  • fips.so(在 Linux 上)
  • fips.dll(在 Windows 上)

使用 Process Explorer,加载 

fips.dll

boost openssl fips
1个回答
0
投票

看起来很接近。

我想说你必须小心使用 

asio::ssl::context
的特定构造函数。看起来 
enableFIPS
主要设置默认值,因此也许为了安全起见,您也可以手动实例化 SSL_CTX* 并使用 
https://live.boost.org/doc/libs/1_84_0/doc/ 从中构造
asio::ssl::context html/boost_asio/reference/ssl__context/context/overload2.html

除此之外,我始终保证合规性测试。当然,您可以从一些内部单元/集成测试开始,检查不正确的配置是否被主动拒绝。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.