Я проследил через mod_ssl и код OpenSSL FIPS, как лучшее, что я могу, и я считаю, что параметр SSLRandomSeed
конфигурации приведены в файле mod_ssl.conf
просто ничего полезного, когда не делать Режим FIPS включен в mod_ssl.mod_ssl с режимом FIPS включен и SSLRandomSeed
Отслеживание кода в ssl_init_Module()
показывает, что функция ssl_rand_seed()
вызывается до режима FIPS. ssl_rand_seed()
будет выполнять посев из заданного источника (ов) определенных SSLRandomSeed, но как только вы переключаетесь в режим FIPS, DRBG воссоздается с нуля без сохранения какой-либо информации.
Фактически, режим FIPS OpenSSL, похоже, выходит из источника/dev/urandom,/dev/random и/dev/srandom (в указанном порядке) в соответствии с макросом DEVRANDOM, определенным в базовом коде OpenSSL e_os.h при компиляции для стандартной цели Linux.
Есть ли у кого-нибудь опыт работы с этой комбинацией?
Могут ли они прокомментировать, как обеспечить выбранный источник энтропии времени выполнения, такой как обработанный файл? Должен ли я перекомпилировать OpenSSL и предоставлять новое определение DEVRANDOM каждый раз, когда я хочу изменить свой случайный источник?