Возможно ли построить OpenSSL с FIPS на Mac OSX 10.11?
Да и Нет Да, вы можете сборки модуль объекта FIPS и еще FIPS Способный библиотека OpenSSL (акцент на строить).
Нет, потому что это не утвержденная платформа. Похоже, что единственной проверенной платформой OS X является Apple OS X 10.7 на x86-64. См. Раздел 3, СОВМЕСТИМЫЕ ПЛАТФОРМЫ, в User Guide for the OpenSSL FIPS Object Module v2.0.
Есть ли совместимый DRBG OpenSSL (AES-256 с ФР), выпускаемый под Mac OS X 10,11
Да, Apple имеет некоторые проверенные DRBGs. См. Сертификат Apple 1091 и CTR_DRBG по адресу NIST's DRBG Validation List. Вы также можете быть заинтересованы в NIST's Algorithm Validation Lists.
Я знаю, что компания Apple настоятельно рекомендует использовать CommonCrypto ...
Я думаю, что это ничего не значит. Apple выпускает CommonCrypto, конечно же, они порекомендуют это!
Что Apple не говорит вам, они молча покидают ОС, Frameworks и библиотеки. Поэтому, как только вы перевернете что-то, связанное с их библиотеками, вы будете уязвимы, потому что они не поддерживают свои исправления.
В качестве примера, Apple никогда не поддерживала их ECDHE-ECDSA bug fix in SecureTransport, поэтому в поле есть проблемы. В качестве другого примера, Apple никогда не поддерживала CVE-2014-1266 SecrueTransport's Goto Fail, так что в поле есть проблемы.В качестве еще одного примера Apple задумала 3 года, чтобы исправить Billion Laughs в своем XML-синтаксическом анализаторе. В качестве еще одного примера Apple никогда не исправляла CVE-2015-1130 (Hidden Backdoor with Root), поэтому в поле есть проблемы.
Apple также является пресловутым for releasing untested and substandard software.
Apple также сдерживает исправления и исправления, а также waits to provide them with their next latest-and-greatest OS press release.
Таким образом, я считаю, что лучший курс с точки зрения архитектуры и дизайна - это избегать Apple Framework и библиотек. Таким образом, вы можете обновить свое приложение и закрыть дыры в безопасности и ошибки независимо от того, что делает Купертино. Пользователи будут наслаждаться вашим обновленным приложением, независимо от действий Apple или отсутствия действий.
Также см. Mobile Development Architecture (Vendor Patching vs App Updates)? в списке рассылки мобильной безопасности OWASP.
Да, в Mac OS X 10.11 можно построить 'openssl-fips-2.0.12': я использовал' sh ./Configure --prefix =/opt/openssl darwin64-x86_64-cc' для выполнения задания. Выберите, где вы хотите установить программное обеспечение вместо '/ opt/openssl', если вы хотите, чтобы он был установлен где-то в другом месте. –
Для DRBG (генератор детерминированных случайных бит) вы можете посмотреть [DRBG Validation] (http://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbgval.html), который содержит несколько записей для Apple (816, а целая группа больше в диапазоне 800-811). Кажется, это AES-128, но не AES-256. Есть также запись для OpenSSL на 845. Помогает ли это? (Также обратите внимание на [DRBG Historical] (http://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbghistoricalval.html) для более не одобренных генераторов случайных чисел Dual_EC_DRBG (поисковый запрос Google «drbg validation».) –
Jonathon, возможно, я что-то не так. После этого вы смогли выполнить FIPS_mode_set() и успешно войти в режим fips? –