나는 mod_ssl을를 통해 추적 한과 OpenSSL을 FIPS 코드가 최선 내가 할 수와 나는 mod_ssl.conf
파일에 주어진 SSLRandomSeed
구성 매개 변수는 단순히 유용한 아무것도하지 않는 것을 믿는다 FIPS 모드는 mod_ssl에서 사용 가능합니다.mod_ssl을 활성화하고 SSLRandomSeed
코드를 ssl_init_Module()
으로 추적하면 FIPS 모드가 설정되기 전에 ssl_rand_seed()
함수가 호출 된 것으로 나타납니다. ssl_rand_seed()
은 지정된 SSLRandomSeed 정의 소스에서 시드를 수행하지만 FIPS 모드로 전환하면 아무 정보도 유지하지 않고 DRBG가 처음부터 다시 작성됩니다.
실제로 OpenSSL의 FIPS 모드는 OpenSSL 기본 코드에 정의 된 DEVRANDOM 매크로에 따라/dev/urandom,/dev/random 및/dev/srandom (이 순서대로)에서 소스로 이동하는 것처럼 보입니다 표준 Linux 타겟 용으로 컴파일 할 때 e_os.h.
누구나이 조합에 대해 경험이 있습니까?
처리 된 파일과 같이 런타임에 선택한 엔트로피 소스를 제공하는 방법에 대해 의견을 쓸 수 있습니까? 임의성 소스를 변경하려고 할 때마다 OpenSSL을 다시 컴파일하고 새로운 DEVRANDOM 정의를 제공해야합니까?