Может ли MySQL с OpenSSL работать в режиме FIPS?
У меня есть сборка OpenSSL, в которой используется объектный модуль FIPS для криптографии с проверкой FIPS. Некоторые приложения, такие как Tomcat, поддерживают использование этого специализированного FIPS OpenSSL. Вы компилируете с использованием криптографических библиотек OpenSSL, а затем устанавливаете параметр в некотором файле конфигурации (для Tomcat это будет FIPSMode = on в server.xml ).
Я хотел бы использовать FIPS OpenSSL с MySQL. Я знаю, что вы можете собрать MySQL для использования OpenSSL , но я не обнаружил никаких указаний на то, что вы можете включить режим FIPS через файл конфигурации или каким-либо другим способом. Возможно ли это?
Немного предыстории: чтобы использовать OpenSSL в режиме FIPS, приложение должно вызывать FIPS_mode_set (), и это должно возвращать ненулевое значение. Tomcat сделает это за вас, если вы установите соответствующий флаг FIPSMode в server.xml. MySQL, похоже, не имеет такого флага. Может быть, есть другие средства для этого.
Может ли MySQL с OpenSSL работать в режиме FIPS?
Скорее всего, нет. FIPS 140-2 не позволяет использовать алгоритмы MD5 и SHA-1 (некоторые отказы рук, потому что есть явные исключения, предусмотренные, например, в PRF, используемом в TLS).
К сожалению, некоторые версии MySQL все еще полагаются на SHA-1 для некоторых внутренних функций, таких как хеширование паролей. Сюда входит последняя версия MySQL, 5.7 на момент написания этой статьи.
В прошлом я видел исправления, которые позволяют MySQL соответствовать критериям FIPS 140-2, но они предоставляются третьими сторонами. Однако самому приложению, вероятно, все равно потребуется формальная оценка, как только оно достигнет точки, в которой оно действительно сможет пройти пункты флажка из FIPS 140-2.