我已经通过mod_ssl的跟踪和OpenSSL的 FIPS代码,尽我所能,我相信,在mod_ssl.conf
文件中给出的SSLRandomSeed
配置参数根本没有做任何有用的当FIPS模式在mod_ssl中启用。了mod_ssl与FIPS模式中启动SSLRandomSeed
跟踪ssl_init_Module()
中的代码似乎表明函数ssl_rand_seed()
在FIPS模式设置之前调用。 ssl_rand_seed()
将从给定的SSLRandomSeed定义的源执行播种,但是一旦切换到FIPS模式,DRBG将从头开始重新创建而不保留任何信息。
事实上,根据OpenSSL基本代码中定义的DEVRANDOM宏,OpenSSL的FIPS模式似乎不符合从/ dev/urandom,/ dev/random和/ dev/srandom(按此顺序)编译为标准Linux目标时的e_os.h。
有没有人有这种组合的经验?
他们可以评论如何提供运行时选择的熵源如加工文件吗?每次我想更改我的随机源时,是否必须重新编译OpenSSL并提供新的DEVRANDOM定义?