<div dir="ltr">Two things to consider with IPSec: key exchange mechanisms as provided by packages like StrongSwan, and the actual encryption/authentication of packets that is typically being done by the kernel stack and I believe is based on the Kernel Crypto API. So I believe to do IPSec you do need both crypto "libraries" to be FIPS-validated, perhaps as separate crypto modules. <div><br></div><div>Kevin</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 14, 2015 at 8:51 AM, jonetsu <span dir="ltr"><<a href="mailto:jonetsu@teksavvy.com" target="_blank">jonetsu@teksavvy.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Salz, Rich wrote<br>
<span class="">> As the old joke goes, "if you have to ask, you can't afford it."<br>
<br>
</span>Well, exploration can be free.  I noticed that Strongswan uses a plug-in<br>
architecture for crypto that seemingly allows the use of OpenSSL instead of<br>
the kernel for crypto operations, for use under FIPS.  Does anyone have an<br>
idea of the order of magnitude in performance loss this could be for IPSec,<br>
to use crypto from OpenSSL instead of the kernel ?<br>
<br>
Regards.<br>
<br>
<br>
<br>
<br>
--<br>
View this message in context: <a href="http://openssl.6102.n7.nabble.com/openssl-users-FIPS-mode-restrictions-and-DES-tp57497p57541.html" target="_blank">http://openssl.6102.n7.nabble.com/openssl-users-FIPS-mode-restrictions-and-DES-tp57497p57541.html</a><br>
<span class="im HOEnZb">Sent from the OpenSSL - User mailing list archive at Nabble.com.<br>
</span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>
</div></div></blockquote></div><br></div>