<div dir="ltr"><pre style="white-space:pre-wrap;color:rgb(0,0,0)">Thanks John.</pre><pre style="white-space:pre-wrap;color:rgb(0,0,0)">In that case it may be more complicated to invoke the <i style="font-family:arial,sans-serif">FIPS_mode_set </i><span style="font-family:arial,sans-serif">API from the Python layer. Is there anyway to make the FIPS mode always enabled by default in the library layer, so that there's no need to invoke the </span><span style="font-family:arial,sans-serif">FIPS_mode_set API?</span></pre><pre style="white-space:pre-wrap;color:rgb(0,0,0)"><span style="font-family:arial,sans-serif">Thanks.</span></pre><pre style="white-space:pre-wrap;color:rgb(0,0,0)">----------------</pre><pre style="white-space:pre-wrap;color:rgb(0,0,0)">Your first question should be presented to the Python developers that
provide support for OpenSSL.  They would be the user of the OpenSSL
API.  I'm not a Python expert, but somewhere they would have a native
layer that leverages the OpenSSL API.  This native layer code would need
to invoke FIPS_mode_set().  The question is whether our not they expose
a knob to the Python user layer to enable/disable FIPS.  Maybe someone
on this mailer happens to know the answer.  If not, reach out to the
Python developer community.

Regarding your second question, FIPS_mode_set() needs to be invoked once
within each process space.  Therefore, if your Python code was all
running in a single process space, then you'd only need to invoke it
once.  But if you're spawning multiple processes, then you'll need to
invoke it whenever a new process was created.


On 09/14/2015 03:51 PM, security veteran wrote:
><i> Hi, 
</i>><i>
</i>><i> I've built an openssl library with the FIPS objects modules, and I was
</i>><i> testing the new lib files by replacing the original library files such
</i>><i> as libcrypto.so with the new ones.
</i>><i>
</i>><i> From the FIPS user guide I understand that any applications which need
</i>><i> to use the OpenSSL FIPS modules will need to run the API FIPS_mode_set
</i>><i> to enable the FIPS mode.
</i>><i>
</i>><i> My question is, for the applications/ libraries like Python-openssl
</i>><i> which depends on the openssl libraries, how do I make the
</i>><i> Python-openssl module to run the FIPS_mode_set API, in order to
</i>><i> initialize/enable FIPS mode?
</i>><i>
</i>><i> Also, does the FIPS_mode_set API only need to be run once by one of
</i>><i> the applications/ libraries which use OpenSSL?
</i>><i>
</i>><i> Thanks for your helps!
</i>><i>
</i>><i>
</i>><i> _______________________________________________
</i>><i> openssl-users mailing list
</i>><i> To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users">https://mta.openssl.org/mailman/listinfo/openssl-users</a></i></pre></div>