<div dir="ltr">Thanks for the input, all. Those are basically the responses I was expecting, I just wanted to see it in writing as I couldn't find a clear answer during a short internet search.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 4, 2016 at 10:57 AM, Dr. Stephen Henson <span dir="ltr"><<a href="mailto:steve@openssl.org" target="_blank">steve@openssl.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, Feb 04, 2016, Thomas Francis, Jr. wrote:<br>
<br>
><br>
> AFAIK, you could limit it to the appropriate cipher suites, but be aware<br>
> that FIPS 140 is all about proving that only certain known and tested<br>
</span>> [implementations of] algorithms are used.  It???s unlikely that another<br>
<span class="">> version of OpenSSL would use exactly the same implementations (after all,<br>
</span>> fixes and performance enhancements have been added), and there???d still be<br>
<span class="">> nothing to prove those are the approved algorithms, even if they were the<br>
</span>> exact same.  So I can???t imagine any auditor approving such a setup.<br>
><br>
<br>
That's correct: when you enter FIPS mode OpenSSL switches algorithm<br>
implementations to those in the validated FIPS module and changes several<br>
other things such as the use of DRBGs for random number generation instead of<br>
the usual OpenSSL PRNG. If you're not in FIPS mode this wont happen and you<br>
wont be using validated versions of algorithms.<br>
<br>
Steve.<br>
--<br>
Dr Stephen N. Henson. OpenSSL project core developer.<br>
Commercial tech support now available see: <a href="http://www.openssl.org" rel="noreferrer" target="_blank">http://www.openssl.org</a><br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>
</div></div></blockquote></div><br></div>