<p dir="ltr">Hi all,</p>
<p dir="ltr">I work on a consumer application which is striving to be fips-140-2 compliant.</p>
<p dir="ltr">I'm using OpenSSL as recommended in the fips guide by invoking fips_mode_set(). However, in certain parts of the same application, I'm using my own non-OpenSSL random number generator to generate salts for hashing passwords for the app user accounts(I'm not using RAND_bytes).</p>
<p dir="ltr">Does anyone know if using my custom random number generator in this way violates the app's fips compliance? Am I really supposed to be using <br>
RAND_bytes for compliance reasons?<br></p>
<p dir="ltr">Thanks in advance!<br>
Pratyush.</p>