
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 14 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Tahoma;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman","serif";}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.hoenzb


        {mso-style-name:hoenzb;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri","sans-serif";}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">No.   You can check with the OpenSSH mailing list, but I’m pretty darned sure the answer is no.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">---<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">Scott Neugroschl | XYPRO Technology Corporation<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:black">4100 Guardian Street | Suite 100 |Simi Valley, CA 93063 | Phone 805 583-2874|Fax 805 583-0124 |<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> openssl-users [mailto:openssl-users-bounces@openssl.org]


<b>On Behalf Of </b>Eric Tremblay<br>


<b>Sent:</b> Wednesday, October 26, 2016 3:06 PM<br>


<b>To:</b> openssl-users@openssl.org<br>


<b>Subject:</b> Re: [openssl-users] Enabling FIPS on an custom embedded system.<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">Hi Steve,<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Thanks for the quick reply.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">That is what I had understand from my reading but wasn't sure.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">My next question is about OpenSSH.  There is no official support in OpenSSH for FIPS at the moment right ?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Thanks<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Eric<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">On Wed, Oct 26, 2016 at 5:04 PM, Steve Marquess <<a href="mailto:marquess@openssl.com" target="_blank">marquess@openssl.com</a>> wrote:<o:p></o:p></p>


<p class="MsoNormal">On 10/26/2016 04:37 PM, Eric Tremblay wrote:<br>


> Hi all,____<br>


><br>


> __ __<br>


><br>


> I have built the FIPS module into our Platform but I am stuck at the<br>


> point to enable it.____<br>


><br>


> __ __<br>


><br>


> We need FIPS to be enabled « Platform wide » not just for one<br>


> application.____<br>


><br>


> __ __<br>


><br>


> I have read the documentation and search on the web for answer but it<br>


> seem that I would have ____<br>


><br>


> to modify a package or write a small application just to enable FIPS.____<br>


><br>


> __ __<br>


><br>


> Is there another way to enable it on startup of Linux ?  or maybe<br>


> something in OpenSSH ?____<br>


><br>


> __ __<br>


><br>


> I also read about the OPENSSL_Config in the User Guide but I’m not sure<br>


> if/who and how it is called.____<br>


><br>


> __ __<br>


><br>


> I am working with OpenSSL 1.0.2j and FIPS 2.0.9.____<br>


><br>


> __ __<br>


><br>


> Thanks____<br>


><br>


> __ __<br>


><br>


> Eric<br>


><br>


><br>


><br>


<br>


<br>


Hmmm ... where to start.<br>


<br>


First there is really no such thing as "enabling FIPS" for a platform.<br>


The FIPS module is executable code that runs in the context of a<br>


process, and to be righteous FIPS-wise each process (that uses<br>


cryptography) must invoke the FIPS_mode_set() call that performs the<br>


mandatory POST (Power Up Self Test). Note that is true even when the<br>


FIPS module is embedded in a shared library (the "FIPS enabled"<br>


OpenSSL), as each process using said shared library maps writable data<br>


into its own private address space.<br>


<br>


So to make the sweeping claim that a "platform" is FIPS enabled, you<br>


must make sure that *every* process for that platform enables FIPS mode<br>


via a FIPS_mode_set() call (whether directly or indirectly). Note that<br>


for your typical general purpose (e.g. Windows or Linux-like) operating<br>


system that is an essentially unachievable goal, as not all of the many<br>


crypto-using applications are readily converted to use the FIPS enabled<br>


OpenSSL (for instance OpenSSH needs non-trivial hacks). Likewise<br>


kernel-mode crypto can't be addressed with the OpenSSL FIPS module.<br>


<br>


For that reason the wise and prudent vendor does not attempt to "enable<br>


FIPS" for an entire platform (for Level 1 validations), but rather only<br>


makes claims about specific individual applications running on that<br>


platform.<br>


<br>


In the case where all processes of interest are compatible with the FIPS<br>


capable OpenSSL (specifically, not referencing any other crypto<br>


implementations, or non-approved cryptographic operations), then<br>


OPENSSL_config() can in principle be used to indirectly call<br>


FIPS_mode_set() for each such application. That is only *after* every<br>


such application/process has *first* been modified for compatibility<br>


with the FIPS capable OpenSSL. Very few applications not already<br>


designed to support the OpenSSL FIPS module will be compatible without<br>


some degree of modification.<br>


<br>


-Steve M.<br>


<span style="color:#888888"><br>


<span class="hoenzb">--</span><br>


<span class="hoenzb">Steve Marquess</span><br>


<span class="hoenzb">OpenSSL Validation Services, Inc.</span><br>


<span class="hoenzb">1829 Mount Ephraim Road</span><br>


<span class="hoenzb">Adamstown, MD  21710</span><br>


<span class="hoenzb">USA</span><br>


<span class="hoenzb"><a href="tel:%2B1%20877%20673%206775">+1 877 673 6775</a> s/b</span><br>


<span class="hoenzb"><a href="tel:%2B1%20301%20874%202571">+1 301 874 2571</a> direct</span><br>


<span class="hoenzb"><a href="mailto:marquess@openssl.com">marquess@openssl.com</a></span><br>


<span class="hoenzb">gpg/pgp key: <a href="http://openssl.com/docs/0x6D1892F5.asc" target="_blank">


http://openssl.com/docs/0x6D1892F5.asc</a></span><br>


<span class="hoenzb">--</span><br>


<span class="hoenzb">openssl-users mailing list</span><br>


<span class="hoenzb">To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" target="_blank">


https://mta.openssl.org/mailman/listinfo/openssl-users</a></span></span><o:p></o:p></p>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</div>


</body>


</html>