<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 5, 2018 at 3:04 AM, Dr. Matthias St. Pierre <span dir="ltr"><<a href="mailto:Matthias.St.Pierre@ncp-e.com" target="_blank">Matthias.St.Pierre@ncp-e.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="gmail-"><br>
<br>
On 05.03.2018 11:57, Dr. Matthias St. Pierre wrote:<br>
><br>
> However, I am sceptical whether this approach will be accepted,<br>
> because there are (at least) two potential problems:<br>
><br>
> * Normally, it is mandatory to check the result of FIPS_mode_set() or<br>
> FIPS_mode() to ensure that the FIPS initialization succeeded. However,<br>
> an application which is not FIPS-aware won't check the result.<br>
> * It can happen that applications which have their own configuration<br>
> and enable/disable FIPS mode explicitely, call FIPS_mode_set(0)<br>
> afterwards.<br>
><br>
><br>
> HTH,<br>
> Matthias<br>
><br>
<br>
</span>One more obstacle: In FIPS mode it is not allowed to use low level<br>
crypto algorithms, only the EVP interface is allowed. So most of your<br>
non-fips-aware applications will malfunction when forced into FIPS mode.<br>
The consequence is: it's probably not possible to do it.<br></blockquote><div> </div><div>Did you mean if an application uses the low level crypto algorithm functions (e.g. SHA256_Init/ SHA256_Update/ SHA256_Final) then they won't work under FIPS mode (and hence may cause unpredictable issues)?</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<span class="gmail-HOEnZb"><font color="#888888"><br>
Matthias<br>
<br>
--<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/<wbr>mailman/listinfo/openssl-users</a><br>
</font></span></blockquote></div><br></div></div>