<div dir="auto"><div>Step a. needs to verified the digest with an existing FIPS 140-2 validated cryptography implementation.  Otherwise, to my understanding, this is the correct sequence of events.</div><div dir="auto"><br></div><div dir="auto">Do note that after building the fipscanister.lib, you will want to digest it and print it on a certification letter that it was built as specified in the Security Policy, signed and dated by the person who built it (preferably also with details of the build chain).  Also, when you build anything that links that library, you will want to verify the digest against that letter before linking, and write a new letter specifying the product name and version, the digest of the output, and that it was also built in accordance with the Security Policy.  This should also be signed and dated.  (these letters will help establish for FIPS-requiring procurement agencies that FIPS 140-2 conformance is achieved in,what they are procuring from you.)</div><div dir="auto"><br></div><div dir="auto">-Kyle H</div><div dir="auto"><br></div><div dir="auto"><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Wed, Jul 3, 2019, 11:55 Dipak B <<a href="mailto:deepak.redmi2@gmail.com">deepak.redmi2@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Dear Experts,<div><br></div><div>Can you please help me with the following question?</div><div><br></div><div><div>My win32 desktop application uses 'libcurl' to interact with web service, in order to get my application FIPS 140-2 certified, following is the plan which I arrived at after going through the 'User Guide' and 'Security Policy' pdfs.</div><div><br></div></div><div>Plan:</div><div>a. After verifying HMAC-SHA1 of openssl-fips-2.0.16.tar.gz, build it to generate fipscanister.lib (FOM) as windows static library.</div><div>b. Build libcurl as windows static library using above fipscanister.lib</div><div>c. Link my desktop application with above libcurl.lib after adding FIPS_mode_set()</div><div><br></div><div>Questions:</div><div>a. On following points a, b,c, can I confirm that my application is FIPS 140-2 certified?</div><div>b.  fipscanister.lib is always static library and it can be substituted for libssl.lib / ssleay.lib?</div><div><br></div><div>Thank you,</div><div>Deepak</div></div>
</blockquote></div></div></div>