Tham gia Đăng nhập
Điểm:0
Brad Solomon avatar Ubuntu

dịch vụ fips-updates UA dường như không tắt MD5

lá cờ pt
Brad Solomon

Tôi có fips-cập nhật được bật trên phiên bản Ubuntu 20.04.2 EC2 thông qua Ubuntu Advantage, nhưng MD5 dường như vẫn được phép và đang hoạt động.

$ sudo ua trạng thái
MÔ TẢ TÌNH TRẠNG ĐƯỢC HƯỞNG DỊCH VỤ
...
fips yes n/a gói cốt lõi được NIST chứng nhận
fips-updates yes kích hoạt các gói lõi được NIST chứng nhận với các bản cập nhật bảo mật ưu tiên
...

$ cat /proc/sys/crypto/fips_enabled
1

Tuy nhiên, tôi vẫn có thể lấy thông báo md5 của chuỗi byte (lệnh sau không có lỗi).

$ python3 -c 'nhập hashlib; hashlib.md5(b"foo").digest()'

Trên các hệ thống RHEL có bật FIPS, việc chạy cùng lệnh này là một thử nghiệm dễ dàng để thấy rằng FIPS thực sự đang được thực thi, khi lệnh gọi đến hashlib.md5() sẽ phá vỡ hoàn toàn với một ValueError.

Điều gì giải thích cho sự khác biệt này? Có phải giả định với Ubuntu là người dùng quyết định liệu Md5 có được sử dụng để bảo vệ dữ liệu bằng mật mã hay không, thay vì vô hiệu hóa nó hoàn toàn?

125
1 + 0
Điểm:1
Brad Solomon avatar Ubuntu
lá cờ pt
Brad Solomon

Các tài liệu Ubuntu ngụ ý rằng chỉ một tập hợp con các gói là các thành phần được xác thực FIPS 140 có sẵn với Ubuntu Advantage và Ubuntu Pro, bao gồm:

  • API mã hóa hạt nhân Linux
  • ứng dụng khách OpenSSH
  • máy chủ OpenSSH
  • OpenSSL
  • libcrypt
  • MạnhSwan

với trăn3 không phải là một trong số họ. Và với Python _md5 mô-đun được triển khai từ đầu trong C, nó dường như có thể tồn tại bên ngoài thực thi FIPS 140-2 hiện tại.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.