Security Professionals
- ipfw add deny all from eindgebruikers to any
FIPS 140-2 validated OpenSSL wordt niet meer ondersteund
17-09-2019, 10:39 door Anoniem, 15 reacties
Hoi,
"The OpenSSL project is no longer maintaining either the 1747 or the 2398 module."
Bron: https://www.openssl.org/docs/fips.html
Dit betekend dat CMVP de certificering zal intrekken zodra er een kwetsbaarheid bekend word in de betrefende versie.
Het is onzeker of er een nieuwe gevalideerde versie beschikbaar zal zijn tegen die tijd:
"We are starting work on a new validation, after the 1.1.1 release completes. That module will have a small set of validated operational environments."
Weet er iemand een open source alternatief dat gecertificeerd is en nog ondersteund wordt?
Jacco
"The OpenSSL project is no longer maintaining either the 1747 or the 2398 module."
Bron: https://www.openssl.org/docs/fips.html
Dit betekend dat CMVP de certificering zal intrekken zodra er een kwetsbaarheid bekend word in de betrefende versie.
Het is onzeker of er een nieuwe gevalideerde versie beschikbaar zal zijn tegen die tijd:
"We are starting work on a new validation, after the 1.1.1 release completes. That module will have a small set of validated operational environments."
Weet er iemand een open source alternatief dat gecertificeerd is en nog ondersteund wordt?
Jacco
Reacties (15)
FIPS-140.2 is uitsluitend voor de Amerikaanse overheid van belang. Waar is voor jou de relevantie?
Je kunt beter gebruik maken van LibreSSL, dat is niet gecertificeerd, maar wordt wel strikt geaudit en alle OpenSSL meuk wordt verwijderd. Letterlijk de achtergebleven meuk is en wordt verwijderd. Dat moet je je bij OpenSSL nog maar afvragen.
Je kunt beter gebruik maken van LibreSSL, dat is niet gecertificeerd, maar wordt wel strikt geaudit en alle OpenSSL meuk wordt verwijderd. Letterlijk de achtergebleven meuk is en wordt verwijderd. Dat moet je je bij OpenSSL nog maar afvragen.
Door Anoniem: FIPS-140.2 is uitsluitend voor de Amerikaanse overheid van belang. Waar is voor jou de relevantie?
Je kunt beter gebruik maken van LibreSSL, dat is niet gecertificeerd, maar wordt wel strikt geaudit en alle OpenSSL meuk wordt verwijderd. Letterlijk de achtergebleven meuk is en wordt verwijderd. Dat moet je je bij OpenSSL nog maar afvragen.
Je kunt beter gebruik maken van LibreSSL, dat is niet gecertificeerd, maar wordt wel strikt geaudit en alle OpenSSL meuk wordt verwijderd. Letterlijk de achtergebleven meuk is en wordt verwijderd. Dat moet je je bij OpenSSL nog maar afvragen.
OpenSSL had altijd al problemen. Maar hij heeft een bepaalde module nodig. Ik kan deze niet.
Beiden heren dank voor de tips.
Wat SSL betreft het is uit met de pret. Ik heb net onder het koffie drinken gekeken of er nog een oplossing kwam aanwaaien met mijn eigen projectje (TLS/OpenSSL) maar er kwam geen hulp, geen antwoorden op vragen op fora en dat na 3 jaar met een bekend en specifiek issue in TLS... dan maar de gladiolen naar Libre verhuizen. Het is wel opensource dus in het licht van opensources en referenties aan bekende pointers (FIPS gerelateeerd) is er relatieve veiligheid.
FIPS 140-2 validated OpenSSL wordt niet meer ondersteund
Detail: FIPS Object Module 2.0 wordt niet meer onderhouden.
Men concentreert zich nu op FIPS Object Module 3.0.
https://wiki.openssl.org/index.php/FIPS_modules
https://wiki.openssl.org/index.php/FIPS_module_3.0
https://www.openssl.org/blog/blog/2018/09/25/fips/
(kan nog ff duren vanwege de hoge eisen ; openssl 3.0.0 ?)
Voor een klant in Armenie wachten wij nog op openssl 3.0
Eindeloos wachten
Eindeloos wachten
Door Anoniem:
OpenSSL had altijd al problemen. Maar hij heeft een bepaalde module nodig. Ik kan deze niet.
Beiden heren dank voor de tips.
Wat SSL betreft het is uit met de pret. Ik heb net onder het koffie drinken gekeken of er nog een oplossing kwam aanwaaien met mijn eigen projectje (TLS/OpenSSL) maar er kwam geen hulp, geen antwoorden op vragen op fora en dat na 3 jaar met een bekend en specifiek issue in TLS... dan maar de gladiolen naar Libre verhuizen. Het is wel opensource dus in het licht van opensources en referenties aan bekende pointers (FIPS gerelateeerd) is er relatieve veiligheid.
Door Anoniem: FIPS-140.2 is uitsluitend voor de Amerikaanse overheid van belang. Waar is voor jou de relevantie?
Je kunt beter gebruik maken van LibreSSL, dat is niet gecertificeerd, maar wordt wel strikt geaudit en alle OpenSSL meuk wordt verwijderd. Letterlijk de achtergebleven meuk is en wordt verwijderd. Dat moet je je bij OpenSSL nog maar afvragen.
Je kunt beter gebruik maken van LibreSSL, dat is niet gecertificeerd, maar wordt wel strikt geaudit en alle OpenSSL meuk wordt verwijderd. Letterlijk de achtergebleven meuk is en wordt verwijderd. Dat moet je je bij OpenSSL nog maar afvragen.
OpenSSL had altijd al problemen. Maar hij heeft een bepaalde module nodig. Ik kan deze niet.
Beiden heren dank voor de tips.
Wat SSL betreft het is uit met de pret. Ik heb net onder het koffie drinken gekeken of er nog een oplossing kwam aanwaaien met mijn eigen projectje (TLS/OpenSSL) maar er kwam geen hulp, geen antwoorden op vragen op fora en dat na 3 jaar met een bekend en specifiek issue in TLS... dan maar de gladiolen naar Libre verhuizen. Het is wel opensource dus in het licht van opensources en referenties aan bekende pointers (FIPS gerelateeerd) is er relatieve veiligheid.
Duidelijk.
Zolang er geen ernstige problemen/gebreken of kwetsbaarheden aan het licht zijn gekomen bij de reeds bestaande FIPS versie van Openssl én het bovendien ondersteuning biedt voor het platform waar jij het voor wilt gebruiken
dan kan je het FIPS module 2 resultaat natuurlijk nog gewoon blijven inzetten als je kan.
Maar dan alleen met Openssl versie 1.0.2, en geen enkele andere versie.
Over de toekomstige versie (d.w.z. "module 3") wordt daar verder nog gezegd:
Meer info over de reeds bestaande Openssl-versie van FIPS-140(-2): https://www.openssl.org/docs/fips.html
dan kan je het FIPS module 2 resultaat natuurlijk nog gewoon blijven inzetten als je kan.
Maar dan alleen met Openssl versie 1.0.2, en geen enkele andere versie.
Over de toekomstige versie (d.w.z. "module 3") wordt daar verder nog gezegd:
That module will have a small set of validated operational environments. The OpenSSL project is
no longer involved in private label validations nor adding platforms to the existing certificates.
verwacht er dus niet teveel van...no longer involved in private label validations nor adding platforms to the existing certificates.
Meer info over de reeds bestaande Openssl-versie van FIPS-140(-2): https://www.openssl.org/docs/fips.html
"FIPS-140.2 is uitsluitend voor de Amerikaanse overheid van belang. "
FIPS 140-2 is niet uitsluitend relevant voor de Amerikaanse overheid. Andere overheden hebben deze standaard ook geadopteerd zoals Canada. Tevens zijn alle contractors van deze overheden verplicht om software te gebruiken die aan deze standaard voldoet.
"Waar is voor jou de relevantie?"
Het antwoord zit in de zin voor je vraag. Wanneer je software wil verkopen aan overheden en hunn contractors die aan die standaard moeten voldoen is dit relevant.
Uitgaande van de reacties hier is er dus geen open source alternatief wanneer de certificering word ingetrokken.
Mocht iemand nog iets te binnen schieten dan hoor ik het graag
Jacco
FIPS 140-2 is niet uitsluitend relevant voor de Amerikaanse overheid. Andere overheden hebben deze standaard ook geadopteerd zoals Canada. Tevens zijn alle contractors van deze overheden verplicht om software te gebruiken die aan deze standaard voldoet.
"Waar is voor jou de relevantie?"
Het antwoord zit in de zin voor je vraag. Wanneer je software wil verkopen aan overheden en hunn contractors die aan die standaard moeten voldoen is dit relevant.
Uitgaande van de reacties hier is er dus geen open source alternatief wanneer de certificering word ingetrokken.
Mocht iemand nog iets te binnen schieten dan hoor ik het graag
Jacco
Uitgaande van de reacties hier is er dus geen open source alternatief wanneer de certificering word ingetrokken.
Jacco
Kan zijn, alleen het is wel FIPS en daarbij gaat men meestal niet over één nacht ijs, dus die kans lijkt me niet zo groot.Jacco
Waarschijnlijker is misschien wel dat de hele FIPS 140-2 standaard wordt ingetrokken voor het zover is.
"Withdrawal FIPS standard" gebeurt namelijk ook af en toe. ;)
Door Anoniem:
Waarschijnlijker is misschien wel dat de hele FIPS 140-2 standaard wordt ingetrokken voor het zover is.
"Withdrawal FIPS standard" gebeurt namelijk ook af en toe. ;)
Uitgaande van de reacties hier is er dus geen open source alternatief wanneer de certificering word ingetrokken.
Jacco
Kan zijn, alleen het is wel FIPS en daarbij gaat men meestal niet over één nacht ijs, dus die kans lijkt me niet zo groot.Jacco
Waarschijnlijker is misschien wel dat de hele FIPS 140-2 standaard wordt ingetrokken voor het zover is.
"Withdrawal FIPS standard" gebeurt namelijk ook af en toe. ;)
FIPS 140-3 is goedgekeurd, dus er zal niet veel aandacht meer worden besteed aan FIPS 140-2.
"FIPS 140-3 becomes effective on September 22, 2019;
FIPS 140-3 testing, through the Cryptographic Module Validation Program (CMVP), will begin September 22, 2020; and
FIPS 140-2 testing will continue for at least a year after FIPS 140-3 testing begins."
Bron: https://www.nist.gov/news-events/news/2019/05/announcing-approval-and-issuance-fips-140-3-security-requirements
Jacco
Door Anoniem: "FIPS-140.2 is uitsluitend voor de Amerikaanse overheid van belang. "
FIPS 140-2 is niet uitsluitend relevant voor de Amerikaanse overheid. Andere overheden hebben deze standaard ook geadopteerd zoals Canada. Tevens zijn alle contractors van deze overheden verplicht om software te gebruiken die aan deze standaard voldoet.
"Waar is voor jou de relevantie?"
Het antwoord zit in de zin voor je vraag. Wanneer je software wil verkopen aan overheden en hunn contractors die aan die standaard moeten voldoen is dit relevant.
Uitgaande van de reacties hier is er dus geen open source alternatief wanneer de certificering word ingetrokken.
Mocht iemand nog iets te binnen schieten dan hoor ik het graag
Jacco
FIPS 140-2 is niet uitsluitend relevant voor de Amerikaanse overheid. Andere overheden hebben deze standaard ook geadopteerd zoals Canada. Tevens zijn alle contractors van deze overheden verplicht om software te gebruiken die aan deze standaard voldoet.
"Waar is voor jou de relevantie?"
Het antwoord zit in de zin voor je vraag. Wanneer je software wil verkopen aan overheden en hunn contractors die aan die standaard moeten voldoen is dit relevant.
Uitgaande van de reacties hier is er dus geen open source alternatief wanneer de certificering word ingetrokken.
Mocht iemand nog iets te binnen schieten dan hoor ik het graag
Jacco
Uiteraard is geen ander open source alternatief. Enig idee hoeveel de certificatie kost? En hoe zinloos die is (bedenk dat de zeer lekke OpenSSL implementaties ook FIPS compliant waren). Welk Open Source heeft de resources om certificatie te betalen en te behouden? Wat is de incentive hiervoor?
In Europa hoeven we niet te voldoen aan NIST. In Europa hoeven we niet te voldoen aan FIPS. Dus ik herhaal de vraag: waarom denk je FIPS certificatie (of het nu FIPS-140-2 of FIPS 140-3 is) te moeten hebben? Denk je nu echt gekozen te worden voor software voor de Amerikaanse overheid, zeker onder de huidige Amerikaanse regering? Dat is toch wel een naïeve instelling.
Noch de google implementatie BoringSSL, noch de OpenBSD implementatie LibreSSL, noch mbedTLS (het vroegere PolarSSL) zijn of worden FIPS gecertificeerd.
Een goede referentie biedt wikipedia in dit geval: https://en.wikipedia.org/wiki/Comparison_of_TLS_implementations
PS ik was degene op wie je reageerde.
Ok. thanks. Als je maar onderscheid maakt tussen "certificering intrekken" (bijv. bij een ontdekte kwetsbaarheid in een eerder goedgekeurde module) en "een complete FIPS-xxxx standaard afschaffen".
Over dit laatste:
Dus in elk geval kan er geen nieuwe standaard komen zonder dat er oplossingen beschikbaar zijn.
Verder als openssl geen tijd meer besteed aan FIPS140-2 is de kans weer kleiner dat in een reeds gecertificeerde module toch nog een kwetsbaarheid wordt gevonden. Iedere wijziging in de gecertificeerde SW vereist namelijk hercertificering: uitvoerig testen, bestuderen en vergelijken met de norm.
Het is zelfs aangekaart dat dit een zwakheid in het hele proces is: de ontwikkelende bedrijven hebben er voordeel bij wanneer ze kwetsbaarheden verzwijgen om zodoende hercertificering te voorkomen hetgeen immers een langdurig en kostbaar proces is.
De beste keuze hangt lijkt mij voornamelijk af van welke (reële) eisen je stelt, welke alternatieven er zijn en hoe urgent het allemaal voor je is.
Over dit laatste:
When are FIPS withdrawn?
When industry standards become available the federal government will withdraw a FIPS. Federal government departments and agencies are directed by the National Technology Transfer and Advancement Act of 1995 (P.L. 104-113), to use technical industry standards that are developed by voluntary consensus standards bodies. This eliminates the cost to the government of developing its own standards.
In other cases, a FIPS may be withdrawn when a commercial product that implements the standard becomes widely available.
https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fipsWhen industry standards become available the federal government will withdraw a FIPS. Federal government departments and agencies are directed by the National Technology Transfer and Advancement Act of 1995 (P.L. 104-113), to use technical industry standards that are developed by voluntary consensus standards bodies. This eliminates the cost to the government of developing its own standards.
In other cases, a FIPS may be withdrawn when a commercial product that implements the standard becomes widely available.
Dus in elk geval kan er geen nieuwe standaard komen zonder dat er oplossingen beschikbaar zijn.
Verder als openssl geen tijd meer besteed aan FIPS140-2 is de kans weer kleiner dat in een reeds gecertificeerde module toch nog een kwetsbaarheid wordt gevonden. Iedere wijziging in de gecertificeerde SW vereist namelijk hercertificering: uitvoerig testen, bestuderen en vergelijken met de norm.
Het is zelfs aangekaart dat dit een zwakheid in het hele proces is: de ontwikkelende bedrijven hebben er voordeel bij wanneer ze kwetsbaarheden verzwijgen om zodoende hercertificering te voorkomen hetgeen immers een langdurig en kostbaar proces is.
De beste keuze hangt lijkt mij voornamelijk af van welke (reële) eisen je stelt, welke alternatieven er zijn en hoe urgent het allemaal voor je is.
Als ik zaken zou willen doen met de amerikaanse overheid dan neem ik toch gewoon de Firefox browser in FIPS mode
op een ondersteund platform om met ze te communiceren? (of denk ik nou te simpel?)
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/FIPS_Mode_-_an_explanation
op een ondersteund platform om met ze te communiceren? (of denk ik nou te simpel?)
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/FIPS_Mode_-_an_explanation
Nog een andere zo te zien kant en klare mogelijkheid speciaal voor FIPS is Red Hat Linux (Enterprise) produkten.
https://www.redhat.com/en/about/press-releases/red-hat-completes-fips-140-2-re-certification-red-hat-enterprise-linux-7
https://www.redhat.com/en/about/press-releases/red-hat-completes-fips-140-2-re-certification-red-hat-enterprise-linux-7
"Welk Open Source heeft de resources om certificatie te betalen en te behouden? Wat is de incentive hiervoor?"
OpenSSL: "the OpenSSL Project would like to formally express its thanks to the following organisations for agreeing to sponsor the next FIPS validation effort: Akamai Technologies, Blue Cedar, NetApp, Oracle, VMware."
"Nog een andere zo te zien kant en klare mogelijkheid speciaal voor FIPS is Red Hat Linux (Enterprise) produkten.
https://www.redhat.com/en/about/press-releases/red-hat-completes-fips-140-2-re-certification-red-hat-enterprise-linux-7"
Bedankt voor je goed reactie. nadcer onderzoek leert me dat de red hat certrificareing ook (deels) leunt op de OpenSSL ecrtificering. Ook Red-hat zal zijn status verliezen waneer de certificering van OpenSSL wordt ingetrokken.
Ik heb een verklaring gevonden van het OpenSSL team: "our objective remains to have a validated cryptographic module in place well before 31-Dec-2019"
source: https://www.openssl.org/blog/blog/2018/09/25/fips/
Nu maar hopen dat de huidige certificering niet word ingetrokken voor dat de nieuwe validatie rond is
OpenSSL: "the OpenSSL Project would like to formally express its thanks to the following organisations for agreeing to sponsor the next FIPS validation effort: Akamai Technologies, Blue Cedar, NetApp, Oracle, VMware."
"Nog een andere zo te zien kant en klare mogelijkheid speciaal voor FIPS is Red Hat Linux (Enterprise) produkten.
https://www.redhat.com/en/about/press-releases/red-hat-completes-fips-140-2-re-certification-red-hat-enterprise-linux-7"
Bedankt voor je goed reactie. nadcer onderzoek leert me dat de red hat certrificareing ook (deels) leunt op de OpenSSL ecrtificering. Ook Red-hat zal zijn status verliezen waneer de certificering van OpenSSL wordt ingetrokken.
Ik heb een verklaring gevonden van het OpenSSL team: "our objective remains to have a validated cryptographic module in place well before 31-Dec-2019"
source: https://www.openssl.org/blog/blog/2018/09/25/fips/
Nu maar hopen dat de huidige certificering niet word ingetrokken voor dat de nieuwe validatie rond is
Door Anoniem:
Ik heb een verklaring gevonden van het OpenSSL team: "our objective remains to have a validated cryptographic module in place well before 31-Dec-2019"
source: https://www.openssl.org/blog/blog/2018/09/25/fips/
Ik heb een verklaring gevonden van het OpenSSL team: "our objective remains to have a validated cryptographic module in place well before 31-Dec-2019"
source: https://www.openssl.org/blog/blog/2018/09/25/fips/
Wist je toch: zie derde link van post 17-09-2019, 19:07 door Anoniem ;)
Nu maar hopen dat de huidige certificering niet word ingetrokken voor dat de nieuwe validatie rond is
Je weet nooit, maar die kans acht ik niet zo groot. De SW is immers al een aantal jaren uitgekristaliseerd, en hercertificering is alleen noodzakelijk als minstens 30% van de wijzigingen betrekking heeft op security onderdelen van wat er gecertificeerd is. Zie https://www.corsec.com/fips-validation-do-i-need-to-revalidate/Dit al gezien(?):
https://csrc.nist.gov/projects/cryptographic-module-validation-program/Certificate/1747
https://csrc.nist.gov/projects/cryptographic-module-validation-program/Certificate/2398
https://csrc.nist.gov/projects/cryptographic-module-validation-program/Certificate/2473
Wat hier opvalt: "sunset date: 1/29/2022",
dus als er niets verandert is de openssl module 2.0 blijkbaar nog te gebruiken tot uiterlijk 29 jan 2022.
Er bestaat ook nog een handleiding voor wat er precies met al die certificaattermen wordt bedoeld:
https://www.safelogic.com/reading-fips-validation-listing/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
