Mac OSX 10.11でOpenSSLを構築する

Question

1. Mac OSX 10.11でFIPSを使用してOpenSSLを構築することは可能ですか？

• 私は、すべてFIPSでOpenSSLを使用する多くのプラットフォームとの互換性を維持しようとしています。
• 私は、CommonCryptoを使用することを強く推奨しています。これは、同等のダイジェストと暗号化アルゴリズムを使用している私のクロスプラットフォームの互換性のニーズの大半ではうまくいくと思います。
• これは多くの余分な作業を必要とし、むしろ避けたい共通のフレームワークから逸脱します。
• 私はFIPSの検証よりも互換性と解決策に興味があります。

2.は、Mac OSXの下で利用可能にOpenSSL互換DRBG（DFとAES-256）あります10.11

• 私の理解では、一般的な暗号の下DRGBは、AES-128

であるということです

Answer 1

Mac OSX 10.11でFIPSを使用してOpenSSLを構築することはできますか？

はいはいいいえ、することができますビルド FIPSオブジェクトモジュールとFIPSできるOpenSSLライブラリ（ビルド重視）。

いいえ、検証されたプラットフォームではありません。 OSXで検証された唯一のプラットフォームがx86-64上のApple OS X 10.7であるようです。 User Guide for the OpenSSL FIPS Object Module v2.0のセクション3、互換性のあるプラットフォームを参照してください。

---

利用できるOpenSSLの互換DRBG（AES-256 DFとの）は、Mac OS Xの下で10.11

ありますはい、Appleはいくつかの検証DRBGsを持っています。アップルの1091証明​​書とCTR_DRBGNIST's DRBG Validation Listを参照してください。また、NIST's Algorithm Validation Listsに興味があるかもしれません。

---

私は、これは何を意味すると思う

... Appleが強くCommonCryptoを使用することをお勧めします知っています。 AppleはCommonCryptoを生産していますが、もちろん彼らはそれを推薦しようとしています！

OS、フレームワーク、ライブラリを静かに放棄しているとはAppleからは知らされていないものです。だから、あなたがライブラリーに結びついたものを巻き出すと、修正をバックポートしないので、あなたは脆弱になります。

例として、アップルはECDHE-ECDSA bug fix in SecureTransportをバックポートしていないので、フィールドに問題があります。別の例として、アップルはCVE-2014-1266 SecrueTransport's Goto Failの修正をバックポートしていないので、フィールドに問題があります。さらに別の例として、Billion LaughsをXMLパーサに修正するには3年のようなものが必要でした。さらに別の例として、AppleはCVE-2015-1130 (Hidden Backdoor with Root)を決して固定しなかったので、フィールドに問題があります。

Appleも悪名高いですfor releasing untested and substandard softwareです。

アップルもパッチと修正を保留しています。waits to provide them with their next latest-and-greatest OS press release。

私はアーキテクチャと設計の観点から、Appleフレームワークとライブラリを避けることが最善の方法であることを発見しました。このようにして、あなたはあなたのアプリを更新して、Cupertinoが何をしているかにかかわらず、セキュリティホールとバグを閉じることができます。ユーザーは、アップルの行動や行動の欠如にかかわらず、更新されたアプリを楽しむことができます。

OWASPのモバイルセキュリティメーリングリストのMobile Development Architecture (Vendor Patching vs App Updates)?も参照してください。