Bug 33932 - Для новой версии pki-server необходима поддержка FIPS
Summary: Для новой версии pki-server необходима поддержка FIPS
Status: CLOSED WORKSFORME
Alias: None
Product: Sisyphus
Classification: Development
Component: pki-server (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Stanislav Levin
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2017-09-27 19:44 MSK by Evgeny Sinelnikov
Modified: 2017-09-29 06:39 MSK (History)
19 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Evgeny Sinelnikov 2017-09-27 19:44:55 MSK 
При отладке pki-server (http://pki.fedoraproject.org/wiki/Quick_Start) для новой FreeIPA была обнаружена ошибка:
# pkispawn
...
Begin installation (Yes/No/Quit)? Y

Log file: /var/log/pki/pki-ca-spawn.20170927191559.log
Installing CA into /var/lib/pki/pki-tomcat.
pkispawn    : ERROR    ....... subprocess.CalledProcessError:  Command '['sysctl', 'crypto.fips_enabled', '-bn']' returned non-zero exit status 255!
Storing deployment configuration into /etc/sysconfig/pki/tomcat/pki-tomcat/ca/deployment.cfg.
pkispawn    : ERROR    ....... OSError:  [Errno 2] No such file or directory!

Installation failed: [Errno 2] No such file or directory


Получается, что у нас в ядре отсутствует поддержка CONFIG_CRYPTO_FIPS.


Для CentOS вопрос был решён в 2012 году: "CentOS is FIPS compliant"
https://www.centos.org/forums/viewtopic.php?t=9078

В Fedora поддержка включена:
# fgrep FIPS /boot/config-4.12.13-200.fc25.x86_64
CONFIG_CRYPTO_FIPS=y


Коммиты, в которых внесли изменения в dogtag-pki:

commit 641180a465d7fdf12a978c9c458e39bf6829cac2
Author: Matthew Harmsen <mharmsen@redhat.com>
Date:   Tue May 16 12:58:17 2017 -0600

    Added FIPS class to pkispawn
    
    Bugzilla Bug #1450143 - CA installation with HSM in FIPS mode fails
    dogtagpki Pagure Issue #2684 - CA installation with HSM in FIPS mode fails

commit ee5af05036e87a9dad821c9dd8bc0198dac9bd65
Author: Matthew Harmsen <mharmsen@redhat.com>
Date:   Fri May 12 13:00:54 2017 -0600

    Fix CA installation with HSM in FIPS mode
    
    Bugzilla Bug #1450143 - CA installation with HSM in FIPS mode fails
    dogtagpki Pagure Issue #2684 - CA installation with HSM in FIPS mode fails
Comment 1 Gleb F-Malinovskiy 2017-09-27 19:52:00 MSK 
А зачем нам соответствовать американскому стандарту FIPS?
Comment 2 Mikhail Efremov 2017-09-27 19:58:51 MSK 
(В ответ на комментарий №1)
> А зачем нам соответствовать американскому стандарту FIPS?

Угу. Фиксить надо pki-server.
Comment 3 Vitaly Kuznetsov 2017-09-27 20:04:05 MSK 
Разве включение в ядре CONFIG_CRYPTO_FIPS чему-то мешает? Включение fips требует ещё и fips=1 в коммандной строке ядра.
Comment 4 Gleb F-Malinovskiy 2017-09-27 20:06:07 MSK 
(In reply to comment #3)
> Разве включение в ядре CONFIG_CRYPTO_FIPS чему-то мешает? Включение fips
> требует ещё и fips=1 в коммандной строке ядра.

Вопрос в том, зачем нам оно в принципе. :)
Comment 5 Anton Farygin 2017-09-27 20:07:17 MSK 
fips=1 умеет делать pki сервер при старте.
Но вопрос - кому оно мешает - мне тоже интересен. Как и то, чем плохо иметь его в включенном состоянии.
Comment 6 Anton Farygin 2017-09-27 20:08:09 MSK 
Глеб, ну мало ли. Вот RH продаёт свои системы в России. А мы в США пока нет.
Comment 7 Mikhail Efremov 2017-09-27 20:26:52 MSK 
(В ответ на комментарий №5)
> Но вопрос - кому оно мешает - мне тоже интересен. Как и то, чем плохо иметь его
> в включенном состоянии.

Чем меньше в ядре включено всякого ненужного - тем лучше, мне это кажется очевидным.

(В ответ на комментарий №6)
> Глеб, ну мало ли. Вот RH продаёт свои системы в России. А мы в США пока нет.

Вот когда у нас будут перспективы по продаже наших систем в США - тогда и включим.
Comment 8 Anton Farygin 2017-09-29 06:36:32 MSK 
работает без FIPS, просто ругается при запуске.