Bug 33932 - Для новой версии pki-server необходима поддержка FIPS
: Для новой версии pki-server необходима поддержка FIPS
Status: CLOSED WORKSFORME
: Sisyphus
(All bugs in Sisyphus/pki-server)
: unstable
: all Linux
: P3 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2017-09-27 19:44 by
Modified: 2017-09-29 06:39 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2017-09-27 19:44:55
При отладке pki-server (http://pki.fedoraproject.org/wiki/Quick_Start) для
новой FreeIPA была обнаружена ошибка:
# pkispawn
...
Begin installation (Yes/No/Quit)? Y

Log file: /var/log/pki/pki-ca-spawn.20170927191559.log
Installing CA into /var/lib/pki/pki-tomcat.
pkispawn    : ERROR    ....... subprocess.CalledProcessError:  Command
'['sysctl', 'crypto.fips_enabled', '-bn']' returned non-zero exit status 255!
Storing deployment configuration into
/etc/sysconfig/pki/tomcat/pki-tomcat/ca/deployment.cfg.
pkispawn    : ERROR    ....... OSError:  [Errno 2] No such file or directory!

Installation failed: [Errno 2] No such file or directory


Получается, что у нас в ядре отсутствует поддержка CONFIG_CRYPTO_FIPS.


Для CentOS вопрос был решён в 2012 году: "CentOS is FIPS compliant"
https://www.centos.org/forums/viewtopic.php?t=9078

В Fedora поддержка включена:
# fgrep FIPS /boot/config-4.12.13-200.fc25.x86_64
CONFIG_CRYPTO_FIPS=y


Коммиты, в которых внесли изменения в dogtag-pki:

commit 641180a465d7fdf12a978c9c458e39bf6829cac2
Author: Matthew Harmsen <mharmsen@redhat.com>
Date:   Tue May 16 12:58:17 2017 -0600

    Added FIPS class to pkispawn

    Bugzilla Bug #1450143 - CA installation with HSM in FIPS mode fails
    dogtagpki Pagure Issue #2684 - CA installation with HSM in FIPS mode fails

commit ee5af05036e87a9dad821c9dd8bc0198dac9bd65
Author: Matthew Harmsen <mharmsen@redhat.com>
Date:   Fri May 12 13:00:54 2017 -0600

    Fix CA installation with HSM in FIPS mode

    Bugzilla Bug #1450143 - CA installation with HSM in FIPS mode fails
    dogtagpki Pagure Issue #2684 - CA installation with HSM in FIPS mode fails
------- Comment #1 From 2017-09-27 19:52:00 -------
А зачем нам соответствовать американскому стандарту FIPS?
------- Comment #2 From 2017-09-27 19:58:51 -------
(В ответ на комментарий №1)
> А зачем нам соответствовать американскому стандарту FIPS?

Угу. Фиксить надо pki-server.
------- Comment #3 From 2017-09-27 20:04:05 -------
Разве включение в ядре CONFIG_CRYPTO_FIPS чему-то мешает? Включение fips
требует ещё и fips=1 в коммандной строке ядра.
------- Comment #4 From 2017-09-27 20:06:07 -------
(In reply to comment #3)
> Разве включение в ядре CONFIG_CRYPTO_FIPS чему-то мешает? Включение fips
> требует ещё и fips=1 в коммандной строке ядра.

Вопрос в том, зачем нам оно в принципе. :)
------- Comment #5 From 2017-09-27 20:07:17 -------
fips=1 умеет делать pki сервер при старте.
Но вопрос - кому оно мешает - мне тоже интересен. Как и то, чем плохо иметь его
в включенном состоянии.
------- Comment #6 From 2017-09-27 20:08:09 -------
Глеб, ну мало ли. Вот RH продаёт свои системы в России. А мы в США пока нет.
------- Comment #7 From 2017-09-27 20:26:52 -------
(В ответ на комментарий №5)
> Но вопрос - кому оно мешает - мне тоже интересен. Как и то, чем плохо иметь его
> в включенном состоянии.

Чем меньше в ядре включено всякого ненужного - тем лучше, мне это кажется
очевидным.

(В ответ на комментарий №6)
> Глеб, ну мало ли. Вот RH продаёт свои системы в России. А мы в США пока нет.

Вот когда у нас будут перспективы по продаже наших систем в США - тогда и
включим.
------- Comment #8 From 2017-09-29 06:36:32 -------
работает без FIPS, просто ругается при запуске.