README.FIPS

   1 Preliminary status and build information for FIPS module v2.0
   2
   3 NB: if you are cross compiling you now need to use the latest "incore2" script
   4 from http://www.openssl.org/docs/fips/incore2
   5
   6 If you have any object files from a previous build do:
   7
   8 make clean
   9
  10 To build the module do:
  11
  12 ./config fipscanisterbuild
  13 make
  14
  15 Build should complete without errors.
  16
  17 Run test suite:
  18
  19 test/fips_test_suite
  20
  21 again should complete without errors.
  22
  23 Run test vectors:
  24
  25 1. Download an appropriate set of testvectors from www.openssl.org/docs/fips
  26    those for 2007 are OK.
  27
  28 2. Extract the files to a suitable directory.
  29
  30 3. Run the test vector perl script, for example:
  31
  32    cd fips
  33    perl fipsalgtest.pl --dir=/wherever/stuff/was/extracted
  34
  35 4. It should say "passed all tests" at the end. Report full details of any
  36    failures.
  37
  38 Run:
  39
  40 make clean
  41
  42 to remove any object modules from previous compile.
  43
  44 Run symbol hiding test:
  45
  46 ./config fipscanisteronly -DOPENSSL_FIPSSYMS
  47 make
  48
  49 This time only the fips utilities should be built.
  50
  51 Examine the external symbols in fips/fipscanister.o they should all begin
  52 with FIPS or fips. One way to check with GNU nm is:
  53
  54 nm -g --defined-only fips/fipscanister.o | grep -v -i fips
  55
  56 Restricted tarball tests.
  57
  58 The validated module will have its own tarball containing sufficient code to
  59 build fipscanister.o and the associated algorithm tests. You can create a
  60 similar tarball yourself for testing purposes using the commands below.
  61
  62 Standard restricted tarball:
  63
  64 make -f Makefile.fips dist
  65
  66 Prime field field only ECC tarball:
  67
  68 make NOEC2M=1 -f Makefile.fips dist
  69
  70 Once you've created the tarball extract into a fresh directory and do:
  71
  72 ./config
  73 make
  74
  75 You can then run the algorithm tests as above. This build automatically uses
  76 fipscanisteronly and -DOPENSSL_FIPSYMS and no-ec2m as appropriate.
  77
  78 Known issues:
  79
  80 Algorithm tests are pre-2011.
  81 The fipslagtest.pl script wont auto run new algorithm tests such as DSA2.
  82 Code needs extensively reviewing to ensure it builds correctly on
  83 supported platforms and is compliant with FIPS 140-2.
  84 The "FIPS capable OpenSSL" is not yet complete: meaning that the rest of
  85 OpenSSL doesn't always use the correct FIPS module APIs and block others
  86 in FIPS mode.