test/defltfips_test.c

   1 #include <string.h>
   2 #include <openssl/evp.h>
   3 #include <openssl/provider.h>
   4 #include "testutil.h"
   5
   6 static int is_fips;
   7
   8 static int test_is_fips_enabled(void)
   9 {
  10     int is_fips_enabled, is_fips_loaded;
  11     EVP_MD *sha256 = NULL;
  12
  13     /*
  14      * Check we're in FIPS mode when we're supposed to be. We do this early to
  15      * confirm that EVP_default_properties_is_fips_enabled() works even before
  16      * other function calls have auto-loaded the config file.
  17      */
  18     is_fips_enabled = EVP_default_properties_is_fips_enabled(NULL);
  19     is_fips_loaded = OSSL_PROVIDER_available(NULL, "fips");
  20
  21     /*
  22      * Check we're in an expected state. EVP_default_properties_is_fips_enabled
  23      * can return true even if the FIPS provider isn't loaded - it is only based
  24      * on the default properties. However we only set those properties if also
  25      * loading the FIPS provider.
  26      */
  27     if (!TEST_int_eq(is_fips, is_fips_enabled)
  28             || !TEST_int_eq(is_fips, is_fips_loaded))
  29         return 0;
  30
  31     /*
  32      * Fetching an algorithm shouldn't change the state and should come from
  33      * expected provider.
  34      */
  35     sha256 = EVP_MD_fetch(NULL, "SHA2-256", NULL);
  36     if (!TEST_ptr(sha256))
  37         return 0;
  38     if (is_fips
  39         && !TEST_str_eq(OSSL_PROVIDER_get0_name(EVP_MD_get0_provider(sha256)),
  40                         "fips")) {
  41         EVP_MD_free(sha256);
  42         return 0;
  43     }
  44     EVP_MD_free(sha256);
  45
  46     /* State should still be consistent */
  47     is_fips_enabled = EVP_default_properties_is_fips_enabled(NULL);
  48     if (!TEST_int_eq(is_fips, is_fips_enabled))
  49         return 0;
  50
  51     return 1;
  52 }
  53
  54 int setup_tests(void)
  55 {
  56     size_t argc;
  57
  58     if (!test_skip_common_options()) {
  59         TEST_error("Error parsing test options\n");
  60         return 0;
  61     }
  62
  63     argc = test_get_argument_count();
  64     switch(argc) {
  65     case 0:
  66         is_fips = 0;
  67         break;
  68     case 1:
  69         if (strcmp(test_get_argument(0), "fips") == 0) {
  70             is_fips = 1;
  71             break;
  72         }
  73         /* fall through */
  74     default:
  75         TEST_error("Invalid argument\n");
  76         return 0;
  77     }
  78
  79     /* Must be the first test before any other libcrypto calls are made */
  80     ADD_TEST(test_is_fips_enabled);
  81     return 1;
  82 }