Zum Verschlüsseln und Entschlüsseln von Text verwende ich:
echo test | openssl enc -e -a -A -aes-256-cbc -pbkdf2 -iter 1234 -k <passphrase>
echo <encrypted text> | openssl enc -d -a -A -aes-256-cbc -pbkdf2 -iter 1234 -k <passphrase>
Das funktioniert prima, bis ich es auf einem RHEL7-System (oder CentOS7) teste, auf dem FIPS aktiviert ist. Dies ist die Ausgabe, die ich bekomme, wenn ich versuche, Text wie oben angegeben zu verschlüsseln:
unbekannte Option '-pbkdf2'
Also versuche ich es ohne diese Option und bekomme:
unbekannte Option '-iter'
Also versuche ich es ohne eine dieser Optionen:
echo test | openssl enc -e -a -A -aes-256-cbc -k <passphrase>
Das führt zu diesem Fehler:
U2Fs...12:Fehler:060800A3:Digitale Hüllkurvenroutinen:EVP_DigestInit_ex:deaktiviert für fips:digest.c:256:
Ich bin mir also nicht sicher, wie ich weiter vorgehen soll. Ich bin offen für die Verwendung anderer Tools zum FIPS-konformen Verschlüsseln/Entschlüsseln von Text.
Hinweis: Ich habe eine mögliche Lösung gefunden aufRedHat's Wissensdatenbank, aber es ist hinter einer Paywall. :-(
Antwort1
Ich habe es zum Laufen gebracht, indem ich die Optionen -pbkdf2und entfernt -iterund den Message Digest-Algorithmus wie folgt angegeben habe -md sha256:
echo test | openssl enc -e -a -A -aes-256-cbc -md sha256 -k <passphrase>