RADIUS 使用 MD5 算法是否会使其无法针对允许 RADIUS 身份验证的应用程序进行 FIPS 验证?

发布于 2024-09-24 15:56:56 字数 348 浏览 5 评论 0原文

问题是,如果您在 Windows 安全策略设置中强制执行 FIPS 验证的加密,则会引发异常,因为 RADIUS 协议使用 MD5 算法对请求身份验证器进行哈希处理。没有经过 FIPS 验证的替代 MD5 算法,因此在提供 FIPS 验证加密的计算机上似乎不可能实现 RADIUS 的任何代码实现。

这是否意味着 RADIUS 与 FIPS 验证是互斥的?

该代码实现了官方 RFC 指定的 RADIUS 协议 (https://www.rfc-editor .org/rfc/rfc2865)。

The issue is if you enforce FIPS validated cryptography in the Windows security policy settings, an exception will be thrown because RADIUS protocol uses the MD5 algorithm to hash the request authenticator. There is not an alternative MD5 algorithm that is FIPS validated so it does not appear any code implementation of RADIUS would be possible on a machine providing FIPS validated cryptography.

Does this mean RADIUS is mutually exclusive with FIPS validation?

The code implements the RADIUS protocol as specified by the official RFC (https://www.rfc-editor.org/rfc/rfc2865).

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

十级心震 2024-10-01 15:56:56

当您在 Windows 中启用 FIPS 验证的加密时,您断言现在将仅使用 FIPS 验证的加密和哈希算法。更具体地说,它是 Windows 中的加密模块,经过验证仅允许用户使用经批准的 FIPS 算法。可接受的算法列表在附件 A:批准的 FIPS PUB 安全功能中定义140-2,加密模块的安全要求

MD5 不是经过批准的哈希算法,因此应用程序不能使用它。对于散列,您仅限于 SHA 系列算法。因此,基于 MD5 的 Radius 已被淘汰,因为它无法使用经过 FIPS 验证的安全模块中的 MD5。

如果您仔细阅读经过 FIPS 验证的模块,您可能会注意到有些模块将 MD5 声明为未经批准的算法。这意味着经过认证的模块内部使用 MD5,但不会向应用程序公开该功能,或将其用于通信。例如,运行嵌入式 Linux 的硬件加密模块可能使用 MD5 对 /etc/passwd 中的密码进行哈希处理。没关系,因为该模块的用户无法使用 MD5。

When you enable FIPS validated cryptography in Windows, you're asserting that you are now going to use only the FIPS-validated encryption and hash algorithms. More specifically, it's the cryptographic module in Windows that has been validated only to allow users to use approved FIPS algorithms. The list of acceptable algorithms is defined in Annex A: Approved Security Functions for FIPS PUB 140-2, Security Requirements for Cryptographic Modules.

MD5 is not an approved hash algorithm, so no, applications cannot use it. For hashing, you're limited to the SHA family of algorithms. So MD5-based Radius is out because it cannot use MD5 from a FIPS-validated security module.

If you peruse the FIPS-validated modules, you may notice that some declare MD5 as a non-approved algorithm. What this means is that the certified module internally uses MD5, but does not expose the functionality to applications, or use it for communication. For example, a hardware encryption module running embedded linux may use MD5 to hash passwords in /etc/passwd. That's OK because users of the module cannot use MD5.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文