Pint项目中解决FIPS系统下Blake2b哈希函数崩溃问题

在Python计量单位库Pint中，开发团队最近修复了一个与哈希函数相关的兼容性问题。该问题主要影响启用了FIPS（联邦信息处理标准）模式的系统，会导致程序运行时抛出ValueError: [digital envelope routines] unsupported异常。

问题背景

Pint库在其内部实现中使用了hashlib.blake2b哈希函数，这是现代密码学中常用的一种安全哈希算法。然而，在某些特殊配置的系统中，特别是那些启用了FIPS模式的政府或金融机构系统中，默认的安全策略会限制某些加密算法的使用。

FIPS是美国政府制定的一套计算机安全标准，它定义了哪些加密算法可以被用于保护敏感但非机密的信息。在FIPS模式下，系统会禁用被认为不够安全的算法实现，或者要求更严格的使用方式。

技术解决方案

从Python 3.9开始，hashlib模块中的哈希函数新增了usedforsecurity参数。当设置为False时，可以明确告知系统该哈希函数不用于安全目的，从而绕过FIPS限制。Pint团队采用了这一解决方案，修改后的代码如下：

hashlib.blake2b(..., usedforsecurity=False)

由于Pint项目已经放弃对Python 3.8的支持（最低要求Python 3.10），因此不需要考虑向后兼容的代码实现。这简化了解决方案，避免了需要为不同Python版本编写条件逻辑的情况。

影响范围与修复意义

这一修复主要影响以下场景：

1. 在启用了FIPS模式的Linux系统上运行Pint
2. 使用Pint进行单位转换或物理量计算的政府或金融机构
3. 需要符合严格安全合规要求的部署环境

修复此问题后，Pint将能够在更广泛的环境中稳定运行，特别是那些有严格安全要求的场景。这也体现了Pint项目对兼容性和稳定性的持续关注。

项目未来规划

Pint团队在解决此问题的同时，也确认了项目未来的发展方向。根据Python社区的NEP 29（Python版本支持策略），Pint将在下一个主要版本（预计2024年4-5月发布）中将最低Python版本要求提高到3.10，同时NumPy的最低版本要求提高到1.23。这一举措将帮助项目保持现代化，同时减少维护旧版本兼容性的负担。

总结

通过这次修复，Pint项目不仅解决了特定环境下的运行时崩溃问题，还展示了项目对安全合规性和长期维护的重视。对于需要在严格安全环境中使用计量单位功能的开发者来说，这一改进将显著提升使用体验。