ClamAV项目在FIPS模式下哈希兼容性问题分析与解决方案
问题背景
在Linux系统的FIPS(Federal Information Processing Standards)模式下,安全相关的加密算法会受到严格限制。近期在ClamAV 1.4.1版本的构建过程中发现,当系统启用FIPS模式时,ctest测试中的clamscan和clamscan_valgrind会因使用特定哈希算法而失败。
技术分析
FIPS模式是美国联邦政府制定的一套计算机安全标准,它明确禁止使用被认为不够安全的加密算法。某些算法由于已知的安全问题,在FIPS模式下被禁用。在ClamAV的测试套件中,单元测试文件fp_check_test.py
使用了Python的hashlib模块来生成zip文件的哈希值,这在FIPS模式下会抛出"digital envelope routines: EVP_DigestInit_ex disabled for FIPS"错误。
解决方案
经过分析,将原有哈希替换为更安全的SHA-256哈希可以完美解决此问题。具体修改如下:
- 将原有哈希初始化替换为
hash_sha256 = hashlib.sha256()
- 相应更新哈希计算和验证逻辑中的所有变量名
这种修改不仅解决了FIPS兼容性问题,还提高了系统的安全性,因为SHA-256相比原有算法具有更强的抗碰撞性。
实施效果
修改后,在aarch64架构的RHEL 8.10系统上,所有测试用例均能通过:
100% tests passed, 0 tests failed out of 11
测试总时间约为558秒,clamscan和clamscan_valgrind测试均成功完成。
扩展讨论
值得注意的是,FIPS模式还会禁用其他被认为不安全的算法。在构建ClamAV时,如果系统安装了systemd-devel库并启用了ENABLE_SYSTEMD选项,在FIPS模式下可能还会遇到其他兼容性问题,这需要进一步的调查和解决。
结论
对于需要在FIPS兼容环境中部署ClamAV的用户,建议:
- 及时应用此哈希算法升级补丁
- 在构建前检查系统是否处于FIPS模式
- 考虑使用更现代的哈希算法替代所有遗留的算法使用场景
这种改进不仅解决了当前的兼容性问题,还使ClamAV更符合现代安全标准,为后续的功能开发和系统集成奠定了更好的基础。
- QQwen3-Next-80B-A3B-InstructQwen3-Next-80B-A3B-Instruct 是一款支持超长上下文(最高 256K tokens)、具备高效推理与卓越性能的指令微调大模型00
- QQwen3-Next-80B-A3B-ThinkingQwen3-Next-80B-A3B-Thinking 在复杂推理和强化学习任务中超越 30B–32B 同类模型,并在多项基准测试中优于 Gemini-2.5-Flash-Thinking00
GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~0266cinatra
c++20实现的跨平台、header only、跨平台的高性能http库。C++00AI内容魔方
AI内容专区,汇集全球AI开源项目,集结模块、可组合的内容,致力于分享、交流。02- HHunyuan-MT-7B腾讯混元翻译模型主要支持33种语言间的互译,包括中国五种少数民族语言。00
GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00- HHowToCook程序员在家做饭方法指南。Programmer's guide about how to cook at home (Chinese only).Dockerfile06
- PpathwayPathway is an open framework for high-throughput and low-latency real-time data processing.Python00
热门内容推荐
最新内容推荐
项目优选









