问题是如果在Windows安全策略设置中强制执行FIPS验证的加密,则会引发异常,因为RADIUS协议使用MD5算法来散列请求验证器。没有经过FIPS验证的替代MD5算法,因此在提供FIPS验证加密的计算机上不会出现任何RADIUS代码实现。
这是否意味着RADIUS与FIPS验证互斥?
该代码实现了官方RFC(http://tools.ietf.org/html/rfc2865)指定的RADIUS协议。
答案 0 :(得分:1)
在Windows中启用FIPS验证加密时,您断言您现在将仅使用经过FIPS验证的加密和哈希算法。更具体地说,它是Windows中的加密模块,仅经过验证,允许用户使用经过批准的FIPS算法。可接受的算法列表在Annex A: Approved Security Functions for FIPS PUB 140-2, Security Requirements for Cryptographic Modules中定义。
MD5不是经批准的哈希算法,因此不会,应用程序无法使用它。对于散列,您仅限于SHA系列算法。因此基于MD5的Radius因为无法使用经过FIPS验证的安全模块中的MD5而被淘汰。
如果您仔细阅读FIPS验证的模块,您可能会注意到有些模块将MD5声明为未经批准的算法。这意味着认证模块内部使用MD5,但不向应用程序公开功能,或将其用于通信。例如,运行嵌入式Linux的硬件加密模块可以使用MD5在/ etc / passwd中散列密码。没关系,因为模块的用户不能使用MD5。