Ihre Abhängigkeiten kümmern sich nicht um Ihre FIPS-Konfiguration

TL;DR

FIPS-Konformität verbessert die Sicherheit in der Software-Lieferkette, bringt jedoch Herausforderungen mit sich, insbesondere bei der Verwendung von Container-Images. Abhängigkeiten können unerwartete Probleme verursachen, wenn sie eigene kryptografische Module mitbringen, die nicht FIPS-konform sind. Teams sollten ihre Ansätze zur FIPS-Implementierung überdenken und sicherstellen, dass alle Komponenten die erforderlichen Standards einhalten.

Hauptinhalt

Die FIPS (Federal Information Processing Standards) sind US-Regierungsstandards für kryptografische Verfahren, die sicherstellen, dass kryptografische Operationen wie TLS, Hashing und Signaturen mit validierten Modulen durchgeführt werden. Die Implementierung von FIPS in modernen Softwareprojekten gestaltet sich jedoch komplex, da Software nicht als ein einzelnes, kompilierte Programm, sondern als ein Netzwerk von Abhängigkeiten entwickelt wird, die eigene Eigenheiten und Probleme mitbringen.

Ein praktisches Beispiel verdeutlicht diese Herausforderungen: Bei einer Ruby-Anwendung in einem FIPS-fähigen Container-Image traten kryptografische Fehler auf, obwohl Ruby korrekt mit OpenSSL 3.x und dem FIPS-Provider konfiguriert war. Der Fehler trat nur auf, wenn ActiveRecord verwendet wurde, was auf unterschiedliche Codepfade hinweist. Während ein einfaches Ruby-Skript, das das pg-Gem verwendete, keine Probleme aufwies, offenbarte die Kombination mit ActiveRecord Schwächen, die zu einer Nutzung nicht-FIPS-konformer Kryptografie führten.

Das zugrunde liegende Problem lag in vorcompilierten Abhängigkeiten, die in der Regel mit Annahmen erstellt werden, die nicht mit der FIPS-Konfiguration kompatibel sind. Solche vorgefertigten Binärdateien können mit einer anderen Version von OpenSSL verknüpft sein oder statisch eingebetteten kryptografischen Code enthalten. Dies führt dazu, dass trotz einer korrekt konfigurierten Basisumgebung die kryptografischen Grenzen umgangen werden.

Technische Details/Implikationen

Um die Probleme zu beheben, wurde empfohlen, die Gemfile so anzupassen, dass das pg-Gem aus dem Quellcode kompiliert wird, anstatt auf vorgefertigte Binärdateien zurückzugreifen. Dies kann durch die Installation von libpq-dev und die Verwendung des Flags force_ruby_platform erreicht werden. Diese Maßnahmen stellen sicher, dass die native Erweiterung mit der OpenSSL-Version verknüpft wird, die tatsächlich im FIPS-Image vorhanden ist.

Die globale Anwendung des Flags BUNDLE_FORCE_RUBY_PLATFORM allein reicht jedoch nicht aus, da auch ein C-Compiler sowie die entsprechenden Bibliotheken erforderlich sind. Eine globale Aktivierung könnte dazu führen, dass alle nativen Gems aus dem Quellcode kompiliert werden müssen, was zusätzliche Abhängigkeiten und Komplexität mit sich bringt. Dies verdeutlicht, dass die Anpassung an FIPS nicht nur eine technische Herausforderung darstellt, sondern auch die Notwendigkeit, den gesamten Build-Prozess zu überdenken.

Fazit/Ausblick

Die Einführung von FIPS-Standards erfordert eine sorgfältige Planung und Anpassung der Entwicklungsprozesse. Teams sollten sich der potenziellen Fallstricke bewusst sein und Strategien entwickeln, um sicherzustellen, dass alle Abhängigkeiten die erforderlichen kryptografischen Standards einhalten. Zukünftige Entwicklungen im Bereich der Tools und der Paketverwaltung könnten helfen, diese Herausforderungen zu bewältigen.