## 支持FIPS版本的OpenSSL介绍与Android平台的移植


### 1 OpenSSL的FIPS版本
#### 1.1 FIPS支持的OpenSSL包含以下特点
根据OpenSSL官网链接的描述(https://wiki.openssl.org/index.php/FIPS_modules) 
* FIPS模块的最新版本为2.0.16
```
There is currently only one extant FIPS 140-2 validated cryptographic module, the OpenSSL FIPS Object Module 2.0. This module is no longer being updated. As of May 2017 the latest module revision is 2.0.16.
```
* FIPS模块仅支持OpenSSL 1.0.1/1.0.2系列版本，不支持1.1系列版本。
```
The 2.0 FIPS module is compatible with OpenSSL releases 1.0.1 and 1.0.2, and no others. The extensive internal structural changes for OpenSSL 1.1 preclude the use of the 2.0 FIPS module with that release.
```

#### 1.2 OpenSSL最新版本下载地址

OpenSSL的最新版本可以在https://www.openssl.org/source/ 中查询，目前1.0.2的最新版本为 ***1.0.2s***,1.1.0的最新版本为***1.1.0k***,1.1.1的最新版本为***1.1.1c***

```
5223 	2019-May-28 13:26:28 	openssl-1.0.2s.tar.gz (SHA256) (PGP sign) (SHA1)
5163 	2019-May-28 13:26:28 	openssl-1.1.0k.tar.gz (SHA256) (PGP sign) (SHA1)
8656 	2019-May-28 13:26:28 	openssl-1.1.1c.tar.gz (SHA256) (PGP sign) (SHA1)
1457 	2017-May-24 18:01:01 	openssl-fips-2.0.16.tar.gz (SHA256) (PGP sign) (SHA1)
1437 	2017-May-24 18:01:01 	openssl-fips-ecp-2.0.16.tar.gz (SHA256) (PGP sign) (SHA1)

```

最新版本下载地址为https://www.openssl.org/source/openssl-[OPENSSL_VERSION].tar.gz, 如1.0.2s的最新版本下载地址为https://www.openssl.org/source/openssl-1.0.2s.tar.gz

#### 1.3 FIPS最新版本下载地址
FIPS的最新版本为2.0.16，下载地址为
https://www.openssl.org/source/old/fips/openssl-fips-2.0.16.tar.gz


### 2 编译基于Android平台的OpenSSL版本以及FIPS支持的版本库
官方给出了基于NDK的OpenSSL编译步骤，参考 https://wiki.openssl.org/index.php/FIPS_Library_and_Android#Build_the_FIPS_Capable_Library

基本步骤包括
#### 2.1 下载相关源代码文件([Acquire the required files](https://wiki.openssl.org/index.php/FIPS_Library_and_Android#Acquire_the_Required_Files))

源码文件包括
* openssl-1.0.1e.tar.gz
* openssl-fips-2.0.5.tar.gz

以及环境设置脚本
* [setenv-android.sh](https://wiki.openssl.org/images/7/70/Setenv-android.sh)

#### 2.2 设置编译脚本([Adjust the Cross-Compile Script](https://wiki.openssl.org/index.php/FIPS_Library_and_Android#Adjust_the_Cross-Compile_Script))
设置基于Android NDK编译的相关路径以及环境变量


#### 2.3 准备源码文件([Prepare the OpenSSL sources](https://wiki.openssl.org/index.php/FIPS_Library_and_Android#Prepare_the_OpenSSL_Sources_2))
就是将源码解压到各自的目录，包括fips模块和openssl库


#### 2.4 设置 incore utility路径([Set the Incore utility PATH](https://wiki.openssl.org/index.php/FIPS_Library_and_Android#Set_the_Incore_Utility_Path))
incore是一个预编译的二进制程序，可以在openssl-fips-2.0.5/util/incore中指定，编译期间需要使用这个二进制程序生成一些签名证书，利用FIPS_SIG环境变量可以指定incore的路径

#### 2.5 编译FIPS模块([Build the FIPS Object Module](https://wiki.openssl.org/index.php/FIPS_Library_and_Android#Build_the_FIPS_Object_Module_2))
编译脚本是利用makefile系统，编译后生成四个文件fipscanister.o  fipscanister.o.sha1  fips_premain.c  fips_premain.c.sha1


#### 2.6 编译FIPS兼容OpenSSL库([Build the FIPS Capable Library](https://wiki.openssl.org/index.php/FIPS_Library_and_Android#Build_the_FIPS_Capable_Library_2))
和普通的OpenSSL编译步骤不同，编译FIPS兼容的库需要指定fips二进制文件和库的相关路径，并开启fips功能

```
./config fips shared no-ssl2 no-ssl3 no-comp no-hw no-engine --openssldir=/usr/local/ssl/android-14/ \
  --with-fipsdir=/usr/local/ssl/android-14/ --with-fipslibdir=/usr/local/ssl/android-14/lib/
```

### 3 链接到FIPS OpenSSL库
#### 3.1 使用动态链接库(Linking with the Shared Object)
使用动态库是比较容易的，因为编译过程已经包含了fipsld的运行过程，然后将相关库(libssl.so/libcrypto.so)集成进来即可。
~~~
Linking with the shared object is easiest. That's because the FIPS Capable library build process takes care of a number of items for you, including running fipsld on the shared object. The downside to dynamic linking is you have to push the program and shared object to the device and modify the loader path before executing.

The command below compiles fips_hmac.c using ANDROID_SYSROOT and the shared object (libcrypto.so). ANDROID_SYSROOT specifies the location of Android's headers and libraries, and is set using setenv-android.sh.

$ arm-linux-androideabi-gcc --sysroot="$ANDROID_SYSROOT" -I/usr/local/ssl/android-14/include \
   fips_hmac.c -o fips_hmac.exe /usr/local/ssl/android-14/lib/libcrypto.so

~~~

#### 3.2 使用静态链接库(Linking with the Static Archive)
使用静态链接库会比较麻烦，由于需要先调用fipsld来链接fips_premain.c，修改libcrpyto的内容并集成相关加密信息。
需要设置两个环境变量 **CC** 和 **FIPSLD_CC**, CC用于指定fipsld的路径，而FIPSLD_CC则指定真正编译器的路径，然后使用命令CC进行编译和链接libcrypto.a。

```
Linking against the static library is more challenging. That's because you have to set two variables – CC and FIPSLD_CC and compile with the modified CC. They must be exported because fipsld uses them in child shells. Behind the scenes, fipsld will compile and link fips_premain.c, modify the libcrypto archive, assemble the final program, and embed the fingerprint.

$ export CC=`find /usr/local/ssl/$ANDROID_API -name fipsld`
$ echo $CC 
/usr/local/ssl/android-14/bin/fipsld
$ export FIPSLD_CC="$ANDROID_TOOLCHAIN/arm-linux-androideabi-gcc" 
$ echo $FIPSLD_CC 
/opt/android-ndk-r8e/toolchains/arm-linux-androideabi-4.6/prebuilt/linux-x86/bin/arm-linux-androideabi-gcc


Finally, compile and link as normal using CC. The command below compiles fips_hmac.c using ANDROID_SYSROOT and the static archive (libcrypto.a). ANDROID_SYSROOT specifies the location of Android's headers and libraries, and is set using setenv-android.sh.

$CC --sysroot="$ANDROID_SYSROOT" -I/usr/local/ssl/android-14/include fips-test.c \
    -o fips-test.exe /usr/local/ssl/android-14/lib/libcrypto.a

```


### 4 如何集成到Grandstream framework中
#### 4.1 GS框架中的OpenSSL库
GS框架中的OpenSSL库位于vendor/grandstream/external/openssl，用于生成库的主要是两个mk文件Ssl.mk和Crypto.mk，并且两个mk文件分别编译出两个静态文件liboldssl.a和liboldcrypto.a，用于静态链接，另外生成了几个host目录下的so，不会最终集成到target中。

#### 4.2 在GS框架中引入FIPS OpenSSL库需要进行的改动

根据第3.2节中的描述，使用静态链接库链接FIPS库会有很多的编译过程，因此建议其他模块改用动态链接库的方式使用FIPS库。






