
<div dir="ltr"><div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Tue, Nov 6, 2018 at 2:04 PM Julia Kreger <<a href="mailto:juliaashleykreger@gmail.com" target="_blank">juliaashleykreger@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Tue, Nov 6, 2018 at 5:07 AM Doug Hellmann <<a href="mailto:doug@doughellmann.com" target="_blank">doug@doughellmann.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>Sean McGinnis <<a href="mailto:sean.mcginnis@gmx.com" target="_blank">sean.mcginnis@gmx.com</a>> writes:<br>

<br>

> I'm interested in some feedback from the community, particularly those running<br>

> OpenStack deployments, as to whether FIPS compliance [0][1] is something folks<br>

> are looking for.<br></div>[trim]<br><div>

<br>

I know we've had some interest in it at different times. I think some of<br>

the changes will end up being backwards-incompatible, so we may need a<br>

"FIPS-mode" configuration flag for those, but in other places we could<br>

just switch hashing algorithms and be fine.<br>

<br>

I'm not sure if anyone has put together the details of what would be<br>

needed to update each project, but this feels like it could be a<br>

candidate for a goal for a future cycle once we have that information<br>

and can assess the level of effort.<br>

<br>

Doug<br>

<br></div></blockquote><div><br></div><div>+1 to a FIPS-mode. I think it would be fair to ask projects, to over the course of the next month or three, to evaluate their current standing and report what they perceive the effort to be.<br></div><div><br></div><div>I think only then we can really determine if it is the right direction to take for a cycle goal.</div><div><br></div><div>-Julia<br></div></div></div>

__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

</blockquote></div><br clear="all"><br>Understand it's early to be discussing design, but would like to get it on record  that if we can, we should try to use 'Algorithm Agility' rather then all moving to the next one up and setting to SHA<XXX>. That way we can deal with what might seem unfathomable now, happening later (strong cryptos getting cracked).<br></div><div dir="ltr"><br></div><div dir="ltr"><br></div></div>