L'activation de FIPS sur GlobalProtect échoue sous Windows. Erreur : le processeur ne prend pas en charge les instructions RDSEED/RDRAND

L'activation de FIPS sur GlobalProtect échoue sous Windows. Erreur : le processeur ne prend pas en charge les instructions RDSEED/RDRAND

7257
Created On 07/17/23 10:23 AM - Last Modified 01/07/25 17:50 PM


Symptom


  • Après avoir activé le mode FIPS sur Globalprotect, le client obtient un échec du mode FIPS-CC. L' application ne se connecte pas ou ne fait rien
GlobalProtect Application Page Showing FIPS disable message
  • Les journaux PanGPS affichent l'erreur FIPS-CC : le processeur ne prend pas en charge les instructions RDSEED/RDRAND
:561 ####################### Start PanGPS service (ver: 6.1.1-5) 
:048 Failed to get attribute value 'fips-cc-mode-enabled'
...(Output Omitted)....
:051 induce_error_fips_test_sha3_gps:
:051 induce_error_fips_test_dh_gps:
...(Output Omitted)....
:051 Failed to get attribute value 'fips-cc-mode-failed'
:051 FIPS-CC Error : The CPU doesn't support RDSEED/RDRAND instructions


Environment


  • Système d'exploitation Windows avec mode FIPS activé
  • Globalprotect avec le mode FIPS activé

Resolution


  1. Si FIPS échoue, le mode FIPS sera désactivé et le client devra désactiver FIPS sur GP et réinstaller l' application pour la rendre fonctionnelle.
  2. Voici ce que vous devriez voir dans PANGPS lorsque le mode FIPS est activé avec succès.
:611 Failed to get attribute value 'fips-cc-mode-failed'
:777 OS fips enabled:true
:777 FIPS-CC selftest started..
:777 test case: fips_test_drbg: PASSED
...(Output Omitted)....
:188 the file C:\Program Files\Palo Alto Networks\GlobalProtect\PanGPS.exe is signed and the signature was verified.
:188 Subject Name: Palo Alto Networks
:188 CheckSigner return 1
:188 FIPS-CC mode : FIPS Integrity test PASSED.
:188 FIPS-CC mode enabled successfully.
  1. Pour confirmer si le processeur prend en charge RDSEED ou RDRAND, vous pouvez utiliser le testeur RDRAND.
  2. Vous pouvez trouver l' application du testeur RDRAND sur https://github.com/cjee21/RDRAND-Tester .
  3. Les résultats d'un test réussi sont présentés ci-dessous :
Running on AMD Ryzen 7 PRO 6850U with Radeon Graphics
This CPU supports the following instructions:
RDRAND: Supported
RDSEED: Supported
Testing RDRAND...

try: 1 success: 1 random number: 955519296989855672 (0x0d42afbcf11c7fb8)
try: 2 success: 1 random number: 9890994696216804248 (0x8943df457f467b98)
...(Output Omitted)....
try: 18 success: 1 random number: 15695213506936246795 (0xd9d099871ad9120b)
try: 19 success: 1 random number: 9680117947826199633 (0x8656affc70105c51)
try: 20 success: 1 random number: 7792075453671733622 (0x6c2303574724f976)



Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kIIfCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language