
<div dir="auto">Thank you for the clarification. </div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 9, 2021, 9:15 AM Tatsuo Ishii <<a href="mailto:ishii@sraoss.co.jp">ishii@sraoss.co.jp</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Yes, there is no FIPS compliant pgpool library.<br>

<br>

> Thanks Tatsuo, is it that there is no FIPS compliant pgpool library<br>

> available as such?<br>

> <br>

> On Tue, Mar 9, 2021, 7:41 AM Tatsuo Ishii <<a href="mailto:ishii@sraoss.co.jp" target="_blank" rel="noreferrer">ishii@sraoss.co.jp</a>> wrote:<br>

> <br>

>> > Hi Pgpool team,<br>

>> ><br>

>> > We have made our hosts FIPS compliant and using pgpool for clustering.<br>

>> How<br>

>> > to make pgpool libraries as well, FIPS compliant?<br>

>><br>

>> I am not familiar with FIPS. Correct me if I am wrong.<br>

>><br>

>> Pgpool-II uses encryption modules in several places:<br>

>><br>

>> ssl_ciphers = 'HIGH:MEDIUM:+3DES:!aNULL'<br>

>>                                    # Allowed SSL ciphers<br>

>>                                    # (change requires restart)<br>

>> ssl_prefer_server_ciphers = off<br>

>>                                    # Use server's SSL cipher preferences,<br>

>>                                    # rather than the client's<br>

>>                                    # (change requires restart)<br>

>> ssl_ecdh_curve = 'prime256v1'<br>

>>                                    # Name of the curve to use in ECDH key<br>

>> exchange<br>

>> ssl_dh_params_file = ''<br>

>><br>

>> You can choose appropreate values for these parameters to satisfy<br>

>> FIPS.<br>

>><br>

>> Other parameters using encryption are named "*.password". For example:<br>

>><br>

>> sr_check_password = ''<br>

>><br>

>> You can choose strong encryption module (AES-256-CBC) for these. See<br>

>> manual for more details.<br>

>><br>

>> One thing I am worried is pcp password. It's encrypted in md5, which<br>

>> is not too strong encryption method. This may or may not satify FIPS.<br>

>><br>

>> Best regards,<br>

>> --<br>

>> Tatsuo Ishii<br>

>> SRA OSS, Inc. Japan<br>

>> English: <a href="http://www.sraoss.co.jp/index_en.php" rel="noreferrer noreferrer" target="_blank">http://www.sraoss.co.jp/index_en.php</a><br>

>> Japanese:<a href="http://www.sraoss.co.jp" rel="noreferrer noreferrer" target="_blank">http://www.sraoss.co.jp</a><br>

>><br>

</blockquote></div>