Статус: Новичок
Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 9
Откуда: Москва
Сказал(а) «Спасибо»: 3 раз
|
Автор: Дмитрий Пичулин  Автор: Андрей Степанов SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking У нас запрещен вариант работы по, так называемым, "статическим" ключам Диффи-Хеллмана. Если вы не используете данный вариант, то расскажите как нам воспроизвести вашу проблему. Добрый день! Алгоритм Диффи-Хеллмана не используем. Появилось решение, а точнее способ обойти проблему. При попытке выяснить что может вызывать сбой, обнаружил виновника в виде logrotate который каждый раз делал systemctl reload nginx при переполнении логов. После выполнения этой команды у всех клиентов возникают проблемы с хендшейком. ЭТо подтвердилось, если в ручном режиме сделать reload (не restart) ключи также отваливаются. С нашей стороны пришлось отказаться от logrotate, но надеюсь в следующих версиях nginx-gost вы сможете найти проблему и пофиксить.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,075
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 176 раз в 152 постах
|
Автор: Андрей Степанов Добрый день! Алгоритм Диффи-Хеллмана не используем.
Появилось решение, а точнее способ обойти проблему. При попытке выяснить что может вызывать сбой, обнаружил виновника в виде logrotate который каждый раз делал systemctl reload nginx при переполнении логов. После выполнения этой команды у всех клиентов возникают проблемы с хендшейком. ЭТо подтвердилось, если в ручном режиме сделать reload (не restart) ключи также отваливаются.
С нашей стороны пришлось отказаться от logrotate, но надеюсь в следующих версиях nginx-gost вы сможете найти проблему и пофиксить.
Да, reload известная проблема: https://www.cryptopro.ru...&m=102256#post102256 |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.05.2019(UTC) Сообщений: 2  Откуда: Санкт-Петербург
|
Помогайте, пожалуйста. Не могу заставить работать openssl с ГОСТ 2012 по инструкциям. Полностью, что делал: Ubuntu 16.04 1. Установил openssl 1.1.1b из рекомендованного форка https://github.com/deemr...penssl-1.1.1b-gost-0.24:Код:./config
make
sudo make install
2. Установил КриптоПро CSP 4.0 R4: Код:sudo apt install lsb lsb-core alien
wget https://cryptopro.ru/sites/default/files/private/csp/40/9963/linux-amd64_deb.tgz
tar xf linux-amd64_deb.tgz && cd linux-amd64_deb
sudo ./install.sh
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb
3. Скачал https://update.cryptopro...5515/win64/gostengy.dll,положил в /usr/local/ssl/gostengy.dll 4. Добавил в /usr/local/ssl/openssl.cnf: Код:# в начале файла, но после строки oid_section = new_oids
openssl_conf = openssl_def
# в конце файла
[openssl_def]
engines = engine_section
[engine_section]
gostengy = gost_section
[gost_section]
engine_id = gostengy
dynamic_path = /usr/local/ssl/gostengy.dll
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
5. Запускаю для проверки и получаю ошибку: Код:$ openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
139903910340352:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:119:filename(/usr/local/ssl/gostengy.dll): /usr/local/ssl/gostengy.dll: invalid ELF header
139903910340352:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162:
139903910340352:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
139903910340352:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/usr/local/ssl/gostengy.dll
139903910340352:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:177:module=engines, value=engine_section, retcode=-1
Что я делаю не так? Отредактировано пользователем 16 мая 2019 г. 20:24:27(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 03.12.2018(UTC) Сообщений: 503 Сказал(а) «Спасибо»: 55 раз
Поблагодарили: 78 раз в 76 постах
|
Автор: i.nikolenko Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.
Добрый день! предлагаю пойти по простому пути. скачайте последнюю версию CSP 5.0 https://www.cryptopro.ru...loads#latest_csp50_linuxвыполните стандартную установку ./install.sh далее вам необходимо установить пакеты cprocsp-cpopenssl-110-* в openssl.cnf укажите dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so вместо dynamic_path = /usr/local/ssl/gostengy.dll |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.05.2019(UTC) Сообщений: 2 Откуда: Санкт-Петербург
|
Автор: Санчир Момолдаев У нас куплена серверная лицензия CSP 4.0 - в конечном счёте нужно, чтобы заработало с ней.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 03.12.2018(UTC) Сообщений: 503 Сказал(а) «Спасибо»: 55 раз
Поблагодарили: 78 раз в 76 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.05.2019(UTC) Сообщений: 2 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Как из подписи полученной след. командой Цитата:openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:test2018 -in "doc.txt" -binary -out "doc.sign" -outform pem -signer ./publicKey.pem Получить само значение подписи.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,075
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 176 раз в 152 постах
|
Автор: vlados123 Как из подписи полученной след. командой Цитата:openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:test2018 -in "doc.txt" -binary -out "doc.sign" -outform pem -signer ./publicKey.pem Получить само значение подписи. Здесь решаем вопросы связанные с работой ГОСТ. А "получить само значение подписи" заслуживает отдельной темы. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.10.2013(UTC)
Сообщений: 1
|
Добрый день! при попытке сгенерить ключ получаю ошибку:
openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out seckey.pem
Error initializing gost2001 context
139933680112064:error:06093096:digital envelope routines:EVP_PKEY_keygen_init:operation not supported for this keytype:crypto/evp/pmeth_gn.c:73:
Пробовал на Centos 7 и Ubuntu 18.04.2. Устанавливал csp 5 и 4 с пакетами openssl-110. Менял алгоритмы на gost2012_512 и gost2012_256
Подскажите где может быть проблема
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,153 Откуда: Иркутская область Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 264 раз в 248 постах
|
Добрый день! Пожалуйста внимательно прочитайте ответы на часто задаваемые вопросы во втором сообщении темы. Ошибка наверно в том, что прочитали старые инструкции для расширения gost криптокома и пытаетесь генерировать ключ через openssl. Расширения gostengy и gost_capi от КриптоПро, не поддерживают команду openssl genpkey (кажется вот в этой же теме было). А даже если сгенерите ключ в pem файл, то не сможете его использовать с расширениями gostengy и gost_capi. Поэтому правильно будет сгенерировать ключ в КриптоПро (создается ключ в контейнере КриптоПро, не в pem файле), а уже потом контейнер можно использовать из openssl через расширения gostengy и gost_capi. Обратите внимание, что конвертировать ключ из контейнера криптопро в pem при этом не нужно. В тоже время, если используете расширения других компаний, то там с большой вероятностью подход не изменился и надо генерировать pem файл в openssl. Дата изменения: пользователем 3 июня 2019 г. 4:53:09(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.08.2019(UTC) Сообщений: 2
|
На сервере с настроенным nginx+gostengy+ГОСТ2012 сертификатами в случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты. В логе при этом ошибка: [emerg] 2169#2169: ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Считаю это неправильным поведением, когда из-за одного просроченного сертификата использующимся один из хостов, перестают работать несколько десятков других хостов. Задал вопрос в комьюнити Nginx - авторы говорят пишите авторам gostengy https://forum.nginx.org/read.php?21,285094,285099Помогите пожалуйста решить эту проблему.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,075
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 176 раз в 152 постах
|
Автор: simpleman66 На сервере с настроенным nginx+gostengy+ГОСТ2012 сертификатами в случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты. В логе при этом ошибка: [emerg] 2169#2169: ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Считаю это неправильным поведением, когда из-за одного просроченного сертификата использующимся один из хостов, перестают работать несколько десятков других хостов. Задал вопрос в комьюнити Nginx - авторы говорят пишите авторам gostengy https://forum.nginx.org/read.php?21,285094,285099Помогите пожалуйста решить эту проблему. При разработке у нас был другой подход, что прохождение всех проверок при старте системы, гарантирует дальнейшую работоспособность. То есть, рядовому пользователю проще сразу нарваться на ошибку, чем разбираться с ней в процессе работы. Ваша ситуация понятна, опытным пользователям такой подход может показаться наивным, но всегда можно оперативно отключать проблемные хосты на уровне конфигурации. Предлагайте свои варианты, как бы вы хотели улучшить старт системы. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 61
Сказал(а) «Спасибо»: 4 раз
|
Добрый день! Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться После выполнения команды Получаю Цитата:(dynamic) Dynamic engine loading support
140478666684160:error:2506406A:DSO support routines:dlfcn_bind_func:could not bind to the requested symbol name:crypto/dso/dso_dlfcn.c:189:symname(bind_engine): /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so: undefined symbol: bind_engine
140478666684160:error:2506C06A:DSO support routines:DSO_bind_func:could not bind to the requested symbol name:crypto/dso/dso_lib.c:186:
140478666684160:error:260B6068:engine routines:dynamic_load:DSO failure:crypto/engine/eng_dyn.c:427:
140478666684160:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so
140478666684160:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:177:module=engines, value=engine_section, retcode=-1 .cnf файл Цитата:openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gostengy = gost_section
[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1 В чем может быть дело? OS: Ubuntu 12, CSP 4.0 Отредактировано пользователем 5 августа 2019 г. 14:28:24(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,075
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 176 раз в 152 постах
|
Автор: rmussalimov Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться По какой инструкции? Автор: rmussalimov name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so libcrypto.so не является engine, у вас ошибка конфигурации. У нас есть 2 engine, gost_capi (старый) и gostengy (текущий), подробнее смотрите в FAQ в начале темы. Актуальный поддерживаемый нами в настоящий момент вариант установки: https://www.cryptopro.ru...aspx?g=posts&t=12505 |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 61
Сказал(а) «Спасибо»: 4 раз
|
Автор: Дмитрий Пичулин Автор: rmussalimov Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться По какой инструкции? Автор: rmussalimov name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so libcrypto.so не является engine, у вас ошибка конфигурации. У нас есть 2 engine, gost_capi (старый) и gostengy (текущий), подробнее смотрите в FAQ в начале темы. Актуальный поддерживаемый нами в настоящий момент вариант установки: https://www.cryptopro.ru...aspx?g=posts&t=12505 Установил отсюда https://update.cryptopro...t/nginx-gost/bin/185515/cprocsp-cpopenssl-110-base-5.0.11315-5.noarch.rpm cprocsp-cpopenssl-110-64-5.0.11315-5.x86_64.rpm Пытаюсь установить gostengy. Какой .so нужно записать в .cnf?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,075
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 176 раз в 152 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 61
Сказал(а) «Спасибо»: 4 раз
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,075
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 176 раз в 152 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 61
Сказал(а) «Спасибо»: 4 раз
|
Автор: Дмитрий Пичулин Т.е. проблема в том, что OpenSSL не определяет .so как engine?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,075
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 176 раз в 152 постах
|
Автор: rmussalimov Автор: Дмитрий Пичулин Т.е. проблема в том, что OpenSSL не определяет .so как engine? Нет, не в этом. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
