logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

27 Страницы«<252627
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Степанов  
#521 Оставлено : 7 мая 2019 г. 11:03:14(UTC)
Андрей Степанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 2
Откуда: Москва

Автор: Дмитрий Пичулин Перейти к цитате
Автор: Андрей Степанов Перейти к цитате
SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking

У нас запрещен вариант работы по, так называемым, "статическим" ключам Диффи-Хеллмана.

Если вы не используете данный вариант, то расскажите как нам воспроизвести вашу проблему.


Добрый день! Алгоритм Диффи-Хеллмана не используем.
Появилось решение, а точнее способ обойти проблему. При попытке выяснить что может вызывать сбой, обнаружил виновника в виде logrotate который каждый раз делал systemctl reload nginx при переполнении логов. После выполнения этой команды у всех клиентов возникают проблемы с хендшейком. ЭТо подтвердилось, если в ручном режиме сделать reload (не restart) ключи также отваливаются.
С нашей стороны пришлось отказаться от logrotate, но надеюсь в следующих версиях nginx-gost вы сможете найти проблему и пофиксить.

Offline Дмитрий Пичулин  
#522 Оставлено : 7 мая 2019 г. 11:17:30(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 803
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Автор: Андрей Степанов Перейти к цитате
Добрый день! Алгоритм Диффи-Хеллмана не используем.
Появилось решение, а точнее способ обойти проблему. При попытке выяснить что может вызывать сбой, обнаружил виновника в виде logrotate который каждый раз делал systemctl reload nginx при переполнении логов. После выполнения этой команды у всех клиентов возникают проблемы с хендшейком. ЭТо подтвердилось, если в ручном режиме сделать reload (не restart) ключи также отваливаются.
С нашей стороны пришлось отказаться от logrotate, но надеюсь в следующих версиях nginx-gost вы сможете найти проблему и пофиксить.

Да, reload известная проблема: https://www.cryptopro.ru...&m=102256#post102256
Знания в базе знаний, поддержка в техподдержке
Offline i.nikolenko  
#523 Оставлено : 16 мая 2019 г. 20:21:09(UTC)
i.nikolenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.05.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Санкт-Петербург

Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.

Полностью, что делал:

Ubuntu 16.04
1. Установил openssl 1.1.1b из рекомендованного форка https://github.com/deemr...penssl-1.1.1b-gost-0.24:
Код:
./config
make
sudo make install


2. Установил КриптоПро CSP 4.0 R4:
Код:
sudo apt install lsb lsb-core alien
wget https://cryptopro.ru/sites/default/files/private/csp/40/9963/linux-amd64_deb.tgz
tar xf linux-amd64_deb.tgz && cd linux-amd64_deb
sudo ./install.sh
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb


3. Скачал https://update.cryptopro...5515/win64/gostengy.dll,
положил в /usr/local/ssl/gostengy.dll

4. Добавил в /usr/local/ssl/openssl.cnf:
Код:
# в начале файла, но после строки oid_section = new_oids
openssl_conf = openssl_def

# в конце файла
[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /usr/local/ssl/gostengy.dll
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1


5. Запускаю для проверки и получаю ошибку:
Код:
$ openssl engine

(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
139903910340352:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:119:filename(/usr/local/ssl/gostengy.dll): /usr/local/ssl/gostengy.dll: invalid ELF header
139903910340352:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162:
139903910340352:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
139903910340352:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/usr/local/ssl/gostengy.dll
139903910340352:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:177:module=engines, value=engine_section, retcode=-1


Что я делаю не так?

Отредактировано пользователем 16 мая 2019 г. 20:24:27(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#524 Оставлено : 18 мая 2019 г. 0:05:43(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 25
Российская Федерация

Поблагодарили: 3 раз в 3 постах
Автор: i.nikolenko Перейти к цитате
Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.


Добрый день!
предлагаю пойти по простому пути.
скачайте последнюю версию CSP 5.0 https://www.cryptopro.ru...loads#latest_csp50_linux
выполните стандартную установку ./install.sh
далее вам необходимо установить пакеты cprocsp-cpopenssl-110-*

в openssl.cnf укажите dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so вместо dynamic_path = /usr/local/ssl/gostengy.dll
Техническую поддержку оказываем тут
Наша база знаний
Offline i.nikolenko  
#525 Оставлено : 20 мая 2019 г. 16:58:24(UTC)
i.nikolenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.05.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Санкт-Петербург

Автор: Санчир Момолдаев Перейти к цитате
Автор: i.nikolenko Перейти к цитате
Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.

предлагаю пойти по простому пути.
скачайте последнюю версию CSP 5.0 https://www.cryptopro.ru...loads#latest_csp50_linux

У нас куплена серверная лицензия CSP 4.0 - в конечном счёте нужно, чтобы заработало с ней.
Offline Санчир Момолдаев  
#526 Оставлено : 20 мая 2019 г. 17:02:19(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 25
Российская Федерация

Поблагодарили: 3 раз в 3 постах
Автор: i.nikolenko Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: i.nikolenko Перейти к цитате
Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.

предлагаю пойти по простому пути.
скачайте последнюю версию CSP 5.0 https://www.cryptopro.ru...loads#latest_csp50_linux

У нас куплена серверная лицензия CSP 4.0 - в конечном счёте нужно, чтобы заработало с ней.


тогда доустановите пакеты 110 отсюда https://update.cryptopro...t/nginx-gost/bin/180423/
остальное остается также.

Отредактировано пользователем 20 мая 2019 г. 18:44:25(UTC)  | Причина: указал не ту ссылку

Техническую поддержку оказываем тут
Наша база знаний
Offline vlados123  
#527 Оставлено : 30 мая 2019 г. 17:01:45(UTC)
vlados123

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.05.2019(UTC)
Сообщений: 1
Российская Федерация
Откуда: Москва

Как из подписи полученной след. командой
Цитата:
openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:test2018 -in "doc.txt" -binary -out "doc.sign" -outform pem -signer ./publicKey.pem


Получить само значение подписи.
Offline Дмитрий Пичулин  
#528 Оставлено : 30 мая 2019 г. 17:27:09(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 803
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 119 раз в 102 постах
Автор: vlados123 Перейти к цитате
Как из подписи полученной след. командой
Цитата:
openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:test2018 -in "doc.txt" -binary -out "doc.sign" -outform pem -signer ./publicKey.pem


Получить само значение подписи.

Здесь решаем вопросы связанные с работой ГОСТ.

А "получить само значение подписи" заслуживает отдельной темы.
Знания в базе знаний, поддержка в техподдержке
Offline dkazachkoff  
#529 Оставлено : 2 июня 2019 г. 0:10:19(UTC)
dkazachkoff

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.10.2013(UTC)
Сообщений: 1

Добрый день! при попытке сгенерить ключ получаю ошибку:

openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out seckey.pem
Error initializing gost2001 context
139933680112064:error:06093096:digital envelope routines:EVP_PKEY_keygen_init:operation not supported for this keytype:crypto/evp/pmeth_gn.c:73:

Пробовал на Centos 7 и Ubuntu 18.04.2. Устанавливал csp 5 и 4 с пакетами openssl-110. Менял алгоритмы на gost2012_512 и gost2012_256

Подскажите где может быть проблема
Offline two_oceans  
#530 Оставлено : 3 июня 2019 г. 4:52:31(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 438
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 106 раз в 102 постах
Добрый день!
Пожалуйста внимательно прочитайте ответы на часто задаваемые вопросы во втором сообщении темы. Ошибка наверно в том, что прочитали старые инструкции для расширения gost криптокома и пытаетесь генерировать ключ через openssl. Расширения gostengy и gost_capi от КриптоПро, не поддерживают команду openssl genpkey (кажется вот в этой же теме было). А даже если сгенерите ключ в pem файл, то не сможете его использовать с расширениями gostengy и gost_capi. Поэтому правильно будет сгенерировать ключ в КриптоПро (создается ключ в контейнере КриптоПро, не в pem файле), а уже потом контейнер можно использовать из openssl через расширения gostengy и gost_capi. Обратите внимание, что конвертировать ключ из контейнера криптопро в pem при этом не нужно.

В тоже время, если используете расширения других компаний, то там с большой вероятностью подход не изменился и надо генерировать pem файл в openssl.

Отредактировано пользователем 3 июня 2019 г. 4:53:09(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
27 Страницы«<252627
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.