Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

33 Страницы«<23456>»
Опции
К последнему сообщению К первому непрочитанному
Offline 4ertu  
#61 Оставлено : 3 марта 2015 г. 15:25:54(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Не подскажите, а могут ли параметры для создания криптографических ключей или ключей согласования (по Диффи-Хелману) отличаться в gost_capi и CSP 3.6 на Win7? Если да, набор параметров на клиенте можно изменить.
Offline Дмитрий Пичулин  
#62 Оставлено : 3 марта 2015 г. 15:26:11(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Обновитесь до 1.0.1l, 1.0.1e, что-то древнее
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#63 Оставлено : 3 марта 2015 г. 15:28:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: 4ertu Перейти к цитате
Не подскажите, а могут ли параметры для создания криптографических ключей или ключей согласования (по Диффи-Хелману) отличаться в gost_capi и CSP 3.6 на Win7? Если да, набор параметров на клиенте можно изменить.


По идее, клиент автоматически решает с какими параметрами ему работать изходя из сертификата сервера, так что здесь проблем быть не должно.
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#64 Оставлено : 3 марта 2015 г. 15:49:59(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Для CentOS OpenSSL 1.0.1e является последней:
Код:

[root@tls-nginx nginx]# rpm -ql --changelog openssl | head -n 10
* Tue Jan 13 2015 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-30.5
- fix CVE-2014-3570 - incorrect computation in BN_sqr()
- fix CVE-2014-3571 - possible crash in dtls1_get_record()
- fix CVE-2014-3572 - possible downgrade of ECDH ciphersuite to non-PFS state
- fix CVE-2014-8275 - various certificate fingerprint issues
- fix CVE-2015-0204 - remove support for RSA ephemeral keys for non-export
  ciphersuites and on server
- fix CVE-2015-0205 - do not allow unauthenticated client DH certificate
- fix CVE-2015-0206 - possible memory leak when buffering DTLS records

Код:
[root@tls-nginx nginx]# yum list openssl -q
Installed Packages
openssl.i686                     1.0.1e-30.el6_6.5                      @updates

Подробнее о версии OpenSSL:
Код:

[root@tls-nginx nginx]# openssl version -a
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Jan 20 17:24:06 UTC 2015
platform: linux-elf
options:  bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) idea(int) blowfish(idx)
compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -DL_ENDIAN -DTERMIO -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m32 -march=i686 -mtune=atom -fasynchronous-unwind-tables -Wa,--noexecstack -DPURIFY -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  dynamic

Отредактировано пользователем 3 марта 2015 г. 16:01:32(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#65 Оставлено : 3 марта 2015 г. 16:20:11(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Проверели с 1.0.1e — все работает

Пытаемся воспроизвести ваши ошибки, пока не получается
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#66 Оставлено : 3 марта 2015 г. 17:19:44(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Обновитесь до 1.0.1l, 1.0.1e, что-то древнее


Не должно влиять - команда подписи тестового файла отрабатывает корректно.
Для Debian 1.0.1е актуальна.
Offline Дмитрий Пичулин  
#67 Оставлено : 3 марта 2015 г. 17:22:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Может у вас рабочие процессы nginx под другим пользователем живут?
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#68 Оставлено : 3 марта 2015 г. 17:33:13(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Предлагаю пройтись по шагам:
Сервер:
1) Устанавливаем Nginx 1.7.10 + openssl 1.0.1e+
2) Устанавливаем CryptoPro.
Скачивал отсюда (CSP 4.0):

3) Создаем запросы и устанавливаем сертификаты
Примеры команд

4) Загружаем и устанавливаем gost_api
5) меняем конфигурацию nginx и openssl

Клиент:
1) Устанавливаем КриптоПро CSP 3.6
2) Получаем ГОСТовые сертификаты через тестовый УЦ (На крайний случай добавляем Сертификат корневого центра в доверенные)
3) Пытаемся подключиться к серверу
4) Ошибка.Think

Отредактировано пользователем 3 марта 2015 г. 17:37:31(UTC)  | Причина: Не указана

Offline 4ertu  
#69 Оставлено : 3 марта 2015 г. 17:35:47(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Может у вас рабочие процессы nginx под другим пользователем живут?

Первоначально был такой замысел, но nginx не мог получить приватный ключ - необходимо запускать от рута.
Offline Дмитрий Пичулин  
#70 Оставлено : 3 марта 2015 г. 17:43:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: 4ertu Перейти к цитате
Автор: pd Перейти к цитате
Может у вас рабочие процессы nginx под другим пользователем живут?

Первоначально был такой замысел, но nginx не мог получить приватный ключ - необходимо запускать от рута.


Да, но штатная картина после запуска nginx приблизительно такая (рабочие процессы запущены от www-data):

Код:
root     10220  0.0  0.5  64360  1328 ?        Ss   09:39   0:00 nginx: master process /usr/sbin/nginx
www-data 10221  0.0  0.7  64700  1876 ?        S    09:39   0:00 nginx: worker process
www-data 10222  0.0  0.7  64700  1876 ?        S    09:39   0:00 nginx: worker process
www-data 10223  0.0  0.7  64700  1876 ?        S    09:39   0:00 nginx: worker process
www-data 10224  0.0  0.6  64700  1816 ?        S    09:39   0:00 nginx: worker process


А мы пытались запускать nginx от пользователя, в котором работает openssl engine и cms, поэтому, может быть, в конфиге nginx есть смысл указать: user user_where_openssl_ok;

Отредактировано пользователем 3 марта 2015 г. 17:45:33(UTC)  | Причина: fix

Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#71 Оставлено : 3 марта 2015 г. 18:15:17(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
В логах еще есть такая ошибка:


Подскажите, есть ли разница в использовании CSP 4.0 на сервере и CSP 3.6 на клиенте?
Offline Дмитрий Пичулин  
#72 Оставлено : 3 марта 2015 г. 18:35:46(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Нет, здесь не должно быть проблем, все проблемы похоже в привилегиях процессов. Мы у себя на ubuntu никак не можем запустить, то у одного нет прав к ключу, то у другого.
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#73 Оставлено : 4 марта 2015 г. 9:26:59(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: pd Перейти к цитате
Нет, здесь не должно быть проблем, все проблемы похоже в привилегиях процессов. Мы у себя на ubuntu никак не можем запустить, то у одного нет прав к ключу, то у другого.


Да, по умолчанию, рабочие процессы nginx запускаюся под пользователем nginx, главный (master) от root'а.
Если попытаться зашифровать файл под пользователем nginx, то выйдет ошибка, о которой я писал ранее. Она решается изменением прав на домашнюю директорию пользователя.

Сейчас же у меня nginx запускается от root'а, рабочие процессы тоже от root'а (в конфигу nginx.conf: user root), под которым КриптоПро и gost_capi есс-но работает:
Код:
[root@tls-nginx ~]# ps axw -o pid,ppid,user,%cpu,vsz,wchan,command | egrep '(nginx|PID)'
  PID  PPID USER     %CPU    VSZ WCHAN  COMMAND
 5300     1 root      0.0  29088 -      nginx: master process nginx
 5301  5300 root      0.0  29448 -      nginx: worker process
 5895  5876 root      0.0   4164 -      egrep (nginx|PID)
[root@tls-nginx ~]#


Вот еще лог /var/opt/cprocsp/tmp/openssl.log:
Код:
Opening certificate store MY
capi_get_key, contname=HDIMAGE\\user.000\40A2, provname=Crypto-Pro GOST R 34.10-2001 KC1 CSP, type=75

Отредактировано пользователем 4 марта 2015 г. 11:13:31(UTC)  | Причина: Не указана

Offline 4ertu  
#74 Оставлено : 4 марта 2015 г. 11:26:25(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Kropotin, а у вас после внесения изменений в конфиг Openssl ssh не отвалился?


У меня ssh работает только если закомментить изменения.
При этом openssl engine выдает корректную инфу.
Offline kropotin  
#75 Оставлено : 4 марта 2015 г. 11:31:19(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: 4ertu Перейти к цитате
Kropotin, а у вас после внесения изменений в конфиг Openssl ssh не отвалился?
У меня ssh работает только если закомментить изменения.
При этом openssl engine выдает корректную инфу.


Отваливается. Даже при рекомендации помещать строку "openssl_conf = openssl_def" непосредственно перед секцией "[ new_oids ]".
Поэтому, чтобы подключиться по ssh, я комментирую строку, сохраняю, подключаюсь, раскомментирую и опять сохраняю. Вот такие танцы.
Offline Дмитрий Пичулин  
#76 Оставлено : 4 марта 2015 г. 14:16:14(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Мы тоже пляшем и готовим исправления на основании этого тестирования.

Ошибку сейчас воспроизвели. Фиксим.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#77 Оставлено : 5 марта 2015 г. 16:13:22(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Нашли причины ошибок:
1) В текущей версии поддерживается только провайдер КС2 (из-за того что nginx делает рабочие процессы fork-ом)
2) Рабочие процессы должны быть под тем же пользователем, что и родительский, поэтому из nginx.conf следует убрать слова "user nginx_worker;"
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#78 Оставлено : 5 марта 2015 г. 17:58:34(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Поставил КС2 на сервер и клиент, обрывается на том же месте в рукопожатии, поменялась строка в логах:

Offline Дмитрий Пичулин  
#79 Оставлено : 5 марта 2015 г. 18:00:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: 4ertu Перейти к цитате
Поставил КС2 на сервер и клиент, обрывается на том же месте в рукопожатии, поменялась строка в логах


Проверьте состояние рабочих процессов, они дложны быть запущены от одного и того же пользователя (у нас root):

Код:
root      1064  0.0  0.0  71528  5948 ?        Ss   17:03   0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
root      1066  0.0  0.0  71788  8156 ?        S    17:03   0:00 nginx: worker process


На клиенте КС2 необязателен.

Отредактировано пользователем 5 марта 2015 г. 18:01:49(UTC)  | Причина: typo + addon

Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#80 Оставлено : 5 марта 2015 г. 18:02:59(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате

Проверьте состояние рабочих процессов, они дложны быть запущены от одного и того же пользователя (у нас root):


Все от рута.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
33 Страницы«<23456>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.