Здравствуйте. Уже неделю ищу информацию о том как реализовать эту схему с вашего сайта на CSP 4 версии. В архиве с документацией есть формуляр про TLS-соединение, но описывает оно только сервер-клиент с установкой stunnel.

Как на UNIX системе построить это TLS шифрование? Да так, чтобы через сертифицированный браузер пользоваться?

Отредактировано пользователем 6 июня 2022 г. 10:29:52(UTC)  | Причина: Не указана

Страница рассказывает о применение патчей, в котором неожиданно появляются строки "C:\Program Files\Crypto Pro\CSP\csptest.exe", когда речь идет о Линуксе. Установка патча действительно работает как волшебная пилюля и за один патч лишит проблем?

А разве инструкция отсюда не подойдет? https://www.cryptopro.ru...ts&m=57216#post57216
В плане, реализации TLS сервера на версии CSP 4

Уточню, почему там стоит предупреждение об устаревшей инструкции. В принципе все описанное должно подойти, но стоит иметь ввиду:
1) решение с использованием gostengy очень чувствительно к версии библиотек openssl (будь то отдельные файлы, модули или вкомпилированные исходники). Большинство версий на основе openssl веток 1.1.0 и 1.1.1 работает с движком gostengy, но возможен случай, что конкретная версия nginx / Apache / mod_ssl и т.д. несовместима. Прошлый раз когда я заглядывал в репозиторий openssl, разрабатывали уже ветку 3, то есть новейшие версии уже могут быть кардинально несовместимы.

Разработчики openssl довольно часто обновляет библиотеки и закрывают обновлениями прошлых веток в основном дыры в TLS. Просто поставить очень старую гарантированно работающую версию и забыть об ее обновлении вариант половинчатый. С одной стороны, это может быть очень рискованно именно для TLS сервера, так как соединение могут реально взломать через уязвимости TLS. С другой стороны, при обновлении все может сломаться.

2) стандартные скрипты от Apache / xampp в том числе пытаются генерировать ключ через openssl и прописать в конфиг. Однако gostengy не поддерживает операцию генерации ключа - сначала ключ нужно сгенерировать в КриптоПро в контейнер КриптоПро (рекомендуется это сделать каким-то способом, конвертация ключа БОЛЬ), затем прописать специальным способом в конфиге (подробнее в инструкции). Аналогично нельзя загрузить ключ гост напрямую из файла, только из контейнера. Утилиты КриптоПро поддерживают только конвертацию из pfx/p12 файла в контейнер, но не наоборот. Причем, скорее всего конвертировать придется на компьютере с Windows.

3) соответственно раз ключ хранится в контейнере КриптоПро, то обязательно наличие КриптоПро CSP и лицензия на него.
Этот момент перебивает в корне идею работать с гост через openssl+gostengy в качестве альтернативы MS CryptoApi / CAPI. В том плане, что gostengy предоставляет еще один интерфейс к тому же криптоядру и поддерживать оба интерфейса идея так себе.

4) решение формально не сертифицировано, так как gostengy.dll никогда не была сертифицирована отдельно и не входила в состав сертифицированных продуктов. Другими словами, если нужна сертификация или контроль встраивания, то придется заказывать самостоятельно.

5) gostengy насколько помню не поддерживает перспективные форматы гост-2015, то есть через максимум десяток лет будет вообще бесполезно, но еще пригодится пару-тройку лет пока гост-2012 и КриптоПро CSP 4.0 в ходу.
Ранее такое уже было с gost_capi (совместима с openssl 1.0.x веток, но поддерживает только до гост-2001. Положительная сторона в том, что первые версии поддерживали и гост-94, то есть для расшифровки очень старых файлов может подойти).

У меня gostengy.dll используется только для консольного внутреннего УЦ, так можно не особо беспокоиться об уязвимостях TLS и обновлении openssl.

Отредактировано пользователем 16 июня 2022 г. 6:28:17(UTC)  | Причина: Не указана