Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 417 раз в 308 постах
|
Автор: dvfin  А теперь можно считать успехом? И еще вопрос ГОСТ-ы по умолчанию будут поддерживаться в OpenSSL версии 1.1.1 ? Можно. Это успех. OpenSSL 1.1.1 не должен сильно отличаться от 1.1.0, по умолчанию только зарубежные алгоритмы, ГОСТ необходимо будет подключать дополнительно, как сейчас. Как только OpenSSL 1.1.1 станет стабильным релизом -- мы доработаем под него наш gostengy. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.08.2017(UTC) Сообщений: 58  Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 2 раз в 2 постах
|
Все серверные и корневые сертификаты http://www.roskazna.ru/g...tr/kornevye-sertifikaty/ установлены с помощью КриптоПро 5 в хранилище сертификатов uRoot - для корневых сертификатов Удостоверяющих Центров. Личные сертификаты установлены в uMy - для личных сертификатов. В браузере Спутник увидел следующие ошибки: Код:ERROR:ssl_client_socket_impl.cc(1314)] trying to load gostssl lib libgostssl.so
ERROR:ssl_client_socket_impl.cc(1319)] ok when trying to load gostssl lib
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -3072
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -3072
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -2
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -2
в /opt/sputnik-browser/ лежит библиотека libgostssl.so но она не подгружается, или подгружается некорректно из-за неправильной настройки SSL ФГИСов и автоионизация по ГОСТ из-за этого не проходит. Скриншоты https://dropmefiles.com/VQBCM     Из-за этой ошибки не получается зайти в Личные кабинеты следующих ФГИС https://zakupki.gov.ru/auth/securehttps://bus.gov.ru/privatehttps://lk-fzs.roskazna.ru/private/requests/newhttps://ssl.budgetplan.minfin.ru/bp/Nmap при этом выдает следующее: Код:nmap --script ssl-enum-ciphers -p 443 zakupki.gov.ru
Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-27 13:54 Local time zone must be set--see zic manual page
Nmap scan report for zakupki.gov.ru (31.173.38.227)
Host is up (0.017s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
| TLSv1.0:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
| TLSv1.1:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
|_ least strength: unknown
Nmap done: 1 IP address (1 host up) scanned in 0.76 seconds
Подскажите эта проблема на моей стороне или это проблема настройки авторизации по SSL у данных ФГИСов? По поводу ошибки [missing_subjectAltName] при входе в Личный кабинет ЕИС (см. выше на скриншоте) написано здесь https://www.linux.or...eneral/13369028 В сертификате ЕИС не заполнено поле SAN ( Subject Alternative Name), на основании это происходит "отфутболивание" всеми браузерами. Сам Ghrome сообщал об этом: Цитата:Chrome 58 позволяет временно вернуть старое поведение браузера. Делается это с помощью политики EnableCommonNameFallbackForLocalAnchors.
Она позволяет избежать повторной генерации сертификатов. Однако это
решение является временным и будет удалено в последующих версиях
браузера (не позднее Chrome 65). Мы настоятельно рекомендуем заново
сгенерировать самоподписанные SSL-сертификаты с включением расширения
Subject Alternative Name. и еще нашел такое: Цитата:Немного изучив вопрос, выяснил, что openssl не добавляет subjectAltName в сертификат, так как он не указан в конфиге, поэтому в openssl.cnf нужно в секции [ req ] раскомментировать параметр req_extensions = v3_req и в секци [ v3_req ] добавить параметр subjectAltName = DNS: example.com, IP:ххх.ххх.ххх.ххх (можно указать один из параметров, если у вас только IP/домен). При перевыпуске в запросе на подпись добавить параметр -reqexts v3_req и при подписывании -extensions v3_req После этого не забыть закомментировать req_extensions обратно. и как правильно выпустить сертификат с v3_req (Subject Alternative Name extension) более подробно написано здесь: http://wiki.cacert.o.../subjectAltName http://www.linuxsnippets.net/node/364Получается в файл конфигурации /etc/ssl/openssl.cnf необходимо внести следующие изменения: Код: [ req ] # В этой секции
req_extensions = v3_req # раскоментировать эту строку
[ v3_req ] # В этой
subjectAltName = @alt_names # добавить такую строку
# В конец файла добавить секцию
[ alt_names ] # И здесь
DNS.1 = zakupki.gov.ru # указать список доменов
DNS.2 = www.zakupki.gov.ru # для которых выписываем сертификат
DNS.3 = *.zakupki.gov.ru
IP.0 = 31.173.38.227 # И, если нужно, IP адреса
Теперь можно создавать сертификат по этой инструкции http://www.linuxsnippets.net/node/364 Самое главное указать openssl использовать расширение -extensions v3_req и конфигурационный файл -config /etc/ssl/openssl.cnf (содержимое /etc/ssl/openssl.cnf см. в этом сообщении)И еще, из статьи https://www.opennet.ru/o...news/art.shtml?num=4298218.09.2015 09:10 Google прекращает поддержку SSLv3 и RC4 и повышает требования к HTTPS Цитата:Компания Google анонсировала скорое прекращение поддержки протокола SSLv3 и алгоритма RC4, которые не отвечают современным требованиям безопасности и подвержены нескольким видам атак. На первом этапе поддержка SSLv3 и RC4 будет отключена на фронтэнд-серверах, после чего отключение распространится на все продукты Google, включая Chrome (SSLv3 в Chrome уже отключён, в очереди на отключение RC4), Android, поисковые боты и SMTP-серверы. По статистике SSL Pulse из 200 тысяч крупнейших HTTPS-сайтов 42% уже отключили RC4 и 65% отключили SSLv3. Кроме того, планируется повысить требования к параметрам установки соединения HTTPS, например, для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной поддержка TLS 1.2, наличие расширения SNI (Server Name Indication) и присутствие набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Доверие будет ограничено корневыми сертификтами из списка pki.google.com/roots.pem, при обработке сертификатов обязательной будет поддержка DNS SAN (Subject Alternative Names). Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница cert-test.sandbox.google.com.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 417 раз в 308 постах
|
Автор: dvfin В браузере Спутник Создавайте новую тему. OpenSSL и engine тут не при чём. |
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
ОС: Windows 7. Gostengy настроен, GOST есть в списке шифров. Подскажите пожалуйста, есть ли описание уточненное параметров openssl при работе с Gostengy? Меня интересует использование связки параметров Код:-engine gostengy -keyform ENGINE -key xx
при которой не нужно экспортировать ключ в формат, совместимый с openssl. Какие именно значения допустимо указывать для key? Пробовал по отпечатку сертификата - прекрасно находит, но только если сертификат установлен в хранилище "Личные". Попытки ввести после -key имена контейнера приводят к ошибке "cannot load PrivateKey from engine". Пробовал следующие имена: Код:# K:\le-ce723.000 # путь к папке
# 8081E13F volumeid диска K, метки нет
le-ce723ce0-88cc-4bf2-9931-a11b366653f6 #дружественное
\\.\FAT12_K\le-ce723ce0-88cc-4bf2-9931-a11b366653f6
FAT12\8081E13F\le-ce723.000
FAT12\8081E13F\le-ce723.000\560A
При этом csptest принимает эти имена в качестве имени контейнера. Хотел сделать сертификат внутреннего УЦ организации по гост-2012 и оказалось невозможно обратиться к ключевому контейнеру, пока не выпущен сертификат и сертификат не связан с контейнером. Обход конечно нашелся - выпустил на тестовом УЦ КриптоПро, добавил в Личные, указал отпечаток - сделал корневой на это же контейнер. Однако это кажется не очень правильным и хотелось бы разобраться с параметром key.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 417 раз в 308 постах
|
Автор: two_oceans ОС: Windows 7. Gostengy настроен, GOST есть в списке шифров. Подскажите пожалуйста, есть ли описание уточненное параметров openssl при работе с Gostengy? Меня интересует использование связки параметров Код:-engine gostengy -keyform ENGINE -key xx
при которой не нужно экспортировать ключ в формат, совместимый с openssl. Какие именно значения допустимо указывать для key? Пробовал по отпечатку сертификата - прекрасно находит, но только если сертификат установлен в хранилище "Личные". Попытки ввести после -key имена контейнера приводят к ошибке "cannot load PrivateKey from engine". Пробовал следующие имена: Код:# K:\le-ce723.000 # путь к папке
# 8081E13F volumeid диска K, метки нет
le-ce723ce0-88cc-4bf2-9931-a11b366653f6 #дружественное
\\.\FAT12_K\le-ce723ce0-88cc-4bf2-9931-a11b366653f6
FAT12\8081E13F\le-ce723.000
FAT12\8081E13F\le-ce723.000\560A
При этом csptest принимает эти имена в качестве имени контейнера. Хотел сделать сертификат внутреннего УЦ организации по гост-2012 и оказалось невозможно обратиться к ключевому контейнеру, пока не выпущен сертификат и сертификат не связан с контейнером. Обход конечно нашелся - выпустил на тестовом УЦ КриптоПро, добавил в Личные, указал отпечаток - сделал корневой на это же контейнер. Однако это кажется не очень правильным и хотелось бы разобраться с параметром key. Так точно, такой функционал имеется, можно использовать имя контейнера без хранилища, для этого нужен префикс "c:" + имя контейнера, получаем например -key "c:le-ce723ce0-88cc-4bf2-9931-a11b366653f6". |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.08.2018(UTC) Сообщений: 17  Откуда: Москва Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
|
День добрый! Автор: Дмитрий Пичулин
OpenSSL 1.1.1 не должен сильно отличаться от 1.1.0, по умолчанию только зарубежные алгоритмы, ГОСТ необходимо будет подключать дополнительно, как сейчас.
Как только OpenSSL 1.1.1 станет стабильным релизом -- мы доработаем под него наш gostengy.
gost_capi скачал из шапки Код:r:\G working>openssl.exe
OpenSSL> version -a
OpenSSL 1.1.1-pre8 (beta) 20 Jun 2018
built on: Wed Jun 20 15:20:40 2018 UTC
platform: VC-WIN32-rtt
options: bn(64,32) rc4(8x,mmx) des(long) idea(int) blowfish(ptr)
compiler: cl /Zi /Fdossl_static.pdb /Gs0 /GF /Gy /MT /W3 /wd4090 /nologo /O2 /WX -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUI
D_OBJ -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_AS
M -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DP
ADLOCK_ASM -DPOLY1305_ASM
OPENSSLDIR: "C:\Program Files (x86)\Common Files\SSL"
ENGINESDIR: "C:\Program Files (x86)\OpenSSL\lib\engines-1_1"
Seeding source: os-specific
OpenSSL> engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
4052:error:260B6091:engine routines:dynamic_load:version incompatibility:crypto\engine\eng_dyn.c:454:
4052:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto\engine\eng_cnf.c:141:section=
gost_section, name=dynamic_path, value=gost_capi
4052:error:0E07606D:configuration file routines:module_run:module initialization error:crypto\conf\conf_mod.c:174:module
=engines, value=engine_section, retcode=-1
OpenSSL> exit
r:\G working>cd old
r:\G working\old>ossl_csp
r:\G working\old>set OPENSSL_CONF=.\openssl_csp.cfg
r:\G working\old>openssl.exe
OpenSSL> version -a
OpenSSL 1.1.0h 27 Mar 2018
built on: reproducible build, date unspecified
platform: VC-WIN32
options: bn(64,32) rc4(8x,mmx) des(long) idea(int) blowfish(ptr)
compiler: cl
OPENSSLDIR: "C:\Program Files (x86)\Common Files\SSL"
ENGINESDIR: "C:\Program Files (x86)\OpenSSL\lib\engines-1_1"
OpenSSL> engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
2788:error:260B6091:engine routines:dynamic_load:version incompatibility:crypto\engine\eng_dyn.c:454:
2788:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto\engine\eng_cnf.c:141:section=
gost_section, name=dynamic_path, value=gost_capi
2788:error:0E07606D:configuration file routines:module_run:module initialization error:crypto\conf\conf_mod.c:173:module
=engines, value=engine_section, retcode=-1
OpenSSL>
Собственно, windows. Конфиг такой: Код:openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost_capi = gost_section
[gost_section]
engine_id = gost_capi
dynamic_path = gost_capi
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
dynamic_path = gost_capi >>> тут если указать = gost_capi.dll то он ругается что файл = gost_capi.dll.dll не найден :) Что делать, куда бежать? Может у вас есть посвежее версия gost_capi.dll, а то эта 16того года же в шапке: 4.0.9806.0
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 417 раз в 308 постах
|
|
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.08.2018(UTC) Сообщений: 17 Откуда: Москва Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
|
Автор: Дмитрий Пичулин Спасибо Дмитрий, со свежей взлетело. Однако наткнулся на эту проблему работа с pfx из openssl, стало странно, с одной стороны поддержка openssl у вас есть, с другой стороны чтобы этим openssl извлечь закрытый ключ - надо бежать к вашим конкурентам. Недоработка, как считаете? (не исключаю варианта что я глубоко заблуждаюсь, т.к. в теме криптографии профан - только начал ковырять).
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Тут соль в том, что при использовании с КриптоПро вообще нет необходимости извлекать ключ в формат pfx/pem - есть средства работать напрямую с контейнером в КриптоПро. Просто забудьте уже о pem и pfx, политика КриптоПро - работать со своим контейнером, а не экспортировать ключ в иные форматы. Хотя, соглашусь, это было бы неплохо осветить в шапке, как и про использование gostengy с 1.1.0 вместо gost_capi. В этой теме почти 400 сообщений и немалая часть как раз по этим 2 вопросам. Как интересно Вы искали по форуму - раскопали тему 6 летней давности, а мой вопрос выше на вот этой же странице об использовании параметра -keyform ENGINE не увидели. И тему об извлечении pem тоже - ей 7 дней. Отредактировано пользователем 14 августа 2018 г. 10:00:54(UTC)
| Причина: про шапку
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.08.2018(UTC) Сообщений: 17 Откуда: Москва Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
|
Автор: two_oceans Тут соль в том, что при использовании с КриптоПро вообще нет необходимости извлекать ключ в формат pfx/pem - есть средства работать напрямую с контейнером в КриптоПро. Просто забудьте уже о pem и pfx, политика КриптоПро - работать со своим контейнером, а не экспортировать ключ в иные форматы. Хотя, соглашусь, это было бы неплохо осветить в шапке, как и про использование gostengy с 1.1.0 вместо gost_capi. В этой теме почти 400 сообщений и немалая часть как раз по этим 2 вопросам. Как интересно Вы искали по форуму - раскопали тему 6 летней давности, а мой вопрос выше на вот этой же странице об использовании параметра -keyform ENGINE не увидели. И тему об извлечении pem тоже - ей 7 дней. Искал не по форуму, искал в яндексе - пришел на ту тему старую. Искал по запросу на код ошибки EVP_PBE_CipherInit:unknown pbe algorithm:crypto\evp\evp_pbe.c:93:TYPE=1.2.840.113549.1.12.1.80 Показалось смешно что 6 лет - всё там же. На счёт идеологии теперь понятно, pem небезопасный и всё такое, и ключ хранить в открытом виде - караул и т.д. Хотя для разработки и отладки было бы удобно. Шапку что ли сложно поправить блин?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
