Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

32 Страницы«<303132
Опции
К последнему сообщению К первому непрочитанному
Offline iOlegK  
#621 Оставлено : 9 сентября 2020 г. 9:18:12(UTC)
iOlegK

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Тверь

Сказал(а) «Спасибо»: 4 раз
Автор: Ефремов Степан Перейти к цитате
Автор: iOlegK Перейти к цитате
...
Как такое может быть? )))


Очень просто) Наши библиотеки libssl и libcrypto попадают в ldconfig (/etc/ld.so.conf). При установке нашего openssl, системный


Означает ли это, что, допустим есть какое то ПО которому необходим системный openssl, и данное ПО не заработает по той причине, что системный openssl использует "замененные" на криптопрошные библиотеки??
Offline Ефремов Степан  
#622 Оставлено : 9 сентября 2020 г. 12:17:49(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 47
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Автор: iOlegK Перейти к цитате
Автор: Ефремов Степан Перейти к цитате

Очень просто) Наши библиотеки libssl и libcrypto попадают в ldconfig (/etc/ld.so.conf). При установке нашего openssl, системный

Означает ли это, что, допустим есть какое то ПО которому необходим системный openssl, и данное ПО не заработает по той причине, что системный openssl использует "замененные" на криптопрошные библиотеки??


Такое, наверное, возможно. Отмечу, что gostengy может работать и с системным openssl, если он версии >= 1.1. Т.е. достаточно установить один пакет (из 4) с engine и настроить конфиг системного openssl.
Техническая поддержка здесь.
База знаний здесь.
Offline iOlegK  
#623 Оставлено : 9 сентября 2020 г. 15:30:12(UTC)
iOlegK

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Тверь

Сказал(а) «Спасибо»: 4 раз
Имеется ввиду пакет cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64.rpm?
И в конфиге системного openssl (openssl.cnf) указать что то типо этого?
[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = ALL

Отредактировано пользователем 9 сентября 2020 г. 15:30:45(UTC)  | Причина: Не указана

Offline Ефремов Степан  
#624 Оставлено : 9 сентября 2020 г. 15:32:58(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 47
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Автор: iOlegK Перейти к цитате
Имеется ввиду пакет cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64.rpm?
И в конфиге системного openssl (openssl.cnf) указать что то типо этого?
[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = ALL


Верно. Если пакет не будет ставиться - достаточно просто достать libgostengy.so.
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
iOlegK оставлено 09.09.2020(UTC)
Offline iOlegK  
#625 Оставлено : 17 сентября 2020 г. 10:32:34(UTC)
iOlegK

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Тверь

Сказал(а) «Спасибо»: 4 раз
Автор: Ефремов Степан Перейти к цитате
Автор: iOlegK Перейти к цитате
Имеется ввиду пакет cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64.rpm?
И в конфиге системного openssl (openssl.cnf) указать что то типо этого?
[openssl_def]
engines = engine_section

[engine_section]
gost = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = ALL


Верно. Если пакет не будет ставиться - достаточно просто достать libgostengy.so.


Извиняюсь, что приходится возвращаться к данной теме, но проделав аналогичные действия на другом сервере со SLES 12 SP4 почему то не получается сделать так, точбы при выполнении команды openssl engine в выводе было что то аналогичное (gostengy) CryptoPro GostEngy ( $Revision: 185515 $).
Были установлены 4 пакета ) cprocsp-cpopenssl-110-base-5.0.11455-5.noarch, cprocsp-cpopenssl-110-devel-5.0.11455-5.noarch, cprocsp-cpopenssl-110-64-5.0.11455-5.x86_64 и cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64. Дополнительно в стандартный конфиг /etc/ssl/openssl.cnf внес до раздела [ new_oids ] следующее:
openssl_conf=openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN
и при проверке openssl engine ошибки:
# openssl engine
Error configuring OpenSSL
140449351493264:error:260B6091:engine routines:DYNAMIC_LOAD:version incompatibility:eng_dyn.c:507:
140449351493264:error:260BC066:engine routines:INT_ENGINE_CONFIGURE:engine configuration error:eng_cnf.c:191:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
140449351493264:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:conf_mod.c:223:module=engines, value=engine_section, retcode=-1
В таком варианте все отлично, но нам надо что бы стандартная openssl работала с ГОСТ
# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 185515 $)
Подскажите плиз где и что я мог упустить? Спасибо.
Offline two_oceans  
#626 Оставлено : 17 сентября 2020 г. 11:12:40(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,120
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 75 раз
Поблагодарили: 255 раз в 239 постах
Автор: iOlegK Перейти к цитате
Подскажите плиз где и что я мог упустить? Спасибо.
gostengy требует openssl 1.1.x, возможно на сервере "стандартный" openssl версии 1.0.x, с которым библиотека gostengy несовместима. В то же время openssl от КриптоПро версии 1.1.0 и библиотека работает.

Отредактировано пользователем 17 сентября 2020 г. 11:15:07(UTC)  | Причина: Не указана

Offline iOlegK  
#627 Оставлено : 17 сентября 2020 г. 11:24:37(UTC)
iOlegK

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Тверь

Сказал(а) «Спасибо»: 4 раз
Автор: two_oceans Перейти к цитате
Автор: iOlegK Перейти к цитате
Подскажите плиз где и что я мог упустить? Спасибо.
gostengy требует openssl 1.1.x, возможно на сервере "стандартный" openssl версии 1.0.x, с которым библиотека gostengy несовместима. В то же время openssl от КриптоПро версии 1.1.0 и библиотека работает.


В том то и аномалия, что на обоих серверах одинаковая версия стандартной openssl, в общем то все пакеты одной версии:
Старый сервер# rpm -qa | grep openssl | sort
cprocsp-cpopenssl-110-64-5.0.11455-5.x86_64
cprocsp-cpopenssl-110-base-5.0.11455-5.noarch
cprocsp-cpopenssl-110-devel-5.0.11455-5.noarch
cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64
libopenssl-1_0_0-devel-1.0.2p-2.11.x86_64
libopenssl-devel-1.0.2p-1.13.noarch
libopenssl1_0_0-1.0.2p-2.11.x86_64
libopenssl1_0_0-32bit-1.0.2p-2.11.x86_64
openssl-1.0.2p-1.13.noarch
openssl-1_0_0-1.0.2p-2.11.x86_64

Новый сервер# rpm -qa | grep openssl | sort
cprocsp-cpopenssl-110-64-5.0.11455-5.x86_64
cprocsp-cpopenssl-110-base-5.0.11455-5.noarch
cprocsp-cpopenssl-110-devel-5.0.11455-5.noarch
cprocsp-cpopenssl-110-gost-64-5.0.11455-5.x86_64
libopenssl1_0_0-1.0.2p-2.11.x86_64
libopenssl1_1-1.1.1-1.9.x86_64
openssl-1.0.2p-1.13.noarch
openssl-1_0_0-1.0.2p-2.11.x86_64
Offline Ефремов Степан  
#628 Оставлено : 17 сентября 2020 г. 13:27:04(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 47
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Проверьте версии у системных openssl: openssl version

Если версия 1.0, то работать gostengy с ним не могла, не может и не должна.
Техническая поддержка здесь.
База знаний здесь.
Offline iOlegK  
#629 Оставлено : 17 сентября 2020 г. 17:14:58(UTC)
iOlegK

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Тверь

Сказал(а) «Спасибо»: 4 раз
Автор: Ефремов Степан Перейти к цитате
Проверьте версии у системных openssl: openssl version

Если версия 1.0, то работать gostengy с ним не могла, не может и не должна.


Все верно говорите!) Мой коллега выполнил ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /usr/bin/openssl и просто ничего не сказал =) Хорошо, что перед этим исходный /usr/bin/openssl сохранил Brick wall
Offline Norguhtar  
#630 Оставлено : 17 ноября 2020 г. 15:42:01(UTC)
Norguhtar

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.11.2020(UTC)
Сообщений: 2
Российская Федерация

Подскажите могу ли я из engine достать не только key пользователя, но и его сертификат? Если да то какие параметры надо передавать? А то хотелось бы указывать только контейнер а не экспортировать сертификат отдельно в файл.
Offline pd  
#631 Оставлено : 17 ноября 2020 г. 15:47:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,050
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 168 раз в 146 постах
Автор: Norguhtar Перейти к цитате
Подскажите могу ли я из engine достать не только key пользователя, но и его сертификат? Если да то какие параметры надо передавать? А то хотелось бы указывать только контейнер а не экспортировать сертификат отдельно в файл.

Мы используем встроенные директивы, свои не придумываем.

Отредактировано пользователем 17 ноября 2020 г. 15:48:50(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Norguhtar  
#632 Оставлено : 17 ноября 2020 г. 15:56:38(UTC)
Norguhtar

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.11.2020(UTC)
Сообщений: 2
Российская Федерация

Да я уже посмотрел и нашел ответ

https://mta.openssl.org/...rs/2015-July/001830.html


Function

int ENGINE_load_certificate(ENGINE *e, const char *key id,
UI_METHOD *ui_method, void *callback_data)

is clearly missing from API.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
32 Страницы«<303132
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.