Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

33 Страницы«<1617181920>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#341 Оставлено : 8 февраля 2018 г. 16:02:25(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: kychanov_sa Перейти к цитате
Цитата:
Если хочется старых версий -- используйте ssl_protocols TLSv1;

попробовал так
openssl s_client -connect myhost.ru:443 -tls1
тоже самое, ошибка 10054

Логов нет, ошибок криптографии не видно.

Возможно не связанная с gost_capi проблема: https://stackoverflow.co...to-connect-to-our-server
Знания в базе знаний, поддержка в техподдержке
Offline kychanov_sa  
#342 Оставлено : 8 февраля 2018 г. 16:24:58(UTC)
kychanov_sa

Статус: Участник

Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ

Может есть какой-то публичный сайт с ГОСТ TLS1, на котором можно было бы проверить настройку openssl?
Offline basid  
#343 Оставлено : 8 февраля 2018 г. 16:50:21(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 845

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 110 раз в 99 постах
Offline kychanov_sa  
#344 Оставлено : 8 февраля 2018 г. 17:55:53(UTC)
kychanov_sa

Статус: Участник

Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ

Цитата:
Устроит?

Да, спасибо.

Сейчас через wireshark посмотрел, что происходит при доступе к серверу с машины, на которой установлен КриптоПРО 3.6, и с машины с 4.0 версией.
Запрос делал через тот же openssl с ограничением протокола до tls1
Сначала нормальная машина с КриптоПРО 4.0
Цитата:

2319 48.474086 192.168.21.94 192.168.21.114 TLSv1 255 Client Hello
2325 48.475727 192.168.21.114 192.168.21.94 TLSv1 398 Server Hello, Certificate, Server Hello Done
2328 48.552350 192.168.21.94 192.168.21.114 TLSv1 274 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
2329 48.554436 192.168.21.114 192.168.21.94 TLSv1 85 Change Cipher Spec, Encrypted Handshake Message

тут 94-й это клиент, 114-сервер. На этом машине всё работает.
Теперь машина "курильщика" с КриптоПРО 3.9:
Цитата:

48 2.358338 192.168.21.48 192.168.21.114 TLSv1 255 Client Hello
49 2.359805 192.168.21.114 192.168.21.48 TCP 1514 443 → 50674 [ACK] Seq=1 Ack=202 Win=65536 Len=1460 [TCP segment of a reassembled PDU]
55 2.360034 192.168.21.114 192.168.21.48 TLSv1 398 Server Hello, Certificate, Server Hello Done
63 2.434772 192.168.21.48 192.168.21.114 TLSv1 266 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message

тут 48-клиент, 114-й сервер. Судя по трейсу, сервер не отвечает на последний запрос клиента и просто рвёт соединение.
Каким-то образом проблема решается, если установить КриптоПРО 4.0.
Что ещё можно посмотреть, чтобы хотя бы понять направление поиска источника проблемы?
Offline Дмитрий Пичулин  
#345 Оставлено : 8 февраля 2018 г. 17:59:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: kychanov_sa Перейти к цитате
тут 48-клиент, 114-й сервер. Судя по трейсу, сервер не отвечает на последний запрос клиента и просто рвёт соединение.
...
Что ещё можно посмотреть, чтобы хотя бы понять направление поиска источника проблемы?

Посмотреть логи сервера.

Знания в базе знаний, поддержка в техподдержке
Offline kychanov_sa  
#346 Оставлено : 9 февраля 2018 г. 9:24:30(UTC)
kychanov_sa

Статус: Участник

Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ

Цитата:
Посмотреть логи сервера.

В событиях системы при выполнении запроса с машины с КриптоПРО 3.6 появляется ошибка:
Цитата:
КриптоПро TLS. Ошибка 0x80090019 при импорте открытого ключа: Набор ключей не определен.

Если такой же запрос отправлять с машины с КриптоПРО 4.0 ошибки нет.
Offline Дмитрий Пичулин  
#347 Оставлено : 9 февраля 2018 г. 12:31:46(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: kychanov_sa Перейти к цитате
Цитата:
Посмотреть логи сервера.

В событиях системы при выполнении запроса с машины с КриптоПРО 3.6 появляется ошибка:
Цитата:
КриптоПро TLS. Ошибка 0x80090019 при импорте открытого ключа: Набор ключей не определен.

Если такой же запрос отправлять с машины с КриптоПРО 4.0 ошибки нет.

Не может openssl печатать такую ошибку.

Пока не опишите подробно по шагам, что вы делаете -- ответов не ждите.

Знания в базе знаний, поддержка в техподдержке
Offline kychanov_sa  
#348 Оставлено : 9 февраля 2018 г. 13:01:43(UTC)
kychanov_sa

Статус: Участник

Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ

Цитата:
Не может openssl печатать такую ошибку.

Это не openssl. Это ошибка, фиксируемая в событиях системы на сервере.
Цитата:
Пока не опишите подробно по шагам, что вы делаете -- ответов не ждите.

0. Есть сервер с криптопро 3.6 или 4.0 (на сервере без разницы) с сайтом, на котором TLS через ГОСТ настроен
1. Через openssl с машины с криптопро 3.6 делаем запрос на сервер: openssl s_client -connect myhost.ru:443 -tls1
2. через wireshark на клиенте видим такой диалог:
- клиент: Client Hello
- сервер: Server Hello, Certificate, Server Hello Done
- клиент: Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
- сервер: закрываю соединение с ошибкой 10054
3. При этом на стороне сервера в событиях системы появляется запись: КриптоПро TLS. Ошибка 0x80090019 при импорте открытого ключа: Набор ключей не определен.

Если те же самые действия с тем же сервером производить с клиентской машины, на которой установлен криптопро 4.0, то всё работает.
Если зайти на сайт из браузера IE с машины с криптопро 3.6, то сайт тоже нормально открывается.
Offline Дмитрий Пичулин  
#349 Оставлено : 9 февраля 2018 г. 16:26:02(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: kychanov_sa Перейти к цитате
Если зайти на сайт из браузера IE с машины с криптопро 3.6, то сайт тоже нормально открывается.

Спасибо, теперь всё понятно.

Посмотрели в коде, никаких специфик для 3.6 нет, ошибка требует изучения на стенде, есть подозрения на несовпадение параметров групп кривых.

Но проблеме ставим won`t fix, так как 1) на смену gost_capi пришёл gostengy 2) поддерживать gost_capi для 3.6 никто не планировал 3) альтернативные решения работают.
Знания в базе знаний, поддержка в техподдержке
Offline kychanov_sa  
#350 Оставлено : 9 февраля 2018 г. 16:46:52(UTC)
kychanov_sa

Статус: Участник

Группы: Участники
Зарегистрирован: 27.06.2017(UTC)
Сообщений: 17
Откуда: РФ

Цитата:
Но проблеме ставим won`t fix, так как 1) на смену gost_capi пришёл gostengy 2) поддерживать gost_capi для 3.6 никто не планировал 3) альтернативные решения работают.

Скачал gostengy.dll, переконфигурировал openssl, теперь ругается на отсутствие libcrypto-1_1.dll :)
Библиотека входит в состав КриптоПРО CSP 3.9 (временно обновились с 3.6)?
Offline Дмитрий Пичулин  
#351 Оставлено : 9 февраля 2018 г. 17:08:23(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: kychanov_sa Перейти к цитате
Цитата:
Но проблеме ставим won`t fix, так как 1) на смену gost_capi пришёл gostengy 2) поддерживать gost_capi для 3.6 никто не планировал 3) альтернативные решения работают.

Скачал gostengy.dll, переконфигурировал openssl, теперь ругается на отсутствие libcrypto-1_1.dll :)
Библиотека входит в состав КриптоПРО CSP 3.9 (временно обновились с 3.6)?

gostengy это поддержка ГОСТ 2012, соответственно требуется openssl >= 1.1.0 и КриптоПро CSP >= 4.0.

Знания в базе знаний, поддержка в техподдержке
Offline egr87  
#352 Оставлено : 21 февраля 2018 г. 14:30:08(UTC)
egr87

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2018(UTC)
Сообщений: 1
Российская Федерация

Добрый день. Подскажите, openssl1.1 , чтобы собрать openssl-1.1.0-gost с поддержкой 2012 ГОСТ , с каким параметром нужно запустить config ./config shared zlib enable-rfc3779 ? Какая библиотека должна присутствовать для 2012 ГОСТа?
Offline AlexGreen1987  
#353 Оставлено : 12 марта 2018 г. 18:27:12(UTC)
AlexGreen1987

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.03.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Новосибирск

Здравствуйте!
Бегло пробежался по форуму, не нашел ответа на свой вопрос, возможно просто не заметил. Если что сориентируйте плиз)
Нужно реализовать взаимодействие сервер - сервер про протоколу TLS с шифрованием по ГОСТ. Если я правильно понял, в этой ветке обсуждается взаимодействие клиент - сервер (запросы прилетают на прокси коим является nginx и далее обрабатываются).
Можно ли использовать библиотеку gost_capi для шифрования исходящего во вне трафика (запросы во вне идут через прокси сервер)?
Если кто то делал что то подобное, поделитесь плиз опытом.
Offline Дмитрий Пичулин  
#354 Оставлено : 12 марта 2018 г. 19:03:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: AlexGreen1987 Перейти к цитате
Здравствуйте!
Бегло пробежался по форуму, не нашел ответа на свой вопрос, возможно просто не заметил. Если что сориентируйте плиз)
Нужно реализовать взаимодействие сервер - сервер про протоколу TLS с шифрованием по ГОСТ. Если я правильно понял, в этой ветке обсуждается взаимодействие клиент - сервер (запросы прилетают на прокси коим является nginx и далее обрабатываются).
Можно ли использовать библиотеку gost_capi для шифрования исходящего во вне трафика (запросы во вне идут через прокси сервер)?
Если кто то делал что то подобное, поделитесь плиз опытом.

Принципиально, в TLS -- это клиент-серверная модель, поэтому какой-то из серверов будет клиентом.

Нельзя шифровать только исходящий трафик, TLS это двусторонний защищённый канал.

Наши engine для openssl реализуют отечественную криптографию, применять можно много для чего, но для начала неплохо бы иметь рабочий макет без них.

С ngx_http_proxy_module уже попробовали разобраться?
Знания в базе знаний, поддержка в техподдержке
Offline AlexGreen1987  
#355 Оставлено : 12 марта 2018 г. 19:49:04(UTC)
AlexGreen1987

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.03.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Новосибирск

Автор: pd Перейти к цитате
Автор: AlexGreen1987 Перейти к цитате
Здравствуйте!
Бегло пробежался по форуму, не нашел ответа на свой вопрос, возможно просто не заметил. Если что сориентируйте плиз)
Нужно реализовать взаимодействие сервер - сервер про протоколу TLS с шифрованием по ГОСТ. Если я правильно понял, в этой ветке обсуждается взаимодействие клиент - сервер (запросы прилетают на прокси коим является nginx и далее обрабатываются).
Можно ли использовать библиотеку gost_capi для шифрования исходящего во вне трафика (запросы во вне идут через прокси сервер)?
Если кто то делал что то подобное, поделитесь плиз опытом.

Принципиально, в TLS -- это клиент-серверная модель, поэтому какой-то из серверов будет клиентом.

Нельзя шифровать только исходящий трафик, TLS это двусторонний защищённый канал.

Наши engine для openssl реализуют отечественную криптографию, применять можно много для чего, но для начала неплохо бы иметь рабочий макет без них.

С ngx_http_proxy_module уже попробовали разобраться?


Да, извините, не корректно написал. Обмен с нашим партнером предполагает двусторонний обмен по протоколу TLS с использованием ГОСТ шифрования.
ngx_http_proxy_module пока не смотрел, завтра с утра постараюсь изучить.
Но если коротко, то правильно ли я понимаю что мы можем проксировать запрос во вне (нашему партнеру) с помощью модуля nginx и шифровать данные гост. алгоритмами при помощи библиотеки КпритоПро?
Offline Дмитрий Пичулин  
#356 Оставлено : 13 марта 2018 г. 10:56:54(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: AlexGreen1987 Перейти к цитате
<...> Но если коротко <...> можем проксировать запрос <...> с помощью модуля nginx и шифровать данные <...> при помощи библиотеки КпритоПро?

Да.
Знания в базе знаний, поддержка в техподдержке
Offline AlexGreen1987  
#357 Оставлено : 13 марта 2018 г. 13:07:08(UTC)
AlexGreen1987

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.03.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Новосибирск

Автор: pd Перейти к цитате
Автор: AlexGreen1987 Перейти к цитате
<...> Но если коротко <...> можем проксировать запрос <...> с помощью модуля nginx и шифровать данные <...> при помощи библиотеки КпритоПро?

Да.


Спасибо
Почитал по настройке модуля ngx_http_proxy_module, по основным директивам вроде все понятно, а вот по работе с OpenSSL есть вопросы:
как настроить шифрование по ГОСТ в этом модуле? Для этого нужно использовать директиву - proxy_ssl_ciphers шифры (если да, то какой именно)?
Я так понимаю модуль обращается к библиотеке OpenSSL, а та в свою очередь использует engine - gost_capi для шифрования.
Offline Дмитрий Пичулин  
#358 Оставлено : 13 марта 2018 г. 13:13:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: AlexGreen1987 Перейти к цитате
как настроить шифрование по ГОСТ в этом модуле?

В этой теме достаточно информации, смысл всех директив давно разобран, просто в случае прокси присутствует префикс "proxy_", ищите по форуму без префикса.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#359 Оставлено : 17 апреля 2018 г. 19:34:40(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Обновили nginx: https://github.com/deemr...ses/tag/nginx-gost-12.15

UPDATE:

Был баг в оригинальном openssl-1.1.0h, не позволявший работать ГОСТ: https://github.com/opens...77ff7425598802b91924652d

Сейчас всё исправлено.

Отредактировано пользователем 18 апреля 2018 г. 13:59:18(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#360 Оставлено : 19 апреля 2018 г. 13:14:10(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Обновили gost_capi и gostengy: https://update.cryptopro...t/nginx-gost/bin/173647/

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
33 Страницы«<1617181920>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.