logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

30 Страницы«<2324252627>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#481 Оставлено : 18 декабря 2018 г. 16:44:37(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 931
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 145 раз в 124 постах
Автор: Iliyas_B Перейти к цитате
Сертификат и закрытый ключ в формате pem был получен из СМЭВ для разработки информационной системы.
Я так понимаю, что я еще должен как-то при подписании использовать закрытый ключ, но судя по постам на форуме закрытый ключ в формате pem никак не затолкать в криптопро.

Верно.

А что СМЭВ выдаёт ключи в голом виде?

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
Iliyas_B оставлено 19.12.2018(UTC)
Offline two_oceans  
#482 Оставлено : 19 декабря 2018 г. 5:08:22(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 929
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 58 раз
Поблагодарили: 204 раз в 192 постах
Я зайду дальше и скажу, что СМЭВ вообще ключи не выдает. Просто люди привыкли называть СМЭВом все что ни попадя. Что названо в этот раз

По вопросу - закрытый ключ нужно указать в параметре -inkey, а в параметре signer должен быть указан сертификат. Попробуййте также пока убрать параметр -CAFile скорее всего "ругается" на него. Если сертификат не в кодировке Base64, то его надо предварительно перевести в эту кодировку. Буквально на прошлой странице этой темы упоминалась команда перевода, но можно указать кодировку при экспорте сертификата.

Добавлю, что в случае gost_capi или gostengy ключ должен быть в контейнере КриптоПро, а не в файле. Посмотрите возможно у Вас уже есть в комплекте OpenSSL библиотека gost.dll, она скорее всего работает с обычными файлами, если же нет напишите в личку.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
Iliyas_B оставлено 19.12.2018(UTC)
Offline Iliyas_B  
#483 Оставлено : 19 декабря 2018 г. 11:06:56(UTC)
Iliyas_B

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.12.2018(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Автор: Дмитрий Пичулин Перейти к цитате
А что СМЭВ выдаёт ключи в голом виде?


Спасибо, действительно оказалось, что есть рутокен с которого и каким-то образом экспортировали ключи. Осталось разобраться как скопировать ключи на пк и попробовать подписать.

Цитата:
Добавлю, что в случае gost_capi или gostengy ключ должен быть в контейнере КриптоПро, а не в файле. Посмотрите возможно у Вас уже есть в комплекте OpenSSL библиотека gost.dll, она скорее всего работает с обычными файлами, если же нет напишите в личку.


Есть такая библиотека и с ее помощью подписывались XML файлы для СМЭВ2, но для СМЭВ3 она уже не подходит, так как там не поддерживаются новые госты.
Offline two_oceans  
#484 Оставлено : 19 декабря 2018 г. 12:04:00(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 929
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 58 раз
Поблагодарили: 204 раз в 192 постах
Автор: Iliyas_B Перейти к цитате
действительно оказалось, что есть рутокен с которого и каким-то образом экспортировали ключи. Осталось разобраться как скопировать ключи на пк и попробовать подписать.
Зависит от объемов которые нужно подписывать - если объем небольшой, то можете использовать сам токен. Имя контейнера смотрите в КриптоПро CSP, затем указываете в -inkey дописав к имени контейнера в начале
Цитата:
c:
Если имя контейнера с пробелами, то берется в кавычки.
Если объем подписания большой, то рекомендуется скопировать контейнер с токена в реестр, дальше все также как с токеном.

Автор: Iliyas_B Перейти к цитате
Есть такая библиотека и с ее помощью подписывались XML файлы для СМЭВ2, но для СМЭВ3 она уже не подходит, так как там не поддерживаются новые госты.
Тогда gost_capi в данном случае Вам не поможет, так как gost_capi тоже не поддерживает новый гост-2012. Если хотите работать с гост-2012 нужно обновить Openssl до версии 1.1.0 или 1.1.1, использовать движок gostengy и КриптоПро 4.0 или выше. И если у Вас было приложение на основе библиотек 1.0.x, то сочувствую, так как при переходе на 1.1.0 придется значительно корректировать приложение - изменились имена библиотек OpenSSL и расположение функций в библиотеках.

Опять же путаетесь - гост-2012 уже допустим в тестовом смэв 2 и гост-2001 пока еще допустим в смэв 3, поэтому то что по срокам переходы к новой версии госта и новой версии смэв совпадают не должно подменять понятия.

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Дмитрий Пичулин оставлено 19.12.2018(UTC)
Offline dmitryp  
#485 Оставлено : 18 января 2019 г. 8:58:52(UTC)
dmitryp

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2017(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Добрый день. Пытаюсь зашифровать данные в CMS с использованием ГОСТ 28147-89, но наткнулся на проблемы:

1. При попытке шифрования получаю ошибку инициализации шифра:

Цитата:
$ openssl cms -engine gostengy -encrypt -gost89 -in content -out encrypted -outform DER -recip cert.pem
engine "gostengy" set.
140100820660672:error:2E078065:CMS routines:cms_EncryptedContent_init_bio:cipher initialisation error:crypto/cms/cms_enc.c:131:
140100820660672:error:2E07F068:CMS routines:CMS_final:cms lib:crypto/cms/cms_smime.c:763:


При этом с использованием, например, -gost89-cbc шифрование проходит успешно, но, т.к. у этого шифра нет OID'а, в полученном CMS оказывается некорректный ContentEncryptionAlgorithmIdentifier.

2. При попытке дешифрования указание ключевого контейнера не работает - OpenSSL интерпретирует параметр как имя файла:

Цитата:
$ openssl cms -engine gostengy -decrypt -gost89 -in encrypted -inform DER -out decrypted -inkey c:foo
engine "gostengy" set.
Can't open c:foo for reading, No such file or directory
139714079658432:error:02001002:system library:fopen:No such file or directory:crypto/bio/bss_file.c:74:fopen('c:foo','r')
139714079658432:error:2006D080:BIO routines:BIO_new_file:no such file:crypto/bio/bss_file.c:81:
unable to load signing key file


(указание контейнера как c:foo использую по аналогии с openssl cms -sign). То есть, даже если шифровать я буду каким-то другим шифром (не ГОСТ), дешифровать передаваемый ключ я всё равно не смогу.

Подерживается ли вообще работа с шифрованием CMS в gostengy?

Окружение:
- Ubuntu 18.04.1 LTS
- CSP 4.0RC4 (билд 9964)
- cp-openssl 5.0.11216 (последний, не требующий CSP 5.0)
Offline Дмитрий Пичулин  
#486 Оставлено : 22 января 2019 г. 15:08:42(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 931
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 145 раз в 124 постах
Автор: dmitryp Перейти к цитате
Подерживается ли вообще работа с шифрованием CMS в gostengy?

Данный функционал не входит в круг задач gostengy, есть штатные утилиты с аналогичным функционалом, cryptcp -encr/-decr.

Хотелось бы услышать какие-то веские доводы, если функционал openssl cms encrypt/decrypt необходим.
Знания в базе знаний, поддержка в техподдержке
Offline dmitryp  
#487 Оставлено : 23 января 2019 г. 7:07:37(UTC)
dmitryp

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2017(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Автор: Дмитрий Пичулин Перейти к цитате
Хотелось бы услышать какие-то веские доводы, если функционал openssl cms encrypt/decrypt необходим.


Есть некоторое ПО, которое использует openssl для шифрования сообщений. Хочется использовать в нем КриптоПро CSP.
Offline Дмитрий Пичулин  
#488 Оставлено : 23 января 2019 г. 10:48:22(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 931
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 145 раз в 124 постах
Автор: dmitryp Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Хотелось бы услышать какие-то веские доводы, если функционал openssl cms encrypt/decrypt необходим.


Есть некоторое ПО, которое использует openssl для шифрования сообщений. Хочется использовать в нем КриптоПро CSP.

Как уже сказано ранее, у нас есть cryptcp, решающий подобные задачи.

Если хочется странного, обращайтесь официально, будем смотреть более внимательно.

Знания в базе знаний, поддержка в техподдержке
Offline herolover  
#489 Оставлено : 21 марта 2019 г. 20:22:17(UTC)
herolover

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.03.2019(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 3 раз
Скажите, пожалуйста, а данные gostengy.dll работает с openssl 1.1.1b? Потому что после выполнения команды:
Код:
OpenSSL> engine dynamic -pre SO_PATH:gostengy -pre DIR_ADD:. -pre LOAD
(dynamic) Dynamic engine loading support
[Success]: SO_PATH:gostengy
[Success]: DIR_ADD:.
[Success]: LOAD
Loaded: (gostengy) CryptoPro GostEngy ($Revision: 185515 $)

Список шифров не пополняется ГОСТ'овскими:
Код:
OpenSSL> ciphers
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:RSA-PSK-AES256-GCM-SHA384:DHE-PSK-AES256-GCM-SHA384:RSA-PSK-CHACHA20-POLY1305:DHE-PSK-CHACHA20-POLY1305:ECDHE-PSK-CHACHA20-POLY1305:AES256-GCM-SHA384:PSK-AES256-GCM-SHA384:PSK-CHACHA20-POLY1305:RSA-PSK-AES128-GCM-SHA256:DHE-PSK-AES128-GCM-SHA256:AES128-GCM-SHA256:PSK-AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:ECDHE-PSK-AES256-CBC-SHA384:ECDHE-PSK-AES256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:RSA-PSK-AES256-CBC-SHA384:DHE-PSK-AES256-CBC-SHA384:RSA-PSK-AES256-CBC-SHA:DHE-PSK-AES256-CBC-SHA:AES256-SHA:PSK-AES256-CBC-SHA384:PSK-AES256-CBC-SHA:ECDHE-PSK-AES128-CBC-SHA256:ECDHE-PSK-AES128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:RSA-PSK-AES128-CBC-SHA256:DHE-PSK-AES128-CBC-SHA256:RSA-PSK-AES128-CBC-SHA:DHE-PSK-AES128-CBC-SHA:AES128-SHA:PSK-AES128-CBC-SHA256:PSK-AES128-CBC-SHA
Offline Дмитрий Пичулин  
#490 Оставлено : 21 марта 2019 г. 22:32:54(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 931
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 145 раз в 124 постах
Автор: herolover Перейти к цитате
Скажите, пожалуйста, а данные gostengy.dll работает с openssl 1.1.1b? Потому что после выполнения команды:
Код:
OpenSSL> engine dynamic -pre SO_PATH:gostengy -pre DIR_ADD:. -pre LOAD
(dynamic) Dynamic engine loading support
[Success]: SO_PATH:gostengy
[Success]: DIR_ADD:.
[Success]: LOAD
Loaded: (gostengy) CryptoPro GostEngy ($Revision: 185515 $)

Список шифров не пополняется ГОСТ'овскими:
Код:
OpenSSL> ciphers
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:RSA-PSK-AES256-GCM-SHA384:DHE-PSK-AES256-GCM-SHA384:RSA-PSK-CHACHA20-POLY1305:DHE-PSK-CHACHA20-POLY1305:ECDHE-PSK-CHACHA20-POLY1305:AES256-GCM-SHA384:PSK-AES256-GCM-SHA384:PSK-CHACHA20-POLY1305:RSA-PSK-AES128-GCM-SHA256:DHE-PSK-AES128-GCM-SHA256:AES128-GCM-SHA256:PSK-AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:ECDHE-PSK-AES256-CBC-SHA384:ECDHE-PSK-AES256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:RSA-PSK-AES256-CBC-SHA384:DHE-PSK-AES256-CBC-SHA384:RSA-PSK-AES256-CBC-SHA:DHE-PSK-AES256-CBC-SHA:AES256-SHA:PSK-AES256-CBC-SHA384:PSK-AES256-CBC-SHA:ECDHE-PSK-AES128-CBC-SHA256:ECDHE-PSK-AES128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:RSA-PSK-AES128-CBC-SHA256:DHE-PSK-AES128-CBC-SHA256:RSA-PSK-AES128-CBC-SHA:DHE-PSK-AES128-CBC-SHA:AES128-SHA:PSK-AES128-CBC-SHA256:PSK-AES128-CBC-SHA

При динамической загрузке engine, воспользоваться ГОСТом не получится, так как в OpenSSL список сюит фиксируется при инициализации и больше не дополняется.

Единственный вариант, прописывать engine в конфигурацию, которая отрабатывает при инициализации OpenSSL.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
herolover оставлено 21.03.2019(UTC)
Offline herolover  
#491 Оставлено : 21 марта 2019 г. 22:49:31(UTC)
herolover

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.03.2019(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 3 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: herolover Перейти к цитате
Скажите, пожалуйста, а данные gostengy.dll работает с openssl 1.1.1b? Потому что после выполнения команды:
Код:
OpenSSL> engine dynamic -pre SO_PATH:gostengy -pre DIR_ADD:. -pre LOAD
(dynamic) Dynamic engine loading support
[Success]: SO_PATH:gostengy
[Success]: DIR_ADD:.
[Success]: LOAD
Loaded: (gostengy) CryptoPro GostEngy ($Revision: 185515 $)

Список шифров не пополняется ГОСТ'овскими:
Код:
OpenSSL> ciphers
TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:RSA-PSK-AES256-GCM-SHA384:DHE-PSK-AES256-GCM-SHA384:RSA-PSK-CHACHA20-POLY1305:DHE-PSK-CHACHA20-POLY1305:ECDHE-PSK-CHACHA20-POLY1305:AES256-GCM-SHA384:PSK-AES256-GCM-SHA384:PSK-CHACHA20-POLY1305:RSA-PSK-AES128-GCM-SHA256:DHE-PSK-AES128-GCM-SHA256:AES128-GCM-SHA256:PSK-AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:ECDHE-PSK-AES256-CBC-SHA384:ECDHE-PSK-AES256-CBC-SHA:SRP-RSA-AES-256-CBC-SHA:SRP-AES-256-CBC-SHA:RSA-PSK-AES256-CBC-SHA384:DHE-PSK-AES256-CBC-SHA384:RSA-PSK-AES256-CBC-SHA:DHE-PSK-AES256-CBC-SHA:AES256-SHA:PSK-AES256-CBC-SHA384:PSK-AES256-CBC-SHA:ECDHE-PSK-AES128-CBC-SHA256:ECDHE-PSK-AES128-CBC-SHA:SRP-RSA-AES-128-CBC-SHA:SRP-AES-128-CBC-SHA:RSA-PSK-AES128-CBC-SHA256:DHE-PSK-AES128-CBC-SHA256:RSA-PSK-AES128-CBC-SHA:DHE-PSK-AES128-CBC-SHA:AES128-SHA:PSK-AES128-CBC-SHA256:PSK-AES128-CBC-SHA

При динамической загрузке engine, воспользоваться ГОСТом не получится, так как в OpenSSL список сюит фиксируется при инициализации и больше не дополняется.

Единственный вариант, прописывать engine в конфигурацию, которая отрабатывает при инициализации OpenSSL.


Спасибо за ответ!

На самом деле, нам необходимо работать с ГОСТ'ом программно. В этом случае так же не получится используя dynamic engine загрузить gostengy?
Offline Дмитрий Пичулин  
#492 Оставлено : 21 марта 2019 г. 22:57:47(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 931
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 145 раз в 124 постах
Автор: herolover Перейти к цитате
На самом деле, нам необходимо работать с ГОСТ'ом программно. В этом случае так же не получится используя dynamic engine загрузить gostengy?

Вначале темы есть FAQ, он обязателен для ознакомления.

Ещё раз про загрузку библиотеки.

Если OpenSSL будет проинициализирован корректно = в списке сюит появится ГОСТ, то любой engine, поддерживающий ГОСТ далее можно загружать любым удобным способом.

Но так как в OpenSSL по умолчанию ГОСТа нет, единственный вариант, прописать engine с поддержкой ГОСТ в файл базовой конфигурации OpenSSL, той с которой он стартует.



Знания в базе знаний, поддержка в техподдержке
thanks 2 пользователей поблагодарили Дмитрий Пичулин за этот пост.
two_oceans оставлено 22.03.2019(UTC), herolover оставлено 25.03.2019(UTC)
Offline herolover  
#493 Оставлено : 25 марта 2019 г. 14:22:01(UTC)
herolover

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.03.2019(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 3 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: herolover Перейти к цитате
На самом деле, нам необходимо работать с ГОСТ'ом программно. В этом случае так же не получится используя dynamic engine загрузить gostengy?

Вначале темы есть FAQ, он обязателен для ознакомления.

Ещё раз про загрузку библиотеки.

Если OpenSSL будет проинициализирован корректно = в списке сюит появится ГОСТ, то любой engine, поддерживающий ГОСТ далее можно загружать любым удобным способом.

Но так как в OpenSSL по умолчанию ГОСТа нет, единственный вариант, прописать engine с поддержкой ГОСТ в файл базовой конфигурации OpenSSL, той с которой он стартует.



Спасибо. С загрузкой engine все удалось.

Сейчас встал другой вопрос, как загрузить в openssl закрытый ключ из windows хранилища. Если я правильно понимаю, то с помощью wincrypt это можно сделать только, если закрытый ключ помечен как экспортируемый. А можно ли это сделать не помечая ключ как экспортируемый? Я правильно полагаю, что нужно использовать gostengy и ENGINE_load_private_key?
Offline Дмитрий Пичулин  
#494 Оставлено : 25 марта 2019 г. 14:32:23(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 931
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 145 раз в 124 постах
Автор: herolover Перейти к цитате
Сейчас встал другой вопрос, как загрузить в openssl закрытый ключ из windows хранилища. Если я правильно понимаю, то с помощью wincrypt это можно сделать только, если закрытый ключ помечен как экспортируемый. А можно ли это сделать не помечая ключ как экспортируемый? Я правильно полагаю, что нужно использовать gostengy и ENGINE_load_private_key?

Если ваше приложение работает в системе, где в хранилище уже имеются ключи, вы уже можете спокойно их использовать в OpenSSL, в том числе через ENGINE_load_private_key, keyform в данном случае может быть: имя сертификата, идентификатор ключа, отпечаток или c:имя_контейнера.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
herolover оставлено 25.03.2019(UTC)
Offline herolover  
#495 Оставлено : 26 марта 2019 г. 10:03:43(UTC)
herolover

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.03.2019(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 3 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: herolover Перейти к цитате
Сейчас встал другой вопрос, как загрузить в openssl закрытый ключ из windows хранилища. Если я правильно понимаю, то с помощью wincrypt это можно сделать только, если закрытый ключ помечен как экспортируемый. А можно ли это сделать не помечая ключ как экспортируемый? Я правильно полагаю, что нужно использовать gostengy и ENGINE_load_private_key?

Если ваше приложение работает в системе, где в хранилище уже имеются ключи, вы уже можете спокойно их использовать в OpenSSL, в том числе через ENGINE_load_private_key, keyform в данном случае может быть: имя сертификата, идентификатор ключа, отпечаток или c:имя_контейнера.


Спасибо. Действительно, все оказалось проще чем я думал. Все работает.
Offline Евгений_ВВ  
#496 Оставлено : 27 марта 2019 г. 6:37:27(UTC)
Евгений_ВВ

Статус: Участник

Группы: Участники
Зарегистрирован: 13.02.2019(UTC)
Сообщений: 20
Российская Федерация
Откуда: NSK

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Пытаюсь настроить openssl. Исходные данные: имеется Ubuntu 18.04.2 установленный на ней Криптопро CSP 4 (v4.0.9019 KC2 Release Ver:4.0.9963 ).
Но не могу найти библиотеку gostengy. Я правильно понимаю, что она должна быть в директории /opt/cprocsp/cp-openssl/lib/amd64/engines ?
Библиотека gost_capi там есть,а gostengy не видно...
Вот список файлов в этой директории:
Код:
lib4758cca.so  libatalla.so  libchil.so    libgmp.so        libgost_capi.so    libgost_capi.so.0.0.0  libnuron.so    libsureware.so
libaep.so      libcapi.so    libcswift.so  libgost_capi.la  libgost_capi.so.0  libgost.so             libpadlock.so  libubsec.so

Подскажите где можно взять библиотеку gostengy?
Offline Евгений_ВВ  
#497 Оставлено : 4 апреля 2019 г. 7:33:07(UTC)
Евгений_ВВ

Статус: Участник

Группы: Участники
Зарегистрирован: 13.02.2019(UTC)
Сообщений: 20
Российская Федерация
Откуда: NSK

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Предыдущий вопрос был вызван недопониманием того, что в дистрибутиве CSP 4.0 gostengine отсутствует. Т.е. при установки Крипто про ставишь галочку установки библиотек для Openssl, а в результате получаешь только gost_capi...
Ну и сам отвечу на поставленный вопрос: в описаниии настройки OpenSSL+Гост на первой странице этой темы в последнем пункте есть ссылка на данную библиотеку.
Offline arty3838  
#498 Оставлено : 4 апреля 2019 г. 14:46:47(UTC)
arty3838

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.04.2019(UTC)
Сообщений: 2
Российская Федерация

Автор: Евгений_ВВ Перейти к цитате
Добрый день!
Предыдущий вопрос был вызван недопониманием того, что в дистрибутиве CSP 4.0 gostengine отсутствует. Т.е. при установки Крипто про ставишь галочку установки библиотек для Openssl, а в результате получаешь только gost_capi...
Ну и сам отвечу на поставленный вопрос: в описаниии настройки OpenSSL+Гост на первой странице этой темы в последнем пункте есть ссылка на данную библиотеку.


Добрый день.
Код:
Debian GNU/Linux 9

Установлена рекомендованная:
Код:
# openssl version
OpenSSL 1.1.0j  20 Nov 2018


Скачал по той самой ссылке данную библиотеку. Всё проинсталил. Всё прописал, как указано в openssl.cnf
Но в выводе всё равно не вижу GostEngy

Код:
#openssl engine
(dynamic) Dynamic engine loading support


Может быть я еще что-то не учел!?

PS
ещё, не понятно, почему в папке /opt/cprocsp/cp-openssl/lib/amd64/engines/
я вижу только эти модули?


GostEngy отсутствует

Отредактировано пользователем 4 апреля 2019 г. 15:10:52(UTC)  | Причина: Не указана

Offline Aleksandr G*  
#499 Оставлено : 4 апреля 2019 г. 14:59:35(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 117

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 23 раз в 22 постах
Это не забыли?

export OPENSSL_CONF=[full_path_to_config]
Offline arty3838  
#500 Оставлено : 4 апреля 2019 г. 15:54:35(UTC)
arty3838

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.04.2019(UTC)
Сообщений: 2
Российская Федерация

GostEngy в принципе отсутствует.
Я брал его отсюда. Как найти, куда он проинсталился? И проинтсталился ли вообще?
Цитата:
Как получить gostengy и gost_capi?
Выбрать наиболее свежую версию здесь: https://update.cryptopro.../support/nginx-gost/bin/


PS Отвечу тут же. GostEngy лежит в одном .deb файле, gost_capi в другом. По названию файлов, я их не отличил.

Отредактировано пользователем 5 апреля 2019 г. 10:43:30(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
30 Страницы«<2324252627>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.