Всех приветствую.

В нашей системе, ГИС, TrustedTLS используется совместно с КриптоПро CSP для реализации TLS с ГОСТ алгоритмами. Сейчас рассматриваем варианты замены TrustedTLS. В связи с этим возникли вопросы:
1. Каков официальный статус КриптоПро CSP для nginx и Apache как продукта: есть ли официальные релизы, поддержка?
2. Трубуется ли проходить процедуру оценки влияния на СКЗИ или даже тематические исследования при использовании КриптоПро CSP для nginx и Apache в ГИС?

Помогите пожалуйста.

С уважением,
Димитр

Добрый день!

На текущий момент статус таков, что использование КриптоПро CSP в nginx и Apache требует проведения тематических исследований с учетом специфики конкретной системы.

Здравствуйте.

Позволю себе поднять тему. Прошу сотрудников КриптоПРО или других знающих людей прокомментировать.

1. Модуль gost_capi не имеет никакого заключения/сертификата от ФСБ и распространяется без исходных кодов - соответственно его применение там, где требуются сертифицированные ФСБ средства невозможно в принципе (невозможно, так как нет заключения/сертификата и невозможно исследования провести и получить такое заключение/сертификат так как нет исходников в свободном доступе). Так?

Никакой возможности использования СКЗИ КриптоПРО CSP 4.0 (последняя сертифицированная версия) с сервером nginx (c gost_capi или без такового) "из коробки" в Правилах пользования на СКЗИ тоже нет.

2. КриптоПРО CSP 4.0 не позволяет реализовать TLS в рамках встраивания, т. е. с использованием только функций, перечисленных в Правилах Пользования на СКЗИ в "Приложение 2. Перечень вызовов..."), так как функции интерфейса SSPI в этот перечень не входят. Получается, единственный легальный с точки зрения ФСБ вариант использования КриптоПРО CSP 4.0 для установления TLS-соединения - разработать новое СКЗИ (использующее КриптоПРО CSP 4.0) и провести его тематические исследования. Так?

1. Можно использовать IIS - я так понимаю, просто как часть операционной системы? Думаю, действительно можно, это не будет противоречить требованиям документации. А IIS просто с установленным на машине КриптоПРО CSP 4.0 корректно реализует TLS по ГОСТ? Это проверено? Попробую.

2. NGate - вещь хорошая, но опять-таки, нет сертификата/заключения на сам NGate.

3. > Если есть запрос на nginx + гост в сертифицированном виде, можно конечный продукт поисследовать и доказать корректность встраивания, новое СКЗИ разрабатывать не нужно.

Как это сделать, если (как я уже писал выше):
а. нет исходников для gost_capi для openSSL.
б. по моему мнению, функций, разрешенных при встраивании явно недостаточно для реализации TLS. Ну, например, банально CryptEncrypt не разрешена при встраивании - только CryptEncryptMessage (см. Приложение 2 в Правилах пользования). А если использовать функции сверх разрешенных - это уже разработка нового СКЗИ.

В рамках КриптоПро CSP 5.0 R2 возможно использование nginx с нашим патчем и Apache с пакетом cprocsp-apache-modssl на Linux без проведения дополнительных тематических исследований:
https://www.cryptopro.ru/products/csp/tls
https://www.cryptopro.ru...sp/tls/gost-nginx-apache
https://support.cryptopr...-c-podderzhkojj-gost-tls
Решение на связке openssl+gostengy/gost_capi является устаревшим и несертифицированным.