Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Чем отличается TLS реализация JTLS+JCP и IE+CSP 3.6?
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline miser  
#1 Оставлено : 31 марта 2011 г. 20:26:07(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 152
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
Имеется очень интересный сайт - http://zakupki.gov.ru
с громким названием "Официальный сайт Российской Федерации для размещения информации о размещении заказов".

При входе в личный кабинет мы переходим в защищенный режим работы.
В свойствах сертификата сайта:
Основные органичения:
Тип субъекта=ЦС
Ограничение на длину пути=5
Использование ключа:
Цифровая подпись, Неотрекаемость, Подписывание сертификатов (c4)

Ну, перестарались организаторы сайта - сертификат ЦС дали для шифрования данных.
Правильно это или нет, я не знаю.
Однако, у меня вопрос:

Internet Explorer устанавливает HTTPS соединение и работает замечательно.
Связка JCP+JTLS работать не хочет - выдает ошибку
Код:

java.io.IOException: Public key in certificate is not exchange key
        at ru.CryptoPro.ssl.a.a.c
        at ru.CryptoPro.ssl.a.a.b
        at ru.CryptoPro.ssl.a.a
        at ru.CryptoPro.ssl.a.a
        at ru.CryptoPro.ssl.K.a
        at ru.CryptoPro.ssl.s.a
        at ru.CryptoPro.ssl.s.i
        at ru.CryptoPro.ssl.s.a
        at ru.CryptoPro.ssl.Y.write


Вот и вопрос - в чем разница?

Да, в личных хранилищах сертификатов нет (в MY и в JCP ControlPanel пусто).
В доверенном хранилище (в JCP ControlPanel) сертификат сайта есть.
TLS рукопожатие сертификат сайта находит.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Iva  
#2 Оставлено : 1 апреля 2011 г. 12:04:41(UTC)
Iva

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.10.2008(UTC)
Сообщений: 181
Для SSL нужен ключ обмена, AT_EXCHANGE в терминологии Microsoft. В свойствах сертификата нет использований ключа "Шифрование ключей" и "Шифрование данных", только "Цифровая подпись". Шифровать на таком ключе неправильно. На это JCP и ругается, а CSP такую проверку не делает.
В новой версии JCP проверку убрали, скачайте 1.0.48.
Вверх
Offline miser  
#3 Оставлено : 1 апреля 2011 г. 19:43:43(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 152
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
Вы думаете, что нибудь изменилось в 1.0.48? Нет. Поменялся только тип сообщения.
Код:

javax.net.ssl.SSLException: java.lang.IllegalArgumentException
        at ru.CryptoPro.ssl.K.a(Unknown Source)[cpSSL.jar:1.0.2271]
        at ru.CryptoPro.ssl.t.a(Unknown Source)[cpSSL.jar:1.0.2271]
        at ru.CryptoPro.ssl.t.a(Unknown Source)[cpSSL.jar:1.0.2271]
        at ru.CryptoPro.ssl.t.a(Unknown Source)[cpSSL.jar:1.0.2271]
        at ru.CryptoPro.ssl.aa.write(Unknown Source)[cpSSL.jar:1.0.2271]
Вверх
Offline miser  
#4 Оставлено : 13 апреля 2011 г. 21:24:54(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 152
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
Уже и следующая версия появилась - 1.0.49. Ошибка так и осталась

Код:

FINE: main, SEND TLSv1 ALERT:  fatal, description = INTERNAL_ERROR
javax.net.ssl.SSLException: java.lang.IllegalArgumentException
        at ru.CryptoPro.ssl.K.a(Unknown Source)
        at ru.CryptoPro.ssl.t.a(Unknown Source)
        at ru.CryptoPro.ssl.t.a(Unknown Source)
        at ru.CryptoPro.ssl.t.a(Unknown Source)
        at ru.CryptoPro.ssl.aa.write(Unknown Source)

Caused by: java.lang.IllegalArgumentException
        at ru.CryptoPro.JCP.params.i.a(Unknown Source)
        at ru.CryptoPro.JCP.params.AlgIdSpec.(init)(Unknown Source)
        at ru.CryptoPro.Crypto.Key.GostEphKeyPairGenerator.initialize(Unknown Source)
        at ru.CryptoPro.ssl.a.a.b(Unknown Source)
        at ru.CryptoPro.ssl.a.a(Unknown Source)
        at ru.CryptoPro.ssl.a.a(Unknown Source)
        at ru.CryptoPro.ssl.L.a(Unknown Source)
        at ru.CryptoPro.ssl.t.a(Unknown Source)
        at ru.CryptoPro.ssl.t.i(Unknown Source)


Говорили, что проверку убрали. На самом деле, она переехала в другую библиотеку.
Класс ru.CryptoPro.Crypto.Key.GostEphKeyPairGenerator.
По названию, этот класс должен создать ключ шифрования.
Лезет в сертификат сервера за OID-ом (соответствующий атрибуту AT_EXCHANGE)
Код:

OID 1.2.643.2.2.31.0
OID 1.2.643.2.2.31.1
OID 1.2.643.2.2.31.2
OID 1.2.643.2.2.31.3
OID 1.2.643.2.2.31.4
OID 1.2.643.2.2.31.5
OID 1.2.643.2.2.31.6
OID 1.2.643.2.2.31.7

и не находит.

На сайте используется сертификат
Код:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: ...
        Signature Algorithm: GOST R 34.11-94 with GOST R 34.10-2001
        Issuer: ...
        Validity
            Not Before: ...
            Not After : ...
        Subject: ...
        Subject Public Key Info:
            Public Key Algorithm: GOST R 34.10-2001
                Public key:
                   X: ...
                   Y: ...
                Parameter set: id-GostR3410-2001-CryptoPro-A-ParamSet
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Certificate Sign
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Basic Constraints: critical
                CA:TRUE, pathlen:5
    Signature Algorithm: GOST R 34.11-94 with GOST R 34.10-2001
       ...


В разделе расширений указано, что сертификат используется для подписания.
В расширенном подразделе указано, что сертификат используется для
TLS авторизации Web сервера.

При совершении TLS рукопожатия между сервером и клиентом,
сервер передает клиенту ключ шифрования.
Алгоритм шифрования берется из параметров сертификата сервера.
В данном сертификате алгоритм отсутсвует.

КриптоПро CSP, наверное, умеет брать алгоритм шифрования
заданный по умолчанию.
КриптоПро JCP выкидывает ошибку при отсутсвии алгоритма шифрования
в сертификате.

Мое предположение о параметре шифрования по умолчанию для CSP подтверждаю.
Под WinXP стоит CSP 3.0. Указываем алгоритм шифрования

szOID_Gost28147_89_CryptoPro_Oscar_1_0_ParamSet "1.2.643.2.2.31.6" /* ГОСТ 28147-89, параметры Оскар 1.0 */

Загружаем сайт в IE и пытаемся войти в личный кабинет.
Как и ожидал, получаю ошибку коммуникации.

Возвращаю алгоритм шифрования назад

szOID_Gost28147_89_CryptoPro_A_ParamSet "1.2.643.2.2.31.1" /* ГОСТ 28147-89, параметры по умолчанию */

Страница с запросом регистрации открывается.

Отредактировано пользователем 14 апреля 2011 г. 18:46:39(UTC)  | Причина: Не указана
Вверх
Offline Iva  
#5 Оставлено : 19 апреля 2011 г. 15:12:53(UTC)
Iva

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.10.2008(UTC)
Сообщений: 181
В сертификате сервера
Цитата:
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Certificate Sign

не установлен бит KEY_AGREEMENT, значит использовать этот сертификат для выработки ключа согласования нельзя, а следовательно нельзя использовать в TLS.
Не считаю это ошибкой JCP.
Вверх
Offline miser  
#6 Оставлено : 19 апреля 2011 г. 21:45:06(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 152
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
Iva написал:
В сертификате сервера
Цитата:
X509v3 Key Usage: critical
Digital Signature, Non Repudiation, Certificate Sign

не установлен бит KEY_AGREEMENT, значит использовать этот сертификат для выработки ключа согласования нельзя, а следовательно нельзя использовать в TLS.
Не считаю это ошибкой JCP.


Тогда надо говорить о том, что это ошибка в КриптоПро CSP.
Как-то не вяжется - два сертифицированных программных продукта, а ведут себя по разному.

Исследуя просторы рунета по криптографии, нашел интересную статью http://www.cryptocom.ru/opensource/
Цитата:

Поведение CryptoPRO CSP в серверном варианте, когда он получив ClientHello с версией 3.0 (SSL 3.0) отвечает ServerHello с версией 3.1 (TLS 1.0) является грубым нарушением стандарта TLS 1.0 и нашим патчем не поддерживается.


Дело в том, что не далее как сегодня обнаружил, что сайт, указанный в первом посте, любит грешить этой проблемой. На запрос клиента в формате SSL 3.0 он иногда отдает заголовок в SSL 3.0,а иногда в TLS 1.0.

Так же, заметил, что сервер постоянно меняет алгоритмы шифрования в Server Hello:
Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
Cipher Suite: TLS_DH_RSA_WITH_AES_128_CBC_SHA (0x0031).

Это как-то странно выглядит. Не правда ли?
Вверх
Offline Максим Коллегин  
#7 Оставлено : 19 апреля 2011 г. 22:06:52(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,379
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 33 раз
Поблагодарили: 707 раз в 615 постах
Это не ошибка, а вариант использования; в интерфейса SSPI серверный сертификат должен проверяться приложением.
Попробуйте выяснить, на каком ПО работает тот сайт. Явно не наше. Похожая проблема была с http://www.etp-micex.ru ; админы используемое ПО скрывают. Но похоже на ngnix c openssl.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline miser  
#8 Оставлено : 19 апреля 2011 г. 22:22:44(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 152
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
Мне так кажется, что на стороне сервера работаю два разных сервера.
Я не зря привел статью от конкурентов. Он как раз и заявляют, что в реализации OpenSSL нет поддержки отклика TLS 1.0 на запрос SSLv3.

Далее, по использованию Cipher Suite: TLS_DH_RSA_WITH_AES_128_CBC_SHA (0x0031).
Я обнаружил, что в OpenSSL данный алгоритм шифрования отключен еще в версиях 0.9.8.
В реализации КриптоПро данный алгоритм присутствует.

Цитата:
Это не ошибка, а вариант использования; в интерфейса SSPI серверный сертификат должен проверяться приложением.

Тогда Internet Explorer - это не приложение, а аксиома не требующая доказательств.
Так не годится. Я тоже не хочу проверять собственным приложением сертификат, а JCP это делает без моего ведома.
Вверх
Offline Максим Коллегин  
#9 Оставлено : 19 апреля 2011 г. 22:36:25(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,379
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 33 раз
Поблагодарили: 707 раз в 615 постах
Потерял нить разговора. Предлагаю Вам оплатить техническую поддержку и общаться по существу через нашу службу поддержки.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline miser  
#10 Оставлено : 20 апреля 2011 г. 3:14:54(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 152
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
Я хочу внести ясность по протоколам рукопожатия.
Было озвучено предположение, что на серверной стороне используется
неизвестный крипто провайдер.
И вполне возможно, что это делается на реализации OpenSSL.

Открываем описание поддерживаемых алгоритмов
http://www.openssl.org/docs/apps/ciphers.html
Раздел AES ciphersuites from RFC3268, extending TLS v1.0
Код:

TLS_DH_RSA_WITH_AES_128_CBC_SHA         Not implemented.


Я знаю только, что данный алгоритм реализован в КриптоПро CSP.
Но это не означает, что у меня есть притензии к вашим продуктам.
Вполне возможно, что это еще один неизвестный мне крипто провайдер.

Опишу ситуацию, чтобы знать проблему.

Запрос клиента по стандарту SSLv3:
Код:

Secure Socket Layer
    SSLv3 Record Layer: Handshake Protocol: Client Hello
        Content Type: Handshake (22)
        Version: SSL 3.0 (0x0300)
        Length: 186
        Handshake Protocol: Client Hello
            Handshake Type: Client Hello (1)
            Length: 182
            Version: SSL 3.0 (0x0300)
            Random
            Session ID Length: 0
            Cipher Suites Length: 142
            Cipher Suites (71 suites)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)
                Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
                Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)
                Cipher Suite: TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0088)
                Cipher Suite: TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA (0x0087)
                Cipher Suite: Unknown (0x0081)
                Cipher Suite: Unknown (0x0080)
                Cipher Suite: TLS_ECDH_anon_WITH_AES_256_CBC_SHA (0xc019)
                Cipher Suite: TLS_DH_anon_WITH_AES_256_CBC_SHA (0x003a)
                Cipher Suite: TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA (0x0089)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA (0xc00f)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA (0xc005)
                Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
                Cipher Suite: TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0084)
                Cipher Suite: TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc008)
                Cipher Suite: TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x0016)
                Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)
                Cipher Suite: TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA (0xc017)
                Cipher Suite: TLS_DH_anon_WITH_3DES_EDE_CBC_SHA (0x001b)
                Cipher Suite: TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA (0xc00d)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc003)
                Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)
                Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)
                Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)
                Cipher Suite: TLS_DHE_RSA_WITH_SEED_CBC_SHA (0x009a)
                Cipher Suite: TLS_DHE_DSS_WITH_SEED_CBC_SHA (0x0099)
                Cipher Suite: TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0045)
                Cipher Suite: TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA (0x0044)
                Cipher Suite: TLS_ECDH_anon_WITH_AES_128_CBC_SHA (0xc018)
                Cipher Suite: TLS_DH_anon_WITH_AES_128_CBC_SHA (0x0034)
                Cipher Suite: TLS_DH_anon_WITH_SEED_CBC_SHA (0x009b)
                Cipher Suite: TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA (0x0046)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA (0xc00e)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA (0xc004)
                Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
                Cipher Suite: TLS_RSA_WITH_SEED_CBC_SHA (0x0096)
                Cipher Suite: TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0041)
                Cipher Suite: TLS_RSA_WITH_IDEA_CBC_SHA (0x0007)
                Cipher Suite: TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_RC4_128_SHA (0xc007)
                Cipher Suite: TLS_ECDH_anon_WITH_RC4_128_SHA (0xc016)
                Cipher Suite: TLS_DH_anon_WITH_RC4_128_MD5 (0x0018)
                Cipher Suite: TLS_ECDH_RSA_WITH_RC4_128_SHA (0xc00c)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_RC4_128_SHA (0xc002)
                Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)
                Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
                Cipher Suite: TLS_DHE_RSA_WITH_DES_CBC_SHA (0x0015)
                Cipher Suite: TLS_DHE_DSS_WITH_DES_CBC_SHA (0x0012)
                Cipher Suite: TLS_DH_anon_WITH_DES_CBC_SHA (0x001a)
                Cipher Suite: TLS_RSA_WITH_DES_CBC_SHA (0x0009)
                Cipher Suite: TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA (0x0014)
                Cipher Suite: TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA (0x0011)
                Cipher Suite: TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA (0x0019)
                Cipher Suite: TLS_RSA_EXPORT_WITH_DES40_CBC_SHA (0x0008)
                Cipher Suite: TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 (0x0006)
                Cipher Suite: TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 (0x0017)
                Cipher Suite: TLS_RSA_EXPORT_WITH_RC4_40_MD5 (0x0003)
                Cipher Suite: TLS_ECDHE_RSA_WITH_NULL_SHA (0xc010)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_NULL_SHA (0xc006)
                Cipher Suite: Unknown (0x0083)
                Cipher Suite: Unknown (0x0082)
                Cipher Suite: TLS_ECDH_anon_WITH_NULL_SHA (0xc015)
                Cipher Suite: TLS_ECDH_RSA_WITH_NULL_SHA (0xc00b)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_NULL_SHA (0xc001)
                Cipher Suite: TLS_RSA_WITH_NULL_SHA (0x0002)
                Cipher Suite: TLS_RSA_WITH_NULL_MD5 (0x0001)
                Cipher Suite: Unknown (0x00ff)
            Compression Methods Length: 2
            Compression Methods (2 methods)


Первый ответ сервера:
Код:
    
Secure Socket Layer
    SSLv3 Record Layer: Handshake Protocol: Server Hello
        Content Type: Handshake (22)
        Version: SSL 3.0 (0x0300)
        Length: 42
        Handshake Protocol: Server Hello
            Handshake Type: Server Hello (2)
            Length: 38
            Version: SSL 3.0 (0x0300)
            Random
            Session ID Length: 0
            Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
            Compression Method: null (0)


Второй ответ:
Код:

Secure Socket Layer
    SSLv3 Record Layer: Alert (Level: Warning, Description: Insufficient Security)
        Content Type: Alert (21)
        Version: SSL 3.0 (0x0300)
        Length: 2
        Alert Message
    SSLv3 Record Layer: Handshake Protocol: Server Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 42
        Handshake Protocol: Server Hello
            Handshake Type: Server Hello (2)
            Length: 38
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 0
            Cipher Suite: TLS_DH_RSA_WITH_AES_128_CBC_SHA (0x0031)
            Compression Method: null (0)
    SSLv3 Record Layer: Handshake Protocol: Certificate
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 423
        Handshake Protocol: Certificate
            Handshake Type: Certificate (11)
            Length: 419
            Certificates Length: 416
            Certificates (416 bytes)
    SSLv3 Record Layer: Handshake Protocol: Server Hello Done
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 4
        Handshake Protocol: Server Hello Done
            Handshake Type: Server Hello Done (14)
            Length: 0


Ответ второго сервера неправильный.
Клиент указал список возможных алгоритмов шифрования.
Мало того, что сервер ответил в TLS 1.0, он еще и указал
алгоритм шифрования, который отсутствует у клиента.



Теперь расмотрим запрос клиента по стандарту TLSv1:
Код:

Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Client Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 256
        Handshake Protocol: Client Hello
            Handshake Type: Client Hello (1)
            Length: 252
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 0
            Cipher Suites Length: 142
            Cipher Suites (71 suites)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)
                Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
                Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)
                Cipher Suite: TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0088)
                Cipher Suite: TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA (0x0087)
                Cipher Suite: Unknown (0x0081)
                Cipher Suite: Unknown (0x0080)
                Cipher Suite: TLS_ECDH_anon_WITH_AES_256_CBC_SHA (0xc019)
                Cipher Suite: TLS_DH_anon_WITH_AES_256_CBC_SHA (0x003a)
                Cipher Suite: TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA (0x0089)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_256_CBC_SHA (0xc00f)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA (0xc005)
                Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
                Cipher Suite: TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x0084)
                Cipher Suite: TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc008)
                Cipher Suite: TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x0016)
                Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)
                Cipher Suite: TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA (0xc017)
                Cipher Suite: TLS_DH_anon_WITH_3DES_EDE_CBC_SHA (0x001b)
                Cipher Suite: TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA (0xc00d)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA (0xc003)
                Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
                Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)
                Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)
                Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)
                Cipher Suite: TLS_DHE_RSA_WITH_SEED_CBC_SHA (0x009a)
                Cipher Suite: TLS_DHE_DSS_WITH_SEED_CBC_SHA (0x0099)
                Cipher Suite: TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0045)
                Cipher Suite: TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA (0x0044)
                Cipher Suite: TLS_ECDH_anon_WITH_AES_128_CBC_SHA (0xc018)
                Cipher Suite: TLS_DH_anon_WITH_AES_128_CBC_SHA (0x0034)
                Cipher Suite: TLS_DH_anon_WITH_SEED_CBC_SHA (0x009b)
                Cipher Suite: TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA (0x0046)
                Cipher Suite: TLS_ECDH_RSA_WITH_AES_128_CBC_SHA (0xc00e)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA (0xc004)
                Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
                Cipher Suite: TLS_RSA_WITH_SEED_CBC_SHA (0x0096)
                Cipher Suite: TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x0041)
                Cipher Suite: TLS_RSA_WITH_IDEA_CBC_SHA (0x0007)
                Cipher Suite: TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_RC4_128_SHA (0xc007)
                Cipher Suite: TLS_ECDH_anon_WITH_RC4_128_SHA (0xc016)
                Cipher Suite: TLS_DH_anon_WITH_RC4_128_MD5 (0x0018)
                Cipher Suite: TLS_ECDH_RSA_WITH_RC4_128_SHA (0xc00c)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_RC4_128_SHA (0xc002)
                Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)
                Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
                Cipher Suite: TLS_DHE_RSA_WITH_DES_CBC_SHA (0x0015)
                Cipher Suite: TLS_DHE_DSS_WITH_DES_CBC_SHA (0x0012)
                Cipher Suite: TLS_DH_anon_WITH_DES_CBC_SHA (0x001a)
                Cipher Suite: TLS_RSA_WITH_DES_CBC_SHA (0x0009)
                Cipher Suite: TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA (0x0014)
                Cipher Suite: TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA (0x0011)
                Cipher Suite: TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA (0x0019)
                Cipher Suite: TLS_RSA_EXPORT_WITH_DES40_CBC_SHA (0x0008)
                Cipher Suite: TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 (0x0006)
                Cipher Suite: TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 (0x0017)
                Cipher Suite: TLS_RSA_EXPORT_WITH_RC4_40_MD5 (0x0003)
                Cipher Suite: TLS_ECDHE_RSA_WITH_NULL_SHA (0xc010)
                Cipher Suite: TLS_ECDHE_ECDSA_WITH_NULL_SHA (0xc006)
                Cipher Suite: Unknown (0x0083)
                Cipher Suite: Unknown (0x0082)
                Cipher Suite: TLS_ECDH_anon_WITH_NULL_SHA (0xc015)
                Cipher Suite: TLS_ECDH_RSA_WITH_NULL_SHA (0xc00b)
                Cipher Suite: TLS_ECDH_ECDSA_WITH_NULL_SHA (0xc001)
                Cipher Suite: TLS_RSA_WITH_NULL_SHA (0x0002)
                Cipher Suite: TLS_RSA_WITH_NULL_MD5 (0x0001)
                Cipher Suite: Unknown (0x00ff)
            Compression Methods Length: 2
            Compression Methods (2 methods)
            Extensions Length: 68
            Extension: ec_point_formats
                Type: ec_point_formats (0x000b)
                Length: 4
                Data (4 bytes)
            Extension: elliptic_curves
                Type: elliptic_curves (0x000a)
                Length: 52
                Data (52 bytes)
            Extension: SessionTicket TLS
                Type: SessionTicket TLS (0x0023)
                Length: 0
                Data (0 bytes)


Первый ответ сервера:
Код:

Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Server Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 42
        Handshake Protocol: Server Hello
            Handshake Type: Server Hello (2)
            Length: 38
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 0
            Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
            Compression Method: null (0)


Второй ответ сервера:
Код:

Secure Socket Layer
    TLSv1 Record Layer: Handshake Protocol: Server Hello
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 42
        Handshake Protocol: Server Hello
            Handshake Type: Server Hello (2)
            Length: 38
            Version: TLS 1.0 (0x0301)
            Random
            Session ID Length: 0
            Cipher Suite: TLS_DH_RSA_WITH_AES_128_CBC_SHA (0x0031)
            Compression Method: null (0)
    TLSv1 Record Layer: Handshake Protocol: Certificate
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 423
        Handshake Protocol: Certificate
            Handshake Type: Certificate (11)
            Length: 419
            Certificates Length: 416
            Certificates (416 bytes)
    TLSv1 Record Layer: Handshake Protocol: Server Hello Done
        Content Type: Handshake (22)
        Version: TLS 1.0 (0x0301)
        Length: 4
        Handshake Protocol: Server Hello Done
            Handshake Type: Server Hello Done (14)
            Length: 0


Как видим, в клиентском запросе идет список алгоритмов и указание,
что алгоритмы должны быть основаны на элиптических кривых.
В первом ответе сервер отдает один из алгоритмов, указанных клиентом.
Во втором ответе присутствует алгоритм неизвестный клиенту.
И мало того, этот алгоритм не основан на элиптических кривых.


Теперь я постараюсь объяснить свою проблему.
Как было сказано, один из алгоритмов не реализуется средствами OpenSSL.
Да и сама OpenSSL не сертифицинована и не может использоваться в
государственных органах.
Хочется использовать вашу крипто систему JCP в связке с JTLS для обмена данными
с этим сайтом.
Вы мне предлагаете сначала заплатить за полную лицензию и получить платную поддержку.
А мне надо решить - подходит ли ваша система для конкретной задачи.
Для этого вы и предоставляете 30 дневную лицензию. Ведь так?

Для работы с сайтом нужна реализация усовершенствованных подписей.
Меня реализация этой подписи в КриптоПро CSP вполне устраивает.
Так зачем мне искать другого крипто провайдера?

Я понимаю, что JTLS идет для эксплуатации на стороне сервера.
Но и на сервере могут стоять службы, которые обращаются к внешнему серверу
в качестве клиента.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET