Статус: Новичок
Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 9
Откуда: Москва
Сказал(а) «Спасибо»: 3 раз
|
Автор: Дмитрий Пичулин  Автор: Андрей Степанов SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking У нас запрещен вариант работы по, так называемым, "статическим" ключам Диффи-Хеллмана. Если вы не используете данный вариант, то расскажите как нам воспроизвести вашу проблему. Добрый день! Алгоритм Диффи-Хеллмана не используем. Появилось решение, а точнее способ обойти проблему. При попытке выяснить что может вызывать сбой, обнаружил виновника в виде logrotate который каждый раз делал systemctl reload nginx при переполнении логов. После выполнения этой команды у всех клиентов возникают проблемы с хендшейком. ЭТо подтвердилось, если в ручном режиме сделать reload (не restart) ключи также отваливаются. С нашей стороны пришлось отказаться от logrotate, но надеюсь в следующих версиях nginx-gost вы сможете найти проблему и пофиксить.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Андрей Степанов Добрый день! Алгоритм Диффи-Хеллмана не используем.
Появилось решение, а точнее способ обойти проблему. При попытке выяснить что может вызывать сбой, обнаружил виновника в виде logrotate который каждый раз делал systemctl reload nginx при переполнении логов. После выполнения этой команды у всех клиентов возникают проблемы с хендшейком. ЭТо подтвердилось, если в ручном режиме сделать reload (не restart) ключи также отваливаются.
С нашей стороны пришлось отказаться от logrotate, но надеюсь в следующих версиях nginx-gost вы сможете найти проблему и пофиксить.
Да, reload известная проблема: https://www.cryptopro.ru...&m=102256#post102256 |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.05.2019(UTC) Сообщений: 2  Откуда: Санкт-Петербург
|
Помогайте, пожалуйста. Не могу заставить работать openssl с ГОСТ 2012 по инструкциям. Полностью, что делал: Ubuntu 16.04 1. Установил openssl 1.1.1b из рекомендованного форка https://github.com/deemr...penssl-1.1.1b-gost-0.24:Код:./config
make
sudo make install
2. Установил КриптоПро CSP 4.0 R4: Код:sudo apt install lsb lsb-core alien
wget https://cryptopro.ru/sites/default/files/private/csp/40/9963/linux-amd64_deb.tgz
tar xf linux-amd64_deb.tgz && cd linux-amd64_deb
sudo ./install.sh
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb
3. Скачал https://update.cryptopro...5515/win64/gostengy.dll,положил в /usr/local/ssl/gostengy.dll 4. Добавил в /usr/local/ssl/openssl.cnf: Код:# в начале файла, но после строки oid_section = new_oids
openssl_conf = openssl_def
# в конце файла
[openssl_def]
engines = engine_section
[engine_section]
gostengy = gost_section
[gost_section]
engine_id = gostengy
dynamic_path = /usr/local/ssl/gostengy.dll
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
5. Запускаю для проверки и получаю ошибку: Код:$ openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
139903910340352:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:119:filename(/usr/local/ssl/gostengy.dll): /usr/local/ssl/gostengy.dll: invalid ELF header
139903910340352:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162:
139903910340352:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
139903910340352:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/usr/local/ssl/gostengy.dll
139903910340352:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:177:module=engines, value=engine_section, retcode=-1
Что я делаю не так? Отредактировано пользователем 16 мая 2019 г. 20:24:27(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,193 Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 274 раз в 254 постах
|
Автор: i.nikolenko Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.
Добрый день! предлагаю пойти по простому пути. скачайте последнюю версию CSP 5.0 https://www.cryptopro.ru...loads#latest_csp50_linuxвыполните стандартную установку ./install.sh далее вам необходимо установить пакеты cprocsp-cpopenssl-110-* в openssl.cnf укажите dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so вместо dynamic_path = /usr/local/ssl/gostengy.dll |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.05.2019(UTC) Сообщений: 2 Откуда: Санкт-Петербург
|
Автор: Санчир Момолдаев У нас куплена серверная лицензия CSP 4.0 - в конечном счёте нужно, чтобы заработало с ней.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,193 Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 274 раз в 254 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.05.2019(UTC) Сообщений: 2 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Как из подписи полученной след. командой Цитата:openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:test2018 -in "doc.txt" -binary -out "doc.sign" -outform pem -signer ./publicKey.pem Получить само значение подписи.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: vlados123 Как из подписи полученной след. командой Цитата:openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:test2018 -in "doc.txt" -binary -out "doc.sign" -outform pem -signer ./publicKey.pem Получить само значение подписи. Здесь решаем вопросы связанные с работой ГОСТ. А "получить само значение подписи" заслуживает отдельной темы. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.10.2013(UTC)
Сообщений: 1
|
Добрый день! при попытке сгенерить ключ получаю ошибку:
openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out seckey.pem
Error initializing gost2001 context
139933680112064:error:06093096:digital envelope routines:EVP_PKEY_keygen_init:operation not supported for this keytype:crypto/evp/pmeth_gn.c:73:
Пробовал на Centos 7 и Ubuntu 18.04.2. Устанавливал csp 5 и 4 с пакетами openssl-110. Менял алгоритмы на gost2012_512 и gost2012_256
Подскажите где может быть проблема
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Добрый день! Пожалуйста внимательно прочитайте ответы на часто задаваемые вопросы во втором сообщении темы. Ошибка наверно в том, что прочитали старые инструкции для расширения gost криптокома и пытаетесь генерировать ключ через openssl. Расширения gostengy и gost_capi от КриптоПро, не поддерживают команду openssl genpkey (кажется вот в этой же теме было). А даже если сгенерите ключ в pem файл, то не сможете его использовать с расширениями gostengy и gost_capi. Поэтому правильно будет сгенерировать ключ в КриптоПро (создается ключ в контейнере КриптоПро, не в pem файле), а уже потом контейнер можно использовать из openssl через расширения gostengy и gost_capi. Обратите внимание, что конвертировать ключ из контейнера криптопро в pem при этом не нужно. В тоже время, если используете расширения других компаний, то там с большой вероятностью подход не изменился и надо генерировать pem файл в openssl. Отредактировано пользователем 3 июня 2019 г. 4:53:09(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
