Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ShmakovAA  
#1 Оставлено : 7 декабря 2020 г. 15:32:22(UTC)
ShmakovAA

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.12.2020(UTC)
Сообщений: 2

При попытке установить сертификат для аутентификации клиента в логах JTLS отображается сообщение "DH bit restricted for the key"
и использовать его не получается
Цитата:

дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_42 f
FINE: *** ServerHelloDone
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Certificate request received...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Search for client containers with GOST algorithms...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Search for client containers with any GOST algorithm...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% getting aliases for Client
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% checking alias: te-7f914598-6209-4a95-a150-984f30ed1fba
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% check public key algorithm ignored.
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% check extended key usage of Client, size: 3...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% check credential issuers...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: matching alias: te-7f914598-6209-4a95-a150-984f30ed1fba
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Check private key: te-7f914598-6209-4a95-a150-984f30ed1fba
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Certificate chain te-7f914598-6209-4a95-a150-984f30ed1fba found. Check if DH available...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: DH bit restricted for the key: te-7f914598-6209-4a95-a150-984f30ed1fba
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: No appropriate cert was found.
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_42 f
FINE: *** Certificate message
***

дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Generate ephemeral key pair.


В самом сертификате никаких ограничений для DH не прописано

Цитата:
ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:false
PathLen: undefined
]

ObjectId: 2.5.29.32 Criticality=false
CertificatePolicies [
[CertificatePolicyId: [1.2.643.100.113.1]
[] ]
]

ObjectId: 2.5.29.37 Criticality=false
ExtendedKeyUsages [
clientAuth
emailProtection
1.2.643.4.15.1.1.1.1
]

ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
DigitalSignature
Non_repudiation
Key_Encipherment
Data_Encipherment
Key_Agreement
]

Algorithm: [1.2.643.7.1.1.3.2]
Signature:
0000: 21 34 4E 51 4E D3 DB 47 51 E5 0D 48 A0 77 D8 6E !4NQN..GQ..H.w.n
0010: 3A B5 FE 4E CF 67 2B 45 85 ED 6B 4C 23 28 B5 B0 :..N.g+E..kL#(..
0020: 82 4C 90 03 2D E6 E5 7F 38 BB A9 47 96 36 F2 71 .L..-...8..G.6.q
0030: 73 F5 E4 D7 9E 67 5D 8C 3E B8 CD F5 8F 42 15 D3 s....g].>....B..


Помогите понять, почему JTLS не хочет использовать ключ для создания соединения, на сервере настроена проверка подлинности сертификатов
и при использовании эфемеральной пары аутентификация не проходит
Offline Евгений Афанасьев  
#2 Оставлено : 7 декабря 2020 г. 16:54:19(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Здравствуйте.
В ключевом контейнере (не сертификате) может быть бит ключа подписи (ГОСТ 2012), запрещающий использовать его для определенных операций вроде выработки ключа согласования. Этот бит мог быть выставлен при создании ключа.
Offline ==fff==  
#3 Оставлено : 15 ноября 2022 г. 18:45:05(UTC)
==fff==

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.09.2022(UTC)
Сообщений: 35
Туркменистан

Сказал(а) «Спасибо»: 2 раз
Автор: ShmakovAA Перейти к цитате
При попытке установить сертификат для аутентификации клиента в логах JTLS отображается сообщение "DH bit restricted for the key"
и использовать его не получается


Здравствуйте. Такая же проблема. Возможно помните, как удалось решить?
Или где можно посмотреть, установлен ли бит для моего контейнера.
Offline Евгений Афанасьев  
#4 Оставлено : 16 ноября 2022 г. 22:11:54(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Здравствуйте.
Ответил тут https://www.cryptopro.ru...&m=136882#post136882
Автор: Евгений Афанасьев Перейти к цитате
Судя по логам, проблема в том, что для TLS используется ключ подписи на алгоритме ГОСТ 2012, он отбраковывается модулем cpSSL. Требуется ключ обмена. В будущих релизах добавим возможность использовать ключ подписи.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.