Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
использование клиент-банка, поддерживающего сертификаты CryptoPro SSL, в Linux
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline akamaus  
#1 Оставлено : 5 апреля 2010 г. 17:56:08(UTC)
akamaus

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.04.2010(UTC)
Сообщений: 3
Откуда: Рязань
Добрый день,

Новый клиент-банк, входящий в состав системы InterBank от R-Style Softlab , внедренной в Пробизнес банке, поддерживает использование сертификатов CryptoPro SSL для аутентификации и шифрования трафика. На вопрос о возможности использования клиент-банка из-под Linux техническая поддержка филиала банка не может сказать что-либо определенного. В то же время, представители R-Style Softlab отвечают: "клиентская часть комплекса InterBank RS может работать на платформах, альтернативных Win, и браузерах, отличных от MS IE. Для работы на ОС, отличных от Windows, Вам необходимо использовать соответствующие системы СКЗИ."

Отсюда вопрос, нужно ли устанавливать CryptoPro на линукс-клиент и как его в таком случае состыковать с Firefox? Или же можно обойтись стандартными средставами (на ум приходит OpenSSL)?

Благодарю за внимание,
Дмитрий

Отредактировано пользователем 5 апреля 2010 г. 17:57:25(UTC)  | Причина: Не указана
Вверх
Offline gvi  
#2 Оставлено : 5 апреля 2010 г. 19:40:29(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk
OpenSSL работать не будет. CryptoPro + Firefox можете скачать демо версии выпустить сертификат с нашего тестового УЦ убедится что работает(Клиент банк-клиента броузер ориентированный?)
Вверх
Offline gvi  
#3 Оставлено : 5 апреля 2010 г. 20:11:02(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk
Вопрос передали R-Style Softlab по использованию нашего продукта в ближайшее время отпишу.
Вверх
Offline akamaus  
#4 Оставлено : 6 апреля 2010 г. 2:34:48(UTC)
akamaus

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.04.2010(UTC)
Сообщений: 3
Откуда: Рязань
gvi написал:
OpenSSL работать не будет.

а в чем дело, можете чуть поподробней объяснить? Я встречал некоторые материалы, где авторы описывали связку cryptopro и openssl, например, здесь

gvi написал:
CryptoPro + Firefox можете скачать демо версии выпустить сертификат с нашего тестового УЦ убедится что работает(Клиент банк-клиента броузер ориентированный?)

да, клиент-банк оформлен в виде веб-приложения, демо версия с виду нормально работала в FF.
Вверх
Offline gvi  
#5 Оставлено : 6 апреля 2010 г. 13:29:43(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk
http://cryptopro.ru/cryp...re.ru.linux-i686.tar.bz2 Скачайте установите! поддерживает TLS та ссылка чтоВЫ прислали если внимательно прочесть сайт разработчика все равно требуется доработка приложений.
Вверх
Offline Eugene74ru  
#6 Оставлено : 7 апреля 2010 г. 15:37:36(UTC)
Eugene74ru

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.01.2008(UTC)
Сообщений: 89
Мужчина
gvi написал:
поддерживает TLS та ссылка чтоВЫ прислали если внимательно прочесть сайт разработчика все равно требуется доработка приложений.

Я думаю, добавить одну строчку в код не составит труда, а с учетом того что версию openssl 1.0 зарелизили не придется накатывать патчи для встраивания поддрежки GOST в openssl.
Вверх
Offline akamaus  
#7 Оставлено : 7 апреля 2010 г. 16:54:11(UTC)
akamaus

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.04.2010(UTC)
Сообщений: 3
Откуда: Рязань
Eugene74ru написал:
Я думаю, добавить одну строчку в код не составит труда, а с учетом того что версию openssl 1.0 зарелизили не придется накатывать патчи для встраивания поддрежки GOST в openssl.


я априори придерживаюсь схожего мнения, но, к сожалению, плохо представляю схему взаимодействия компонентов системы. Поэтому, собственно, и задал вопрос. Очень хочется нативный клиент-банк под линукс.
Вверх
Offline miser  
#8 Оставлено : 9 сентября 2011 г. 19:14:34(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 153
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
Дерну старую тему.
На самом деле, почему OpenSSL 1.0.0 не дружит с сайтами ГОСТ криптографии для TLS.
Начнем пожалуй с самого начала TLS1.0 - RFC-2246 http://tools.ietf.org/html/rfc2246

Раздел 7.4.1.2. Client hello
Цитата:
The CipherSuite list, passed from the client to the server in the
client hello message, contains the combinations of cryptographic
algorithms supported by the client in order of the client's
preference (favorite choice first). Each CipherSuite defines a key
exchange algorithm, a bulk encryption algorithm (including secret key
length) and a MAC algorithm. The server will select a cipher suite
or, if no acceptable choices are presented, return a handshake
failure alert and close the connection.

OpenSSL передает список CipherSuite. Но сервер работает не по TLS1.0 RFC-2246, ни по TLS1.1 RFC-4346, ни по TLS1.2 RFC-5246.
Вместо того чтобы выполнить последние две строки из выдержки, отправляет свой собственный "Server hello".
В своем рукопожатии "Server hello" сервер указывает свой собственный алгоритм обмена:
Cipher Suite: TLS_DH_RSA_WITH_AES_128_CBC_SHA (0x0031)

Кстати, если не полениться, в центре управления CSP можно подобрать алгоритм по умолчанию, который будет нормально работать с OpenSSL
Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)
Не понятно, почему реализация TLS сервера останавливает свой выбор исключительно на алгоритме "по умолчанию".

Если заглянуть в раздел RFC-2246 A.5. The CipherSuite, мы там не обнаружим названия Cipher Suite, которое отдает нам сервер.
Данный Cipher Suite появился только в RFC-4346 A.5. The CipherSuite. А это уже TLS 1.1, а не заявленный разработчиком TLS 1.0
http://www.cryptopro.ru/products/csp/tls

Если придерживаться факта, что сервер общается с использованием протокола TLS 1.1 или TLS 1.2, тогда лучше ознакомится с разделом

TLS1.2 RFC-5246 F.1.1.3. Diffie-Hellman Key Exchange with Authentication
Цитата:
If the same DH keypair is to be used for multiple handshakes, either
because the client or server has a certificate containing a fixed DH
keypair or because the server is reusing DH keys, care must be taken
to prevent small subgroup attacks. Implementations SHOULD follow the
guidelines found in SUBGROUP.

Small subgroup attacks are most easily avoided by using one of the
DHE cipher suites and generating a fresh DH private key (X) for each
handshake. If a suitable base (such as 2) is chosen, g^X mod p can
be computed very quickly; therefore, the performance cost is
minimized. Additionally, using a fresh key for each handshake
provides Perfect Forward Secrecy. Implementations SHOULD generate a
new X for each handshake when using DHE cipher suites.

Тут явно дается рекомендация использовать DHE вместо обычного DH. Это повышает надежность системы и нет надобности в анализе сертификата сервера на предмет наличия DH параметров.

Что касается OpenSSL. В версии 1.0.0 есть реализация только TLS 1.0. В версии 1.0.1 уже есть поддержка протоколов TLS 1.1 и TLS 1.2.

Отредактировано пользователем 9 сентября 2011 г. 19:27:27(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET