Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline partyzan  
#1 Оставлено : 20 декабря 2015 г. 22:39:51(UTC)
partyzan

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.12.2015(UTC)
Сообщений: 2
Российская Федерация

Здравствуйте уважаемые!
Есть задача общаться с сервером с помощью SAOP. Алгоритмы шифрования реализованы на ГОСТ.
С помощью великого гугла, и не менее великого яндекса, были найдены вроде-бы рабочие решения (еще не проверял).
Но проблема возникла в соединении с самим сервером. Он использует SSL с ГОСТовскими криптоалгоритмами.
И вроде бы тоже есть решение (например тут), но мне надо не хранить сертификат на сервере, а получать его у клиента.
Т.е, схема думаю будет вроде такой: делаю запрос к серверу по ssl, он требует клиентский сертификат, я требую этот сертификат у пользователя и перенаправляю его серверу.
Реальна такая схема? кто нибудь реализовывал что-то подобное?
Могу рассмотреть недорогие коммерческие реализации для Linux
Offline Максим Коллегин  
#2 Оставлено : 21 декабря 2015 г. 9:23:24(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Реализовать атаку Mаn-in-the-middle? Нужен как минимум собственный серверный сертификат, которому бы доверял клиент.
Знания в базе знаний, поддержка в техподдержке
Online Андрей Писарев  
#3 Оставлено : 21 декабря 2015 г. 9:31:04(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,628
Мужчина
Российская Федерация

Сказал «Спасибо»: 493 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: partyzan Перейти к цитате
Здравствуйте уважаемые!
Есть задача общаться с сервером с помощью SAOP. Алгоритмы шифрования реализованы на ГОСТ.
С помощью великого гугла, и не менее великого яндекса, были найдены вроде-бы рабочие решения (еще не проверял).
Но проблема возникла в соединении с самим сервером. Он использует SSL с ГОСТовскими криптоалгоритмами.
И вроде бы тоже есть решение (например тут), но мне надо не хранить сертификат на сервере, а получать его у клиента.
Т.е, схема думаю будет вроде такой: делаю запрос к серверу по ssl, он требует клиентский сертификат, я требую этот сертификат у пользователя и перенаправляю его серверу.
Реальна такая схема? кто нибудь реализовывал что-то подобное?
Могу рассмотреть недорогие коммерческие реализации для Linux


>я требую этот сертификат

Это другой сервер или приложение, в котором работает пользователь (аналог: браузер и двусторонняя аутентификация - по сертификатам)?
Техническую поддержку оказываем тут
Наша база знаний
Offline partyzan  
#4 Оставлено : 21 декабря 2015 г. 19:59:09(UTC)
partyzan

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.12.2015(UTC)
Сообщений: 2
Российская Федерация

Ну получается что сервер с двусторонней аутентификацией. Т.е что бы открыть "канал связи" SSL, мы должны показать серверу нужный сертификат. На браузере да и десктопным приложением все получается хорошо. Однако встала задача чтобы общался сервер на linux, с другим сервером с двусторонней аутентификацией.
Я если честно прям не очень хорошо в криптографических алгоритмах разбираюсь, но хотелось сделать что-то вроде прокси.
Немного другими словами, как я себе это представляю:
1. Обращаемся к серверу по SSL, он говорит вот тебе мой сертификат, покажи свой.
2. Я говорю- "мне все равно на твой сертификат, я тебе доверяю и так." (ну или даже проверку можно сделать)
3. Так как у меня нет собственного "пользовательского" сертификата, то я выдаю запрос клиенту через веб приложение - "покажи свой сертификат"
4. Получаю сертификат и показываю его другому серверу и он пускает на защищенный канал.

Пункты 3-4 по идее можно было бы сделать, если подписывать какие-то данные.
Например удаленный сервер говорит подпиши мне такие-то данные. Я прошу у пользователя - подпиши мне такие данные. Пользователь подписывает и я отправляю удаленному серверу. Или как-то отправлять открытый ключ от пользователя.
Я к сожалению плохо знаю внутренности двусторонней аутентификации, в плане кто кому какие байты шлет и что на них надо ответить.

Так же в плане серверного сертификата, я хотел нагенерировать серификаты openssll. А в дальнейшем можно купить и полноценный ssl сертификат

P.S. Получается задача похожа на Man-in-the-middle, но только в хороших целях.

Отредактировано пользователем 21 декабря 2015 г. 20:04:42(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#5 Оставлено : 20 января 2016 г. 11:08:26(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Думаю, Вам хватит для указанной задачи нашего доработанного stunnel. Входит в дистрибутив Linux CSP.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.