Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline dimitr  
#1 Оставлено : 1 декабря 2016 г. 17:59:19(UTC)
dimitr

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.11.2016(UTC)
Сообщений: 3
Российская Федерация

Всех приветствую.

В нашей системе, ГИС, TrustedTLS используется совместно с КриптоПро CSP для реализации TLS с ГОСТ алгоритмами. Сейчас рассматриваем варианты замены TrustedTLS. В связи с этим возникли вопросы:
1. Каков официальный статус КриптоПро CSP для nginx и Apache как продукта: есть ли официальные релизы, поддержка?
2. Трубуется ли проходить процедуру оценки влияния на СКЗИ или даже тематические исследования при использовании КриптоПро CSP для nginx и Apache в ГИС?

Помогите пожалуйста.

С уважением,
Димитр
Offline Дмитрий Пичулин  
#2 Оставлено : 2 декабря 2016 г. 11:48:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: dimitr Перейти к цитате
1. Каков официальный статус КриптоПро CSP для nginx и Apache как продукта: есть ли официальные релизы, поддержка?

КриптоПро CSP — боевой сертифицированный продукт. Поддержка КриптоПро CSP в nginx и Apache осуществляется через криптографический модуль gost_capi, который бесплатен, релизится и поддерживается в рамках форума: https://www.cryptopro.ru...ts&m=55563#post55563

Платная поддержка может быть оказана в рамках сертификата поддержки CSP на сервере.

Автор: dimitr Перейти к цитате
2. Трубуется ли проходить процедуру оценки влияния на СКЗИ или даже тематические исследования при использовании КриптоПро CSP для nginx и Apache в ГИС?

Сейчас наши специалисты по этим вопросам подключатся к ответу.
Знания в базе знаний, поддержка в техподдержке
Offline Станислав Смышляев  
#3 Оставлено : 2 декабря 2016 г. 14:39:01(UTC)
Станислав Смышляев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 186
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
Добрый день!

На текущий момент статус таков, что использование КриптоПро CSP в nginx и Apache требует проведения тематических исследований с учетом специфики конкретной системы.
С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline dimitr  
#4 Оставлено : 2 декабря 2016 г. 16:19:08(UTC)
dimitr

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.11.2016(UTC)
Сообщений: 3
Российская Федерация

Спасибо за разъяснения.

С уважением,
Димитр.
Offline spacistor  
#5 Оставлено : 25 мая 2018 г. 12:26:25(UTC)
spacistor

Статус: Участник

Группы: Участники
Зарегистрирован: 26.02.2014(UTC)
Сообщений: 12
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
Здравствуйте.

Позволю себе поднять тему. Прошу сотрудников КриптоПРО или других знающих людей прокомментировать.

1. Модуль gost_capi не имеет никакого заключения/сертификата от ФСБ и распространяется без исходных кодов - соответственно его применение там, где требуются сертифицированные ФСБ средства невозможно в принципе (невозможно, так как нет заключения/сертификата и невозможно исследования провести и получить такое заключение/сертификат так как нет исходников в свободном доступе). Так?

Никакой возможности использования СКЗИ КриптоПРО CSP 4.0 (последняя сертифицированная версия) с сервером nginx (c gost_capi или без такового) "из коробки" в Правилах пользования на СКЗИ тоже нет.

2. КриптоПРО CSP 4.0 не позволяет реализовать TLS в рамках встраивания, т. е. с использованием только функций, перечисленных в Правилах Пользования на СКЗИ в "Приложение 2. Перечень вызовов..."), так как функции интерфейса SSPI в этот перечень не входят. Получается, единственный легальный с точки зрения ФСБ вариант использования КриптоПРО CSP 4.0 для установления TLS-соединения - разработать новое СКЗИ (использующее КриптоПРО CSP 4.0) и провести его тематические исследования. Так?
Offline Дмитрий Пичулин  
#6 Оставлено : 25 мая 2018 г. 12:34:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: spacistor Перейти к цитате
Здравствуйте.

Позволю себе поднять тему. Прошу сотрудников КриптоПРО или других знающих людей прокомментировать.

1. Модуль gost_capi не имеет никакого заключения/сертификата от ФСБ и распространяется без исходных кодов - соответственно его применение там, где требуются сертифицированные ФСБ средства невозможно в принципе (невозможно, так как нет заключения/сертификата и невозможно исследования провести и получить такое заключение/сертификат так как нет исходников в свободном доступе). Так?

Никакой возможности использования СКЗИ КриптоПРО CSP 4.0 (последняя сертифицированная версия) с сервером nginx (c gost_capi или без такового) "из коробки" в Правилах пользования на СКЗИ тоже нет.

2. КриптоПРО CSP 4.0 не позволяет реализовать TLS в рамках встраивания, т. е. с использованием только функций, перечисленных в Правилах Пользования на СКЗИ в "Приложение 2. Перечень вызовов..."), так как функции интерфейса SSPI в этот перечень не входят. Получается, единственный легальный с точки зрения ФСБ вариант использования КриптоПРО CSP 4.0 для установления TLS-соединения - разработать новое СКЗИ (использующее КриптоПРО CSP 4.0) и провести его тематические исследования. Так?

Можно использовать IIS.

Можно использовать NGate: https://www.cryptopro.ru/products/ngate

Если есть запрос на nginx + гост в сертифицированном виде, можно конечный продукт поисследовать и доказать корректность встраивания, новое СКЗИ разрабатывать не нужно.

В общем виде задача не решается.
Знания в базе знаний, поддержка в техподдержке
Offline spacistor  
#7 Оставлено : 25 мая 2018 г. 12:57:21(UTC)
spacistor

Статус: Участник

Группы: Участники
Зарегистрирован: 26.02.2014(UTC)
Сообщений: 12
Откуда: Moscow

Сказал(а) «Спасибо»: 2 раз
1. Можно использовать IIS - я так понимаю, просто как часть операционной системы? Думаю, действительно можно, это не будет противоречить требованиям документации. А IIS просто с установленным на машине КриптоПРО CSP 4.0 корректно реализует TLS по ГОСТ? Это проверено? Попробую.

2. NGate - вещь хорошая, но опять-таки, нет сертификата/заключения на сам NGate.

3. > Если есть запрос на nginx + гост в сертифицированном виде, можно конечный продукт поисследовать и доказать корректность встраивания, новое СКЗИ разрабатывать не нужно.

Как это сделать, если (как я уже писал выше):
а. нет исходников для gost_capi для openSSL.
б. по моему мнению, функций, разрешенных при встраивании явно недостаточно для реализации TLS. Ну, например, банально CryptEncrypt не разрешена при встраивании - только CryptEncryptMessage (см. Приложение 2 в Правилах пользования). А если использовать функции сверх разрешенных - это уже разработка нового СКЗИ.


Offline Дмитрий Пичулин  
#8 Оставлено : 25 мая 2018 г. 13:01:29(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: spacistor Перейти к цитате
1. Можно использовать IIS - я так понимаю, просто как часть операционной системы? Думаю, действительно можно, это не будет противоречить требованиям документации. А IIS просто с установленным на машине КриптоПРО CSP 4.0 корректно реализует TLS по ГОСТ? Это проверено? Попробую.

2. NGate - вещь хорошая, но опять-таки, нет сертификата/заключения на сам NGate.

3. > Если есть запрос на nginx + гост в сертифицированном виде, можно конечный продукт поисследовать и доказать корректность встраивания, новое СКЗИ разрабатывать не нужно.

Как это сделать, если (как я уже писал выше):
а. нет исходников для gost_capi для openSSL.
б. по моему мнению, функций, разрешенных при встраивании явно недостаточно для реализации TLS. Ну, например, банально CryptEncrypt не разрешена при встраивании - только CryptEncryptMessage (см. Приложение 2 в Правилах пользования). А если использовать функции сверх разрешенных - это уже разработка нового СКЗИ.

Вы ошибаетесь.

Обращайтесь официально, если вы разрабатываете продукт на основе КриптоПро и у вас проблемы только с сертификацией, этот вопрос на форуме не решить.



Знания в базе знаний, поддержка в техподдержке
Offline Андрей Русев  
#9 Оставлено : 27 июля 2021 г. 16:18:24(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
В рамках КриптоПро CSP 5.0 R2 возможно использование nginx с нашим патчем и Apache с пакетом cprocsp-apache-modssl на Linux без проведения дополнительных тематических исследований:
https://www.cryptopro.ru/products/csp/tls
https://www.cryptopro.ru...sp/tls/gost-nginx-apache
https://support.cryptopr...-c-podderzhkojj-gost-tls
Решение на связке openssl+gostengy/gost_capi является устаревшим и несертифицированным.
Официальная техподдержка. Официальная база знаний.
Offline silverandrew1  
#10 Оставлено : 18 августа 2021 г. 10:05:25(UTC)
silverandrew1

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.08.2021(UTC)
Сообщений: 1

Добрый день,

по поводу инструкции https://support.cryptopr...c-podderzhkojj-gost-tls,
подскажите, откуда собственно берется патч для nginx?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.