Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Статус КриптоПро CSP для nginx и Apache как продукта и встраивание
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.11.2016(UTC) Сообщений: 3
|
Всех приветствую.
В нашей системе, ГИС, TrustedTLS используется совместно с КриптоПро CSP для реализации TLS с ГОСТ алгоритмами. Сейчас рассматриваем варианты замены TrustedTLS. В связи с этим возникли вопросы: 1. Каков официальный статус КриптоПро CSP для nginx и Apache как продукта: есть ли официальные релизы, поддержка? 2. Трубуется ли проходить процедуру оценки влияния на СКЗИ или даже тематические исследования при использовании КриптоПро CSP для nginx и Apache в ГИС?
Помогите пожалуйста.
С уважением, Димитр
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,449 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 417 раз в 308 постах
|
Автор: dimitr 1. Каков официальный статус КриптоПро CSP для nginx и Apache как продукта: есть ли официальные релизы, поддержка? КриптоПро CSP — боевой сертифицированный продукт. Поддержка КриптоПро CSP в nginx и Apache осуществляется через криптографический модуль gost_capi, который бесплатен, релизится и поддерживается в рамках форума: https://www.cryptopro.ru...ts&m=55563#post55563Платная поддержка может быть оказана в рамках сертификата поддержки CSP на сервере. Автор: dimitr 2. Трубуется ли проходить процедуру оценки влияния на СКЗИ или даже тематические исследования при использовании КриптоПро CSP для nginx и Apache в ГИС? Сейчас наши специалисты по этим вопросам подключатся к ответу. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 10.04.2013(UTC) Сообщений: 186 Сказал(а) «Спасибо»: 1 раз Поблагодарили: 81 раз в 62 постах
|
Добрый день!
На текущий момент статус таков, что использование КриптоПро CSP в nginx и Apache требует проведения тематических исследований с учетом специфики конкретной системы. |
С уважением, Станислав Смышляев, к.ф.-м.н., Заместитель генерального директора ООО "КРИПТО-ПРО" Техническую поддержку оказываем здесь. Наша база знаний.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.11.2016(UTC) Сообщений: 3
|
Спасибо за разъяснения.
С уважением, Димитр.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.02.2014(UTC) Сообщений: 12 Откуда: Moscow
Сказал(а) «Спасибо»: 2 раз
|
Здравствуйте.
Позволю себе поднять тему. Прошу сотрудников КриптоПРО или других знающих людей прокомментировать.
1. Модуль gost_capi не имеет никакого заключения/сертификата от ФСБ и распространяется без исходных кодов - соответственно его применение там, где требуются сертифицированные ФСБ средства невозможно в принципе (невозможно, так как нет заключения/сертификата и невозможно исследования провести и получить такое заключение/сертификат так как нет исходников в свободном доступе). Так?
Никакой возможности использования СКЗИ КриптоПРО CSP 4.0 (последняя сертифицированная версия) с сервером nginx (c gost_capi или без такового) "из коробки" в Правилах пользования на СКЗИ тоже нет.
2. КриптоПРО CSP 4.0 не позволяет реализовать TLS в рамках встраивания, т. е. с использованием только функций, перечисленных в Правилах Пользования на СКЗИ в "Приложение 2. Перечень вызовов..."), так как функции интерфейса SSPI в этот перечень не входят. Получается, единственный легальный с точки зрения ФСБ вариант использования КриптоПРО CSP 4.0 для установления TLS-соединения - разработать новое СКЗИ (использующее КриптоПРО CSP 4.0) и провести его тематические исследования. Так?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,449 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 417 раз в 308 постах
|
Автор: spacistor Здравствуйте.
Позволю себе поднять тему. Прошу сотрудников КриптоПРО или других знающих людей прокомментировать.
1. Модуль gost_capi не имеет никакого заключения/сертификата от ФСБ и распространяется без исходных кодов - соответственно его применение там, где требуются сертифицированные ФСБ средства невозможно в принципе (невозможно, так как нет заключения/сертификата и невозможно исследования провести и получить такое заключение/сертификат так как нет исходников в свободном доступе). Так?
Никакой возможности использования СКЗИ КриптоПРО CSP 4.0 (последняя сертифицированная версия) с сервером nginx (c gost_capi или без такового) "из коробки" в Правилах пользования на СКЗИ тоже нет.
2. КриптоПРО CSP 4.0 не позволяет реализовать TLS в рамках встраивания, т. е. с использованием только функций, перечисленных в Правилах Пользования на СКЗИ в "Приложение 2. Перечень вызовов..."), так как функции интерфейса SSPI в этот перечень не входят. Получается, единственный легальный с точки зрения ФСБ вариант использования КриптоПРО CSP 4.0 для установления TLS-соединения - разработать новое СКЗИ (использующее КриптоПРО CSP 4.0) и провести его тематические исследования. Так?
Можно использовать IIS. Можно использовать NGate: https://www.cryptopro.ru/products/ngateЕсли есть запрос на nginx + гост в сертифицированном виде, можно конечный продукт поисследовать и доказать корректность встраивания, новое СКЗИ разрабатывать не нужно. В общем виде задача не решается. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.02.2014(UTC) Сообщений: 12 Откуда: Moscow
Сказал(а) «Спасибо»: 2 раз
|
1. Можно использовать IIS - я так понимаю, просто как часть операционной системы? Думаю, действительно можно, это не будет противоречить требованиям документации. А IIS просто с установленным на машине КриптоПРО CSP 4.0 корректно реализует TLS по ГОСТ? Это проверено? Попробую.
2. NGate - вещь хорошая, но опять-таки, нет сертификата/заключения на сам NGate.
3. > Если есть запрос на nginx + гост в сертифицированном виде, можно конечный продукт поисследовать и доказать корректность встраивания, новое СКЗИ разрабатывать не нужно.
Как это сделать, если (как я уже писал выше): а. нет исходников для gost_capi для openSSL. б. по моему мнению, функций, разрешенных при встраивании явно недостаточно для реализации TLS. Ну, например, банально CryptEncrypt не разрешена при встраивании - только CryptEncryptMessage (см. Приложение 2 в Правилах пользования). А если использовать функции сверх разрешенных - это уже разработка нового СКЗИ.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,449 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 417 раз в 308 постах
|
Автор: spacistor 1. Можно использовать IIS - я так понимаю, просто как часть операционной системы? Думаю, действительно можно, это не будет противоречить требованиям документации. А IIS просто с установленным на машине КриптоПРО CSP 4.0 корректно реализует TLS по ГОСТ? Это проверено? Попробую.
2. NGate - вещь хорошая, но опять-таки, нет сертификата/заключения на сам NGate.
3. > Если есть запрос на nginx + гост в сертифицированном виде, можно конечный продукт поисследовать и доказать корректность встраивания, новое СКЗИ разрабатывать не нужно.
Как это сделать, если (как я уже писал выше): а. нет исходников для gost_capi для openSSL. б. по моему мнению, функций, разрешенных при встраивании явно недостаточно для реализации TLS. Ну, например, банально CryptEncrypt не разрешена при встраивании - только CryptEncryptMessage (см. Приложение 2 в Правилах пользования). А если использовать функции сверх разрешенных - это уже разработка нового СКЗИ.
Вы ошибаетесь. Обращайтесь официально, если вы разрабатываете продукт на основе КриптоПро и у вас проблемы только с сертификацией, этот вопрос на форуме не решить. |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.08.2021(UTC) Сообщений: 1
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Статус КриптоПро CSP для nginx и Apache как продукта и встраивание
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close