Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<2627282930>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#271 Оставлено : 12 августа 2017 г. 1:41:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
У нас хорошие новости, при переходе на OpenSSL 1.1.0 мы переписали gost_capi на gostengy, новый криптографический модуль полностью совместимый с OpenSSL 1.1.0.

Основным улучшением gostengy стала поддержка сертификатов 2012 года и отсутствие привязки к "голым" мастер и прочим ключам в OpenSSL, всё сделано по честному — ключами оперирует только КриптоПро CSP.

Более того, теперь наш модуль реализует в OpenSSL схему шифрования AEAD, что гарантирует 1 вызов функции КриптоПро CSP на пакет, вместо как минимум 4 в прошлой версии.

Приглашаем к тестированию и использованию.

В настоящий момент доступна только сборка nginx-gost-12 для Windows со всем необходимым: https://github.com/deemru/nginx/releases/latest

Пользователи Unix-систем потерпите. Или подгоните нас ответом на форуме.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#272 Оставлено : 12 августа 2017 г. 1:49:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
При использовании gostengy, не забудьте исправить gost_capi на gostengy:

Цитата:
ssl_certificate_key engine:gostengy:www.vpngost.ru.cer;


А также использовать сюиту 2012 года:

Цитата:
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;


Знания в базе знаний, поддержка в техподдержке
Offline aav_equifax  
#273 Оставлено : 17 августа 2017 г. 17:47:55(UTC)
aav_equifax

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2017(UTC)
Сообщений: 4
Российская Федерация

Автор: pd Перейти к цитате
...

Приглашаем к тестированию и использованию.

В настоящий момент доступна только сборка nginx-gost-12 для Windows со всем необходимым: https://github.com/deemru/nginx/releases/latest

Пользователи Unix-систем потерпите. Или подгоните нас ответом на форуме.


Очень ждем.
Offline Дмитрий Пичулин  
#274 Оставлено : 18 августа 2017 г. 15:08:36(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: aav_equifax Перейти к цитате
Очень ждем.

Вы очень ждали, поэтому мы ускорились и выложили gostengy здесь: https://update.cryptopro...t/nginx-gost/bin/161714/

ВАЖНО: кроме того, что для работы данной версии вам необходим openssl 1.1.0 и nginx собранный с поддержкой openssl 1.1.0, вам необходимо воспользоваться исходниками отсюда: https://github.com/deemr.../tree/openssl-1.1.0-gost

В данных исходниках пришлось временно отключить поддержку extended_master_secret на уровне openssl для ГОСТ, так как в нашем клиентском коде пока отсутствует поддержка extended_master_secret, а многие Windows дистрибутивы уже начали отправлять соответствующий extension в client_hello, что приводит к невозможности TLS-соединения: "КриптоПро TLS. Такое расширение CLIENT_HELLO не посылалось: 0x17"

Если воспользоваться официальным репозиторием openssl 1.1.0, то на Windows клиентах придётся прописать:
Цитата:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel\DisableClientExtendedMasterSecret = 1 (DWORD)

(Поддержка extended_master_secret уже появилась в наших внутренних версиях CSP, но потребуется не мало времени на стабилизацию и распространение этой версии)

Напоминаем, что для пользователей Windows, мы подготовили portable версию "всё в одном": https://github.com/deemru/nginx/releases

Знания в базе знаний, поддержка в техподдержке
Offline vanushah  
#275 Оставлено : 23 августа 2017 г. 6:30:35(UTC)
vanushah

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2017(UTC)
Сообщений: 16
Российская Федерация

Здравствуйте. Настраиваю gost_capi 4.0.0 в связке nginx 1.10.3 и openssl 1.0.2j на Ubuntu 17.04. И возникла следующая проблема.

Если запускать тестовый сервер через openssl то все работает нормально:

Код:
io@ubuntu2:~$ sudo -u www-data openssl s_server -engine gost_capi -CAfile /home/io/share/certnew.cer -keyform ENGINE -key test.innovacia.ru -cert /home/io/share/test5.cer
engine "gost_capi" set.
Using default temp DH parameters
ACCEPT
-----BEGIN SSL SESSION PARAMETERS-----
MGoCAQECAgMDBAIAgQQABDAm8VN/ukT6IrOektRKACYb6Z8s94zibdaRZJU/pNHU
h/v54Lx633kYe4EZRKBj/eShBgIEWZzzGaIEAgIBLKQGBAQBAAAAphMEEXRlc3Qu
aW5ub3ZhY2lhLnJ1
-----END SSL SESSION PARAMETERS-----
Shared ciphers:GOST2001-GOST89-GOST89:DHE-DSS-AES128-SHA:DH-RSA-AES128-SHA
Signature Algorithms: 0xEE+0xEE:0xEF+0xEF:0xED+md_gost94
Shared Signature Algorithms: 0xED+md_gost94
CIPHER is GOST2001-GOST89-GOST89
Secure Renegotiation IS supported
GET / HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: test.innovacia.ru
Connection: close


Код:
io@ubuntu2:~$ /opt/cprocsp/bin/amd64/csptestf -tlsc -server test.innovacia.ru -port 4433 -v
8 algorithms supported:
[0] 1.2.643.2.2.21 (ГОСТ 28147-89)
[1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[2] 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 bit)
[3] 0x801f
[4] 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[5] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[6] 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[7] 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0x80
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 100
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
105 bytes of handshake data sent
1588 bytes of handshake data received
210 bytes of handshake data sent
222 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: 81 (TLS_GOSTR341001_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GOST R 34.11-94), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2001), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2001), KeyType: 0
SECPKG_ATTR_NAMES: E=iochagov@innovacia.ru, CN=test.innovacia.ru, OU=IT, O=TransportTv, L=To                                                                                     msk, S=Tomsk oblast, C=RU
SECPKG_ATTR_PACKAGE_INFO not supported.

Server certificate:
Subject: E=iochagov@innovacia.ru, CN=test.innovacia.ru, OU=IT, O=TransportTv, L=Tomsk, S=Tom                                                                                     sk oblast, C=RU
Valid  : 22.08.2017 09:57:48 - 22.11.2017 10:07:48 (UTC)
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center                                                                                      2

Protocol: TLS 1.2
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa25
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16384

HTTP request: GET / HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: test.innovacia.ru
Connection: close


Sending plaintext: 97 bytes
115 bytes of application data sent


Если все тоже самое запустить через nginx, то получается такое:

Код:
io@ubuntu2:~$ /opt/cprocsp/bin/amd64/csptestf -tlsc -server test.innovacia.ru -port 443 -v
8 algorithms supported:
[0] 1.2.643.2.2.21 (ГОСТ 28147-89)
[1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[2] 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 bit)
[3] 0x801f
[4] 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[5] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[6] 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[7] 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0x80
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 100
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
105 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090304 returned by InitializeSecurityContext (2)
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:578:Error performing handshake.
Error number 0x80090304 (2148074244).
The Local Security Authority cannot be contacted
Total: SYS: 0.000 sec USR: 0.040 sec UTC: 0.050 sec
[ErrorCode: 0x80090304]


В логах nginx'а пишется такое:

Код:
2017/08/23 10:18:32 [crit] 9775#9775: *1 SSL_do_handshake() failed (SSL: error:8006A063:lib(128):CAPI_INIT:cant create hash object error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking, client: 127.0.0.1, server: 0.0.0.0:443


Настройки nginx'a согласно руководству:

Код:
io@ubuntu2:~$ cat /etc/nginx/sites-enabled/ssl
# HTTPS server
server {
    ssl on;
    listen      443 ssl;
    server_name  test.innovacia.ru;

    ssl_certificate      /etc/nginx/cert.cer;
    ssl_certificate_key  engine:gost_capi:test.innovacia.ru;
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers  HIGH:MEDIUM:+GOST2001-GOST89;
    ssl_prefer_server_ciphers   on;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}


Гугление на тему "Local Security Authority" и "The Local Security Authority cannot be contacted" результатов особо не дало.

Буду признателен за помощь.

Offline Дмитрий Пичулин  
#276 Оставлено : 23 августа 2017 г. 12:20:40(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: vanushah Перейти к цитате
Здравствуйте. Настраиваю gost_capi 4.0.0 в связке nginx 1.10.3 и openssl 1.0.2j на Ubuntu 17.04. И возникла следующая проблема.

Никаких ошибок в конфигурации не видим, всё должно работать.

Пришлите "nginx -V" и ошибки, если есть, из "/var/opt/cprocsp/tmp/gost_capi.log".
Знания в базе знаний, поддержка в техподдержке
Offline vanushah  
#277 Оставлено : 23 августа 2017 г. 12:34:16(UTC)
vanushah

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2017(UTC)
Сообщений: 16
Российская Федерация

Цитата:
Пришлите "nginx -V" и ошибки, если есть, из "/var/opt/cprocsp/tmp/gost_capi.log".


Вот:

Код:
io@ubuntu2:~$ nginx -V
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libcrypto.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by nginx)
nginx: /opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0: no version information available (required by nginx)
nginx version: nginx/1.10.3 (Ubuntu)
built with OpenSSL 1.0.2g  1 Mar 2016 (running with OpenSSL 1.0.2j  26 Sep 2016)
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-aIL3tz/nginx-1.10.3=. -fPIE -fstack-protector-strong -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now -fPIC' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_geoip_module=dynamic --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --with-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-mail=dynamic --with-mail_ssl_module


Код:
io@ubuntu2:~$ cat /var/opt/cprocsp/tmp/gost_capi.log
366C5EC7:0002 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
366C5EC7:0003 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
B22F3012:0002 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
B22F3012:0003 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
B22F3012:0004 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
B22F3012:0005 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
B22F3012:0006 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
B22F3012:0007 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
B22F3012:0008 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
C1416E56:0002 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
9289415B:0002 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719
7AFA2AB3:0002 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719

Отредактировано пользователем 23 августа 2017 г. 13:18:47(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#278 Оставлено : 23 августа 2017 г. 13:20:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: vanushah Перейти к цитате
Код:
io@ubuntu2:~$ cat /var/opt/cprocsp/tmp/gost_capi.log
366C5EC7:0002 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719

Что-то нетипичное, попробуем разобраться.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#279 Оставлено : 23 августа 2017 г. 13:48:00(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: vanushah Перейти к цитате
CryptCreateHash = 0x00002719

Пришлите версию CSP и "ps -aux | grep nginx" в момент работы сервера.

Есть ли вас какие-то особенности Ubuntu 17.04 или это обычная установка по умолчанию?
Знания в базе знаний, поддержка в техподдержке
Offline vanushah  
#280 Оставлено : 23 августа 2017 г. 13:49:52(UTC)
vanushah

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2017(UTC)
Сообщений: 16
Российская Федерация

Автор: pd Перейти к цитате
Автор: vanushah Перейти к цитате
Код:
io@ubuntu2:~$ cat /var/opt/cprocsp/tmp/gost_capi.log
366C5EC7:0002 (ngg_hash_init_common:974) ERROR: CryptCreateHash = 0x00002719

Что-то нетипичное, попробуем разобраться.



Сразу замечу, что openssl я использую ваш. На месте оригинальных файлов символические ссылки на

/opt/cprocsp/cp-openssl/lib/amd64/libssl.so.1.0.0
/opt/cprocsp/cp-openssl/bin/amd64/openssl

PS
Попробовал с оригинальным openssl, ситуация та же.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
67 Страницы«<2627282930>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.