Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<3637383940>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#371 Оставлено : 17 июля 2018 г. 16:23:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: andre74 Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: andre74 Перейти к цитате
- закинул в папку с проектом libssl-1_1.dll, libcrypto-1_1.dll, gostengy.dll

Простое подкладывание или замена dll не помогут, нужны правки в приложении и пересборка.


Да, соглашусь, не помогают.
Каким образом тогда правильно использовать вышеперечисленные dll (будь то gost_capi или gostengy), если их нельзя просто так взять и "подложить" (вместе с OpenSSL). Кстати, сам по себе OpenSSL работает ладно. Ему нужно подложить "некую прокладку" чтобы он видел ГОСТы. Ради этого стоит ли пересобирать Qt...

Если хотите помощи, задавайте конкретные вопросы, которые ещё не прозвучали в приведённых выше темах.

На текущий момент, предложенной информации достаточно для осмысления и решения вашей проблемы.
Знания в базе знаний, поддержка в техподдержке
Offline andre74  
#372 Оставлено : 18 июля 2018 г. 7:43:05(UTC)
andre74

Статус: Участник

Группы: Участники
Зарегистрирован: 17.07.2018(UTC)
Сообщений: 22
Российская Федерация
Откуда: екат

Сказал(а) «Спасибо»: 5 раз
Есть проект "Russian GOST crypto algorithms for penSSL" на гитхабе: https://github.com/gost-engine/engine,

Правильно ли я понимаю, что если его скомпилирую под msvc2017 64bit, получатся нужные мне dll - библиотеки, через которые я смогу работать с КриптоПро ГОСТ шифрованием (подключаться к https://api.markirovka.nalog.ru/ по зашифрованному соединению)?

Если нет, то каков порядок настройки SSL соединения для работы с https://api.markirovka.nalog.ru/ из нашего ПО. Какие библиотеки нужно скачать/подключить/откомпилировать?
Offline basid  
#373 Оставлено : 18 июля 2018 г. 8:55:46(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Автор: andre74 Перейти к цитате
Правильно ли я понимаю, что ... я смогу работать с КриптоПро
Нет, неправильно.
A reference implementation ... - программная реализация ГОСТ-шифров, основанная на исходном коде компании КРИПТПОКОМ.
Где-то в начале нулевых этот код был пожертвован проекту OpenSSL, но уже года три-четыре - исключен, как устаревший и несопровождаемый.
"Проект на гитхабе" - попытка доработать (КРИПТОКОМ-овский) исходный код до современного уровня и реализовать его в виде движка (раньше были "сборки с ГОСТ-ом").

Код этот полностью "автономный" и ни с каким системным криптопровайдером не взаимодействует.
Нельзя, например, использовать клиентские сертификаты и ключи, поскольку "не взаимодействует".

P.S.
Используйте предварительный просмотр и теги - движок форума некорректно обрабатывает, например, запятую в вашей ссылке.
Offline andre74  
#374 Оставлено : 18 июля 2018 г. 9:38:23(UTC)
andre74

Статус: Участник

Группы: Участники
Зарегистрирован: 17.07.2018(UTC)
Сообщений: 22
Российская Федерация
Откуда: екат

Сказал(а) «Спасибо»: 5 раз
Автор: basid Перейти к цитате
Нет, неправильно.....

Спасибо.
Что тогда делать бедному разработчику, как
все-таки настроить Qt + SSL + GOST?
(с IE подключение происходит успешно.).
Или это уже нужно купить какой-то коммерческий продукт от КриптоПро?
Offline Дмитрий Пичулин  
#375 Оставлено : 18 июля 2018 г. 10:34:31(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: andre74 Перейти к цитате
Автор: basid Перейти к цитате
Нет, неправильно.....

Спасибо.
Что тогда делать бедному разработчику, как
все-таки настроить Qt + SSL + GOST?
(с IE подключение происходит успешно.).
Или это уже нужно купить какой-то коммерческий продукт от КриптоПро?

Задавайте осмысленные вопросы, на которые можно дать осмысленные ответы.

Для этого необходимо изучить как работает Qt + OpenSSL, потом как работает OpenSSL + ENGINE, научиться пользоваться связкой "+ ENGINE" и только после этого переходить к "+ GOST".

Если у вас будут проблемы в части "+ GOST", присылайте логи и шаги по воспроизведению проблем.
Знания в базе знаний, поддержка в техподдержке
Offline andre74  
#376 Оставлено : 18 июля 2018 г. 12:37:52(UTC)
andre74

Статус: Участник

Группы: Участники
Зарегистрирован: 17.07.2018(UTC)
Сообщений: 22
Российская Федерация
Откуда: екат

Сказал(а) «Спасибо»: 5 раз
Автор: Дмитрий Пичулин Перейти к цитате

Если у вас будут проблемы в части "+ GOST", присылайте логи и шаги по воспроизведению проблем.


Я сейчас делаю следующие шаги для создания "+ GOST"

Установил openssl-1.0.2n-x64_86-win64, в папку с openssl.exe кидаю конфигурационный файл openssl.cnf. Далее, настраиваю openssl.cfg под Gost Engine, как описано в текущей ветке в начале.
gost_capi.dll положил рядом с вышеописанными файлами.
На команду "engine" openssl отвечает "Dynamic engine loading support".


Пожалуйста, поправьте, если что-то не так делаю.

Отредактировано пользователем 18 июля 2018 г. 12:46:27(UTC)  | Причина: дополнение

Offline andre74  
#377 Оставлено : 18 июля 2018 г. 14:40:52(UTC)
andre74

Статус: Участник

Группы: Участники
Зарегистрирован: 17.07.2018(UTC)
Сообщений: 22
Российская Федерация
Откуда: екат

Сказал(а) «Спасибо»: 5 раз
engine before.png (56kb) загружен 16 раз(а).
Правильно ли подключен Gost Engine?

При попытке подписать сертификатом

Код:
cms -sign -engine capi -keyform ENGINE -inkey "" -in "C:\openssl-1.0.2\OpenSSL\bin\test.txt" -out "C:\openssl-1.0.2\OpenSSL\bin\test.signed.txt" -outform PEM -CAfile "C:\1.cer" -nodetach -signer "C:\1.cer"


Ошибка:

Код:
engine "capi" set.
unable to load certificate
error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: TRUSTED CERTIFICATE


что не так делаю?
Уже видел подобную ошибку выше, но не понял, как ее решить.

Отредактировано пользователем 18 июля 2018 г. 15:16:59(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#378 Оставлено : 18 июля 2018 г. 15:23:47(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: andre74 Перейти к цитате
engine before.png (56kb) загружен 16 раз(а).
Правильно ли подключен Gost Engine?

При попытке подписать сертификатом

Код:
cms -sign -engine capi -keyform ENGINE -inkey "" -in "C:\openssl-1.0.2\OpenSSL\bin\test.txt" -out "C:\openssl-1.0.2\OpenSSL\bin\test.signed.txt" -outform PEM -CAfile "C:\1.cer" -nodetach -signer "C:\1.cer"


Ошибка:

Код:
engine "capi" set.
unable to load certificate
error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: TRUSTED CERTIFICATE


что не так делаю?
Уже видел подобную ошибку выше, но не понял, как ее решить.

andre74, создайте отдельную тему по вашим проблемам, вы действуете наугад вместо предложенного пути.
Знания в базе знаний, поддержка в техподдержке
Offline dvfin  
#379 Оставлено : 23 июля 2018 г. 19:45:13(UTC)
dvfin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.08.2017(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 2 раз в 2 постах
Здравствуйте.

Не удается "подружить" gost_capi с OpenSSL.

Что имею:
Код:
# openssl version -a
OpenSSL 1.1.0h  27 Mar 2018
built on: reproducible build, date unspecified
platform: linux-x86_64
options:  bn(64,64) md2(char) rc4(16x,int) des(int) blowfish(ptr) 
compiler: gcc -DZLIB -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DOPENSSLDIR="\"/etc/ssl\"" -DENGINESDIR="\"/usr/lib64/engines-1.1\""  -Wa,--noexecstack
OPENSSLDIR: "/etc/ssl"
ENGINESDIR: "/usr/lib64/engines-1.1"


Код:
csptest -keyset -verifycont
CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11128 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 18348755
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Total: SYS: 0,050 sec USR: 0,000 sec UTC: 0,060 sec
[ErrorCode: 0x00000000]


полный список установленных пакетов:
Код:
cprocsp-compat-altlinux-64-1.0.0-1.noarch
cprocsp-cpopenssl-64-5.0.11128-5.x86_64
cprocsp-cpopenssl-base-5.0.11128-5.noarch
cprocsp-cpopenssl-gost-64-5.0.11128-5.x86_64
cprocsp-cptools-gtk-64-5.0.11128-5.x86_64
cprocsp-curl-64-5.0.11128-5.x86_64
cprocsp-rdr-cloud-64-5.0.11128-5.x86_64
cprocsp-rdr-cloud-gtk-64-5.0.11128-5.x86_64
cprocsp-rdr-cpfkc-64-5.0.11128-5.x86_64
cprocsp-rdr-emv-64-5.0.11128-5.x86_64
cprocsp-rdr-gui-gtk-64-5.0.11128-5.x86_64
cprocsp-rdr-infocrypt-64-5.0.11128-5.x86_64
cprocsp-rdr-inpaspot-64-5.0.11128-5.x86_64
cprocsp-rdr-jacarta-64-5.0.0.1084-4.x86_64
cprocsp-rdr-kst-64-5.0.11128-5.x86_64
cprocsp-rdr-mskey-64-5.0.11128-5.x86_64
cprocsp-rdr-novacard-64-5.0.11128-5.x86_64
cprocsp-rdr-pcsc-64-5.0.11128-5.x86_64
cprocsp-rdr-rosan-64-5.0.11128-5.x86_64
cprocsp-rdr-rutoken-64-5.0.11128-5.x86_64
cprocsp-rsa-64-5.0.11128-5.x86_64
cprocsp-stunnel-64-5.0.11128-5.x86_64
cprocsp-xer2print-5.0.11128-5.noarch
ifd-rutokens-1.0.1-1.x86_64
lsb-cprocsp-base-5.0.11128-5.noarch
lsb-cprocsp-ca-certs-5.0.11128-5.noarch
lsb-cprocsp-capilite-64-5.0.11128-5.x86_64
lsb-cprocsp-kc1-64-5.0.11128-5.x86_64
lsb-cprocsp-pkcs11-64-5.0.11128-5.x86_64
lsb-cprocsp-rdr-64-5.0.11128-5.x86_64
lsb-cprocsp-rdr-accord-64-5.0.11128-5.x86_64
lsb-cprocsp-rdr-ancud-64-5.0.11128-5.x86_64
lsb-cprocsp-rdr-maxim-64-5.0.11128-5.x86_64


В /etc/ssl/openssl.cnf добавил после:
Код:
# This definition stops the following lines choking if HOME isn't
# defined.
HOME			= .
RANDFILE		= $ENV::HOME/.rnd

# Extra OBJECT IDENTIFIER info:
#oid_file		= $ENV::HOME/.oid
oid_section		= new_oids

код:
Код:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost_capi = gost_section

[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1


с базовым cprocsp-cpopenssl-gost-64-5.0.11128-5.x86_64 входящим в состав предварительной версии КриптоПро CSP 5.0.11128 (Cerberus) от 8.06.2018.
Код:
find /var/lib/pkgtools/packages/ -iname *cprocsp-cpopenssl*
/var/lib/pkgtools/packages/cprocsp-cpopenssl-64-5.0.11128-5.x86_64
/var/lib/pkgtools/packages/cprocsp-cpopenssl-base-5.0.11128-5.noarch
/var/lib/pkgtools/packages/cprocsp-cpopenssl-gost-64-5.0.11128-5.x86_64


выдает ошибку:
Код:
# openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
140418282956480:error:260B6091:engine routines:dynamic_load:version incompatibility:crypto/engine/eng_dyn.c:454:
140418282956480:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
140418282956480:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1 


С gost_capi_20161020.zip из 2-го сообщения, а точнее с пакетом cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64 выдает тоже самое:
Код:
# openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
139994628212416:error:260B6091:engine routines:dynamic_load:version incompatibility:crypto/engine/eng_dyn.c:454:
139994628212416:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
139994628212416:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1

Подскажите как исправить данные ошибки?

Отредактировано пользователем 23 июля 2018 г. 20:02:37(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#380 Оставлено : 24 июля 2018 г. 10:06:56(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: dvfin Перейти к цитате
Не удается "подружить" gost_capi с OpenSSL.

Что имею:
Код:
# openssl version -a
OpenSSL 1.1.0h  27 Mar 2018


Для OpenSSL >= 1.1.0 используйте gostengy: https://update.cryptopro...t/nginx-gost/bin/174535/

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (5)
67 Страницы«<3637383940>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.