Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<3839404142>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#391 Оставлено : 28 июля 2018 г. 0:43:01(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: dvfin Перейти к цитате
А теперь можно считать успехом? И еще вопрос ГОСТ-ы по умолчанию будут поддерживаться в OpenSSL версии 1.1.1 ?

Можно. Это успех.

OpenSSL 1.1.1 не должен сильно отличаться от 1.1.0, по умолчанию только зарубежные алгоритмы, ГОСТ необходимо будет подключать дополнительно, как сейчас.

Как только OpenSSL 1.1.1 станет стабильным релизом -- мы доработаем под него наш gostengy.
Знания в базе знаний, поддержка в техподдержке
Offline dvfin  
#392 Оставлено : 29 июля 2018 г. 13:23:14(UTC)
dvfin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.08.2017(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 2 раз в 2 постах
Все серверные и корневые сертификаты http://www.roskazna.ru/g...tr/kornevye-sertifikaty/ установлены с помощью КриптоПро 5 в хранилище сертификатов uRoot - для корневых сертификатов Удостоверяющих Центров. Личные сертификаты установлены в uMy - для личных сертификатов.

В браузере Спутник увидел следующие ошибки:
Код:
ERROR:ssl_client_socket_impl.cc(1314)] trying to load gostssl lib libgostssl.so
ERROR:ssl_client_socket_impl.cc(1319)] ok when trying to load gostssl lib
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -3072
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -3072
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -2
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -2

в /opt/sputnik-browser/ лежит библиотека libgostssl.so но она не подгружается, или подгружается некорректно из-за неправильной настройки SSL ФГИСов и автоионизация по ГОСТ из-за этого не проходит.

Скриншоты https://dropmefiles.com/VQBCM


UserPostedImageUserPostedImageUserPostedImage
UserPostedImage

Из-за этой ошибки не получается зайти в Личные кабинеты следующих ФГИС

https://zakupki.gov.ru/auth/secure
https://bus.gov.ru/private
https://lk-fzs.roskazna.ru/private/requests/new
https://ssl.budgetplan.minfin.ru/bp/

Nmap при этом выдает следующее:
Код:
nmap --script ssl-enum-ciphers -p 443 zakupki.gov.ru
Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-27 13:54 Local time zone must be set--see zic manual page
Nmap scan report for zakupki.gov.ru (31.173.38.227)
Host is up (0.017s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   SSLv3: 
|     ciphers: 
|       TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
|     compressors: 
|       NULL
|     cipher preference: indeterminate
|     cipher preference error: Too few ciphers supported
|   TLSv1.0: 
|     ciphers: 
|       TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
|     compressors: 
|       NULL
|     cipher preference: indeterminate
|     cipher preference error: Too few ciphers supported
|   TLSv1.1: 
|     ciphers: 
|       TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
|     compressors: 
|       NULL
|     cipher preference: indeterminate
|     cipher preference error: Too few ciphers supported
|_  least strength: unknown

Nmap done: 1 IP address (1 host up) scanned in 0.76 seconds

Подскажите эта проблема на моей стороне или это проблема настройки авторизации по SSL у данных ФГИСов?

По поводу ошибки [missing_subjectAltName] при входе в Личный кабинет ЕИС (см. выше на скриншоте) написано здесь https://www.linux.or...eneral/13369028
В сертификате ЕИС не заполнено поле SAN (Subject Alternative Name), на основании это происходит "отфутболивание" всеми браузерами. Сам Ghrome сообщал об этом:

Цитата:
Chrome 58 позволяет временно вернуть старое поведение браузера. Делается это с помощью политики EnableCommonNameFallbackForLocalAnchors.
Она позволяет избежать повторной генерации сертификатов. Однако это
решение является временным и будет удалено в последующих версиях
браузера (не позднее Chrome 65). Мы настоятельно рекомендуем заново
сгенерировать самоподписанные SSL-сертификаты с включением расширения
Subject Alternative Name.

и еще нашел такое:
Цитата:
Немного изучив вопрос, выяснил, что openssl не добавляет subjectAltName в сертификат, так как он не указан в конфиге, поэтому в openssl.cnf нужно
в секции [ req ] раскомментировать параметр req_extensions = v3_req и в
секци [ v3_req ] добавить параметр subjectAltName = DNS:example.com, IP:ххх.ххх.ххх.ххх (можно указать один из параметров, если у вас только IP/домен).
При перевыпуске в запросе на подпись добавить параметр -reqexts v3_req и при подписывании -extensions v3_req
После этого не забыть закомментировать req_extensions обратно.

и как правильно выпустить сертификат с v3_req (Subject Alternative Name extension) более подробно написано здесь:

http://wiki.cacert.o.../subjectAltName
http://www.linuxsnippets.net/node/364

Получается в файл конфигурации /etc/ssl/openssl.cnf необходимо внести следующие изменения:
Код:
    [ req ]                      # В этой секции  
    req_extensions = v3_req      # раскоментировать эту строку  
      
    [ v3_req ]                   # В этой  
    subjectAltName = @alt_names  # добавить такую строку  
      
    # В конец файла добавить секцию  
    [ alt_names ]                # И здесь  
    DNS.1 = zakupki.gov.ru       # указать список доменов  
    DNS.2 = www.zakupki.gov.ru   # для которых выписываем сертификат  
    DNS.3 = *.zakupki.gov.ru  
    IP.0  = 31.173.38.227        # И, если нужно, IP адреса  

Теперь можно создавать сертификат по этой инструкции http://www.linuxsnippets.net/node/364
Самое главное указать openssl использовать расширение -extensions v3_req и конфигурационный файл -config /etc/ssl/openssl.cnf (содержимое /etc/ssl/openssl.cnf см. в этом сообщении)

И еще, из статьи https://www.opennet.ru/o...news/art.shtml?num=42982
18.09.2015 09:10 Google прекращает поддержку SSLv3 и RC4 и повышает требования к HTTPS

Цитата:
Компания Google анонсировала скорое прекращение поддержки протокола SSLv3 и алгоритма RC4, которые не отвечают
современным требованиям безопасности и подвержены нескольким видам атак.
На первом этапе поддержка SSLv3 и RC4 будет отключена на
фронтэнд-серверах, после чего отключение распространится на все продукты
Google, включая Chrome (SSLv3 в Chrome уже отключён, в очереди на отключение RC4), Android, поисковые боты и SMTP-серверы. По статистике SSL Pulse из 200
тысяч крупнейших HTTPS-сайтов 42% уже отключили RC4 и 65% отключили
SSLv3.


Кроме того, планируется повысить требования к параметрам установки соединения HTTPS, например, для работы с сайтами Google по защищённому
каналу связи на стороне клиента станет обязательной поддержка TLS 1.2,
наличие расширения SNI (Server Name Indication) и присутствие набора
шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Доверие будет ограничено
корневыми сертификтами из списка pki.google.com/roots.pem, при обработке сертификатов обязательной будет поддержка DNS SAN (Subject Alternative Names). Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница cert-test.sandbox.google.com.
Offline Дмитрий Пичулин  
#393 Оставлено : 31 июля 2018 г. 1:56:21(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: dvfin Перейти к цитате
В браузере Спутник

Создавайте новую тему. OpenSSL и engine тут не при чём.

Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#394 Оставлено : 6 августа 2018 г. 13:02:43(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
ОС: Windows 7. Gostengy настроен, GOST есть в списке шифров.
Подскажите пожалуйста, есть ли описание уточненное параметров openssl при работе с Gostengy? Меня интересует использование связки параметров
Код:
-engine gostengy -keyform ENGINE -key xx

при которой не нужно экспортировать ключ в формат, совместимый с openssl. Какие именно значения допустимо указывать для key? Пробовал по отпечатку сертификата - прекрасно находит, но только если сертификат установлен в хранилище "Личные". Попытки ввести после -key имена контейнера приводят к ошибке "cannot load PrivateKey from engine". Пробовал следующие имена:
Код:
# K:\le-ce723.000 # путь к папке
# 8081E13F volumeid диска K, метки нет
le-ce723ce0-88cc-4bf2-9931-a11b366653f6 #дружественное
\\.\FAT12_K\le-ce723ce0-88cc-4bf2-9931-a11b366653f6
FAT12\8081E13F\le-ce723.000
FAT12\8081E13F\le-ce723.000\560A
При этом csptest принимает эти имена в качестве имени контейнера.

Хотел сделать сертификат внутреннего УЦ организации по гост-2012 и оказалось невозможно обратиться к ключевому контейнеру, пока не выпущен сертификат и сертификат не связан с контейнером. Обход конечно нашелся - выпустил на тестовом УЦ КриптоПро, добавил в Личные, указал отпечаток - сделал корневой на это же контейнер. Однако это кажется не очень правильным и хотелось бы разобраться с параметром key.
Offline Дмитрий Пичулин  
#395 Оставлено : 6 августа 2018 г. 13:17:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: two_oceans Перейти к цитате
ОС: Windows 7. Gostengy настроен, GOST есть в списке шифров.
Подскажите пожалуйста, есть ли описание уточненное параметров openssl при работе с Gostengy? Меня интересует использование связки параметров
Код:
-engine gostengy -keyform ENGINE -key xx

при которой не нужно экспортировать ключ в формат, совместимый с openssl. Какие именно значения допустимо указывать для key? Пробовал по отпечатку сертификата - прекрасно находит, но только если сертификат установлен в хранилище "Личные". Попытки ввести после -key имена контейнера приводят к ошибке "cannot load PrivateKey from engine". Пробовал следующие имена:
Код:
# K:\le-ce723.000 # путь к папке
# 8081E13F volumeid диска K, метки нет
le-ce723ce0-88cc-4bf2-9931-a11b366653f6 #дружественное
\\.\FAT12_K\le-ce723ce0-88cc-4bf2-9931-a11b366653f6
FAT12\8081E13F\le-ce723.000
FAT12\8081E13F\le-ce723.000\560A
При этом csptest принимает эти имена в качестве имени контейнера.

Хотел сделать сертификат внутреннего УЦ организации по гост-2012 и оказалось невозможно обратиться к ключевому контейнеру, пока не выпущен сертификат и сертификат не связан с контейнером. Обход конечно нашелся - выпустил на тестовом УЦ КриптоПро, добавил в Личные, указал отпечаток - сделал корневой на это же контейнер. Однако это кажется не очень правильным и хотелось бы разобраться с параметром key.

Так точно, такой функционал имеется, можно использовать имя контейнера без хранилища, для этого нужен префикс "c:" + имя контейнера, получаем например -key "c:le-ce723ce0-88cc-4bf2-9931-a11b366653f6".

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
two_oceans оставлено 07.08.2018(UTC)
Offline Coriolis  
#396 Оставлено : 9 августа 2018 г. 14:18:56(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
День добрый!
Автор: Дмитрий Пичулин Перейти к цитате


OpenSSL 1.1.1 не должен сильно отличаться от 1.1.0, по умолчанию только зарубежные алгоритмы, ГОСТ необходимо будет подключать дополнительно, как сейчас.

Как только OpenSSL 1.1.1 станет стабильным релизом -- мы доработаем под него наш gostengy.


gost_capi скачал из шапки

Код:
r:\G working>openssl.exe
OpenSSL> version -a
OpenSSL 1.1.1-pre8 (beta) 20 Jun 2018
built on: Wed Jun 20 15:20:40 2018 UTC
platform: VC-WIN32-rtt
options:  bn(64,32) rc4(8x,mmx) des(long) idea(int) blowfish(ptr)
compiler: cl /Zi /Fdossl_static.pdb /Gs0 /GF /Gy /MT /W3 /wd4090 /nologo /O2 /WX -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUI
D_OBJ -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_AS
M -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DP
ADLOCK_ASM -DPOLY1305_ASM
OPENSSLDIR: "C:\Program Files (x86)\Common Files\SSL"
ENGINESDIR: "C:\Program Files (x86)\OpenSSL\lib\engines-1_1"
Seeding source: os-specific
OpenSSL> engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
4052:error:260B6091:engine routines:dynamic_load:version incompatibility:crypto\engine\eng_dyn.c:454:
4052:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto\engine\eng_cnf.c:141:section=
gost_section, name=dynamic_path, value=gost_capi
4052:error:0E07606D:configuration file routines:module_run:module initialization error:crypto\conf\conf_mod.c:174:module
=engines, value=engine_section, retcode=-1
OpenSSL> exit

r:\G working>cd old

r:\G working\old>ossl_csp

r:\G working\old>set OPENSSL_CONF=.\openssl_csp.cfg

r:\G working\old>openssl.exe
OpenSSL> version -a
OpenSSL 1.1.0h  27 Mar 2018
built on: reproducible build, date unspecified
platform: VC-WIN32
options:  bn(64,32) rc4(8x,mmx) des(long) idea(int) blowfish(ptr)
compiler: cl
OPENSSLDIR: "C:\Program Files (x86)\Common Files\SSL"
ENGINESDIR: "C:\Program Files (x86)\OpenSSL\lib\engines-1_1"
OpenSSL> engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
2788:error:260B6091:engine routines:dynamic_load:version incompatibility:crypto\engine\eng_dyn.c:454:
2788:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto\engine\eng_cnf.c:141:section=
gost_section, name=dynamic_path, value=gost_capi
2788:error:0E07606D:configuration file routines:module_run:module initialization error:crypto\conf\conf_mod.c:173:module
=engines, value=engine_section, retcode=-1
OpenSSL>


Собственно, windows.
Конфиг такой:
Код:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost_capi = gost_section

[gost_section]
engine_id = gost_capi
dynamic_path = gost_capi
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1


dynamic_path = gost_capi >>> тут если указать = gost_capi.dll то он ругается что файл = gost_capi.dll.dll не найден :)

Что делать, куда бежать? Может у вас есть посвежее версия gost_capi.dll, а то эта 16того года же в шапке: 4.0.9806.0
Offline Дмитрий Пичулин  
#397 Оставлено : 9 августа 2018 г. 15:09:54(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: Coriolis Перейти к цитате

Код:
r:\G working>openssl.exe
OpenSSL> version -a
OpenSSL 1.1.1-pre8 (beta) 20 Jun 2018

С OpenSSL 1.1.1 не тестировали. Для версий 1.1.0 использовать следует gostengy. Посвежее здесь: https://update.cryptopro...t/nginx-gost/bin/174535/

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
Coriolis оставлено 09.08.2018(UTC)
Offline Coriolis  
#398 Оставлено : 14 августа 2018 г. 9:18:09(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Coriolis Перейти к цитате

Код:
r:\G working>openssl.exe
OpenSSL> version -a
OpenSSL 1.1.1-pre8 (beta) 20 Jun 2018

С OpenSSL 1.1.1 не тестировали. Для версий 1.1.0 использовать следует gostengy. Посвежее здесь: https://update.cryptopro...t/nginx-gost/bin/174535/



Спасибо Дмитрий, со свежей взлетело.
Однако наткнулся на эту проблему работа с pfx из openssl, стало странно, с одной стороны поддержка openssl у вас есть, с другой стороны чтобы этим openssl извлечь закрытый ключ - надо бежать к вашим конкурентам. Недоработка, как считаете? (не исключаю варианта что я глубоко заблуждаюсь, т.к. в теме криптографии профан - только начал ковырять).
Offline two_oceans  
#399 Оставлено : 14 августа 2018 г. 9:57:20(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Тут соль в том, что при использовании с КриптоПро вообще нет необходимости извлекать ключ в формат pfx/pem - есть средства работать напрямую с контейнером в КриптоПро. Просто забудьте уже о pem и pfx, политика КриптоПро - работать со своим контейнером, а не экспортировать ключ в иные форматы. Хотя, соглашусь, это было бы неплохо осветить в шапке, как и про использование gostengy с 1.1.0 вместо gost_capi. В этой теме почти 400 сообщений и немалая часть как раз по этим 2 вопросам.

Как интересно Вы искали по форуму - раскопали тему 6 летней давности, а мой вопрос выше на вот этой же странице об использовании параметра -keyform ENGINE не увидели. И тему об извлечении pem тоже - ей 7 дней.

Отредактировано пользователем 14 августа 2018 г. 10:00:54(UTC)  | Причина: про шапку

Offline Coriolis  
#400 Оставлено : 14 августа 2018 г. 10:23:27(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
Автор: two_oceans Перейти к цитате
Тут соль в том, что при использовании с КриптоПро вообще нет необходимости извлекать ключ в формат pfx/pem - есть средства работать напрямую с контейнером в КриптоПро. Просто забудьте уже о pem и pfx, политика КриптоПро - работать со своим контейнером, а не экспортировать ключ в иные форматы. Хотя, соглашусь, это было бы неплохо осветить в шапке, как и про использование gostengy с 1.1.0 вместо gost_capi. В этой теме почти 400 сообщений и немалая часть как раз по этим 2 вопросам.

Как интересно Вы искали по форуму - раскопали тему 6 летней давности, а мой вопрос выше на вот этой же странице об использовании параметра -keyform ENGINE не увидели. И тему об извлечении pem тоже - ей 7 дней.


Искал не по форуму, искал в яндексе - пришел на ту тему старую. Искал по запросу на код ошибки EVP_PBE_CipherInit:unknown pbe algorithm:crypto\evp\evp_pbe.c:93:TYPE=1.2.840.113549.1.12.1.80
Показалось смешно что 6 лет - всё там же.

На счёт идеологии теперь понятно, pem небезопасный и всё такое, и ключ хранить в открытом виде - караул и т.д. Хотя для разработки и отладки было бы удобно.

Шапку что ли сложно поправить блин?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (4)
67 Страницы«<3839404142>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.