Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах
|
Автор: buytoor 4. далее в статье идёт подпись файла /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:t2012cont -in for_sign.txt -binary -out content.sign -outform DER -signer ./t2012.pem делаю аналогично у себя c:\Program Files\OpenSSL\bin>openssl rsautl -sign -in doc.txt -inkey certificate.pem -out sig Полагаю даже новичок может отличить openssl cms от openssl rsautl. Как можно догадаться по названию rsautl предназначена для алгоритма RSA и ничего общего с гост не имеет, движок gostengy не задействуется при этой команде и формат имени ключа для gostengy команда не примет. Используйте cms. Смутно помню подписание гост также возможно еще одной командой, а все остальные вариации подписания под конкретные алгоритмы неэффективны для гост. Во втором варианте с cms нужно правильно указать имя контейнера E:\TEST1811.000 не будет принято gostengy. скорее должно быть что-то вроде c:TEST1811 и так далее. Далее потому что TEST1811 в имени папки это первые 8 символов имени контейнера, а само имя может быть длинеее. правильное имя контейнера смотрите в Криптопро CSP Отредактировано пользователем 13 декабря 2018 г. 14:02:19(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: buytoor Дмитрий,не ругайте строго. Почти всё делаете правильно, не стоит при каждой ошибке бежать на форум, это некрасиво, читайте внимательно (перечитывайте при ошибках), полнота знаний вам предоставлена, осталось применить. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.12.2018(UTC) Сообщений: 5 Откуда: Рязань Сказал(а) «Спасибо»: 5 раз
|
Спасибо, two_oceans за подсказку. Да,действительно ошибся с именем контейнера. Попробовал команду c:\Program Files\OpenSSL\bin>openssl cms -sign -engine gostengy -keyform ENGINE -inkey TEST1811 -in C:\doc.txt -out C:\doc.signed.txt -outform DER -signer C:\certificate.pem engine "gostengy" set. cannot load signing key file from engine 8156:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78: unable to load signing key fileОшибка повторилась. Но предложенный вариант two_oceans оказался - рабочим.СПАСИБО БОЛЬШОЕ!!!!!!!! Отредактировано пользователем 13 декабря 2018 г. 15:17:21(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.12.2018(UTC) Сообщений: 2
|
Добрый день! Подскажите, пожалуйста, в части cpopenssl(gostengy и gost_capi):
- Возможно ли увидеть набор тестов для openssl, которыми тестируются ваши доработки?
- Проводился ли ручной или автоматизированный сторонний аудит ваших доработок?
- Проводилось ли нагрузочное/стресс тестирование ваших доработок?
- Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
- Есть какая-то централизованная вики по вашим доработкам, кроме данного формума? Например, на github ?
Заранее благодарю! Отредактировано пользователем 15 декабря 2018 г. 13:19:53(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: MultiAAB Подскажите, пожалуйста, в части cpopenssl(gostengy и gost_capi):
- Возможно ли увидеть набор тестов для openssl, которыми тестируются ваши доработки?
- Проводился ли ручной или автоматизированный сторонний аудит ваших доработок?
- Проводилось ли нагрузочное/стресс тестирование ваших доработок?
- Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
- Есть какая-то централизованная вики по вашим доработкам, кроме данного формума? Например, на github ?
- Нет
- Нет
- Да
- Да
- Нет
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.12.2018(UTC) Сообщений: 2
|
Автор: Дмитрий Пичулин Автор: MultiAAB Подскажите, пожалуйста, в части cpopenssl(gostengy и gost_capi):
- Возможно ли увидеть набор тестов для openssl, которыми тестируются ваши доработки?
- Проводился ли ручной или автоматизированный сторонний аудит ваших доработок?
- Проводилось ли нагрузочное/стресс тестирование ваших доработок?
- Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
- Есть какая-то централизованная вики по вашим доработкам, кроме данного формума? Например, на github ?
- Нет
- Нет
- Да
- Да
- Нет
По пунктам 3 и 4 - результаты доступны в открытом доступе? Или, возможно, есть какие-нибудь тест-сьюты для воспроизведения?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: MultiAAB По пунктам 3 и 4 - результаты доступны в открытом доступе? Или, возможно, есть какие-нибудь тест-сьюты для воспроизведения? Нет и нет. Как вы могли заметить, мы не очень сильно продвигаем gostengy, так как не видим в этом направлении перспектив, поэтому данных не очень много и они все на форуме. Скорости мы проверили, всё работает согласно ожиданиям, потерь производительности нет, скорость ровно такая, какую даёт КриптоПро CSP. |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах
|
Автор: Дмитрий Пичулин Цитата:4.Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ? Да У меня почему-то было впечателение, что контейнер надо создавать в КриптоПро (через csptest например), а в openssl только использовать уже созданный. Для ясности: создаст ли КриптоПро контейнер при получении через engine команды на генерацию ключей?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах
|
Автор: two_oceans Автор: Дмитрий Пичулин Цитата:4.Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ? Да У меня почему-то было впечателение, что контейнер надо создавать в КриптоПро (через csptest например), а в openssl только использовать уже созданный. Для ясности: создаст ли КриптоПро контейнер при получении через engine команды на генерацию ключей? Нет, этот вопрос в контексте gostengy и предыдущих вопросов, с большой вероятностью, подразумевает скорость установления рукопожатия по TLS, является стандартной мерой определяющей максимальное количество подключений пользователей в секунду. А для ясности, да, через openssl + gostengy долговременные ГОСТ ключи создать нельзя никаким образом, только через КриптоПро CSP. Отредактировано пользователем 17 декабря 2018 г. 10:23:59(UTC)
| Причина: Не указана |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.12.2018(UTC) Сообщений: 4
Сказал(а) «Спасибо»: 2 раз
|
Добрый день. Пытаюсь подписать документ по госту с помощью openssl, но ничего не выходит. Пролистал кучу инфы на форуме, но все в единую картинку так и не складывается. На убунте установлен Крипто про CSP 4 крипто провайде KC 2 и openssl с поддержкой библиотеки gost_capi. Установил сертификат командой: Код:certmgr -install -store uMy -file certificate.pem
Пытаюсь подписать файл командой: Код:/opt/cprocsp/cp-openssl/bin/amd64/openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "" -in "doc.txt" -out "sign.txt" -outform PEM -CAfile cert.cer -nodetach -signer cert.cer
Но получаю ошибку: Код:engine "gost_capi" set.
unable to load certificate
140428701611712:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: TRUSTED CERTIFICATE
Сертификат и закрытый ключ в формате pem был получен из СМЭВ для разработки информационной системы. Я так понимаю, что я еще должен как-то при подписании использовать закрытый ключ, но судя по постам на форуме закрытый ключ в формате pem никак не затолкать в криптопро. Получается я должен как-то сгенирировать закрытый ключ? Пардон за ламерские вопросы, но делах криптографии и шифровании я не разбираюсь и знания ограничиваются лишь нагугленной инфой.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close