Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<4647484950>»
Опции
К последнему сообщению К первому непрочитанному
Offline two_oceans  
#471 Оставлено : 13 декабря 2018 г. 13:45:17(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: buytoor Перейти к цитате
4. далее в статье идёт подпись файла
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:t2012cont -in for_sign.txt -binary -out content.sign -outform DER -signer ./t2012.pem
делаю аналогично у себя
c:\Program Files\OpenSSL\bin>openssl rsautl -sign -in doc.txt -inkey certificate.pem -out sig
Полагаю даже новичок может отличить openssl cms от openssl rsautl. Как можно догадаться по названию rsautl предназначена для алгоритма RSA и ничего общего с гост не имеет, движок gostengy не задействуется при этой команде и формат имени ключа для gostengy команда не примет. Используйте cms. Смутно помню подписание гост также возможно еще одной командой, а все остальные вариации подписания под конкретные алгоритмы неэффективны для гост.

Во втором варианте с cms нужно правильно указать имя контейнера E:\TEST1811.000 не будет принято gostengy. скорее должно быть что-то вроде c:TEST1811 и так далее. Далее потому что TEST1811 в имени папки это первые 8 символов имени контейнера, а само имя может быть длинеее. правильное имя контейнера смотрите в Криптопро CSP

Отредактировано пользователем 13 декабря 2018 г. 14:02:19(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#472 Оставлено : 13 декабря 2018 г. 13:57:33(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: buytoor Перейти к цитате
Дмитрий,не ругайте строго.

Почти всё делаете правильно, не стоит при каждой ошибке бежать на форум, это некрасиво, читайте внимательно (перечитывайте при ошибках), полнота знаний вам предоставлена, осталось применить.

Знания в базе знаний, поддержка в техподдержке
Offline buytoor  
#473 Оставлено : 13 декабря 2018 г. 15:11:58(UTC)
buytoor

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2018(UTC)
Сообщений: 5
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 5 раз
Спасибо, two_oceans за подсказку. Да,действительно ошибся с именем контейнера.
Попробовал команду

c:\Program Files\OpenSSL\bin>openssl cms -sign -engine gostengy -keyform ENGINE -inkey TEST1811 -in C:\doc.txt -out C:\doc.signed.txt -outform DER -signer C:\certificate.pem

engine "gostengy" set.

cannot load signing key file from engine
8156:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file



Ошибка повторилась. Но предложенный вариант two_oceans оказался - рабочим.СПАСИБО БОЛЬШОЕ!!!!!!!!

Отредактировано пользователем 13 декабря 2018 г. 15:17:21(UTC)  | Причина: Не указана

Offline MultiAAB  
#474 Оставлено : 15 декабря 2018 г. 12:09:26(UTC)
MultiAAB

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.12.2018(UTC)
Сообщений: 2

Добрый день!

Подскажите, пожалуйста, в части cpopenssl(gostengy и gost_capi):

  1. Возможно ли увидеть набор тестов для openssl, которыми тестируются ваши доработки?
  2. Проводился ли ручной или автоматизированный сторонний аудит ваших доработок?
  3. Проводилось ли нагрузочное/стресс тестирование ваших доработок?
  4. Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
  5. Есть какая-то централизованная вики по вашим доработкам, кроме данного формума? Например, на github ?



Заранее благодарю!

Отредактировано пользователем 15 декабря 2018 г. 13:19:53(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#475 Оставлено : 15 декабря 2018 г. 19:46:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: MultiAAB Перейти к цитате
Подскажите, пожалуйста, в части cpopenssl(gostengy и gost_capi):

  1. Возможно ли увидеть набор тестов для openssl, которыми тестируются ваши доработки?
  2. Проводился ли ручной или автоматизированный сторонний аудит ваших доработок?
  3. Проводилось ли нагрузочное/стресс тестирование ваших доработок?
  4. Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
  5. Есть какая-то централизованная вики по вашим доработкам, кроме данного формума? Например, на github ?


  1. Нет
  2. Нет
  3. Да
  4. Да
  5. Нет


Знания в базе знаний, поддержка в техподдержке
Offline MultiAAB  
#476 Оставлено : 15 декабря 2018 г. 21:28:53(UTC)
MultiAAB

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.12.2018(UTC)
Сообщений: 2

Автор: Дмитрий Пичулин Перейти к цитате
Автор: MultiAAB Перейти к цитате
Подскажите, пожалуйста, в части cpopenssl(gostengy и gost_capi):

  1. Возможно ли увидеть набор тестов для openssl, которыми тестируются ваши доработки?
  2. Проводился ли ручной или автоматизированный сторонний аудит ваших доработок?
  3. Проводилось ли нагрузочное/стресс тестирование ваших доработок?
  4. Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
  5. Есть какая-то централизованная вики по вашим доработкам, кроме данного формума? Например, на github ?


  1. Нет
  2. Нет
  3. Да
  4. Да
  5. Нет




По пунктам 3 и 4 - результаты доступны в открытом доступе? Или, возможно, есть какие-нибудь тест-сьюты для воспроизведения?
Offline Дмитрий Пичулин  
#477 Оставлено : 16 декабря 2018 г. 3:41:47(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: MultiAAB Перейти к цитате
По пунктам 3 и 4 - результаты доступны в открытом доступе? Или, возможно, есть какие-нибудь тест-сьюты для воспроизведения?

Нет и нет.

Как вы могли заметить, мы не очень сильно продвигаем gostengy, так как не видим в этом направлении перспектив, поэтому данных не очень много и они все на форуме.

Скорости мы проверили, всё работает согласно ожиданиям, потерь производительности нет, скорость ровно такая, какую даёт КриптоПро CSP.

Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#478 Оставлено : 17 декабря 2018 г. 7:09:01(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: Дмитрий Пичулин Перейти к цитате
Цитата:
4.Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
Да
У меня почему-то было впечателение, что контейнер надо создавать в КриптоПро (через csptest например), а в openssl только использовать уже созданный. Для ясности: создаст ли КриптоПро контейнер при получении через engine команды на генерацию ключей?
Offline Дмитрий Пичулин  
#479 Оставлено : 17 декабря 2018 г. 10:23:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: two_oceans Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Цитата:
4.Можно ли оценить время общее время генерации ключей и открытия соединения в контексте openssl ?
Да
У меня почему-то было впечателение, что контейнер надо создавать в КриптоПро (через csptest например), а в openssl только использовать уже созданный. Для ясности: создаст ли КриптоПро контейнер при получении через engine команды на генерацию ключей?

Нет, этот вопрос в контексте gostengy и предыдущих вопросов, с большой вероятностью, подразумевает скорость установления рукопожатия по TLS, является стандартной мерой определяющей максимальное количество подключений пользователей в секунду.

А для ясности, да, через openssl + gostengy долговременные ГОСТ ключи создать нельзя никаким образом, только через КриптоПро CSP.

Отредактировано пользователем 17 декабря 2018 г. 10:23:59(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
two_oceans оставлено 18.12.2018(UTC)
Offline Iliyas_B  
#480 Оставлено : 18 декабря 2018 г. 16:38:12(UTC)
Iliyas_B

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.12.2018(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Добрый день. Пытаюсь подписать документ по госту с помощью openssl, но ничего не выходит. Пролистал кучу инфы на форуме, но все в единую картинку так и не складывается.
На убунте установлен Крипто про CSP 4 крипто провайде KC 2 и openssl с поддержкой библиотеки gost_capi. Установил сертификат командой:
Код:
certmgr -install -store uMy -file certificate.pem


Пытаюсь подписать файл командой:
Код:
/opt/cprocsp/cp-openssl/bin/amd64/openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "" -in "doc.txt" -out "sign.txt" -outform PEM -CAfile cert.cer -nodetach -signer cert.cer

Но получаю ошибку:
Код:
engine "gost_capi" set.
unable to load certificate
140428701611712:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: TRUSTED CERTIFICATE


Сертификат и закрытый ключ в формате pem был получен из СМЭВ для разработки информационной системы.
Я так понимаю, что я еще должен как-то при подписании использовать закрытый ключ, но судя по постам на форуме закрытый ключ в формате pem никак не затолкать в криптопро. Получается я должен как-то сгенирировать закрытый ключ?
Пардон за ламерские вопросы, но делах криптографии и шифровании я не разбираюсь и знания ограничиваются лишь нагугленной инфой.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
67 Страницы«<4647484950>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.