SSL ГОСТ и x.509

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

SSL ГОСТ и x.509

Опции

Предыдущая тема Следующая тема

partyzan		#1 Оставлено : 20 декабря 2015 г. 22:39:51(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 20.12.2015(UTC) Сообщений: 2		Здравствуйте уважаемые! Есть задача общаться с сервером с помощью SAOP. Алгоритмы шифрования реализованы на ГОСТ. С помощью великого гугла, и не менее великого яндекса, были найдены вроде-бы рабочие решения (еще не проверял). Но проблема возникла в соединении с самим сервером. Он использует SSL с ГОСТовскими криптоалгоритмами. И вроде бы тоже есть решение (например тут), но мне надо не хранить сертификат на сервере, а получать его у клиента. Т.е, схема думаю будет вроде такой: делаю запрос к серверу по ssl, он требует клиентский сертификат, я требую этот сертификат у пользователя и перенаправляю его серверу. Реальна такая схема? кто нибудь реализовывал что-то подобное? Могу рассмотреть недорогие коммерческие реализации для Linux


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Максим Коллегин		#2 Оставлено : 21 декабря 2015 г. 9:23:24(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 720 раз в 624 постах		Реализовать атаку Mаn-in-the-middle? Нужен как минимум собственный серверный сертификат, которому бы доверял клиент.
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#3 Оставлено : 21 декабря 2015 г. 9:31:04(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,712 Сказал «Спасибо»: 574 раз Поблагодарили: 2303 раз в 1804 постах		Автор: partyzan Здравствуйте уважаемые! Есть задача общаться с сервером с помощью SAOP. Алгоритмы шифрования реализованы на ГОСТ. С помощью великого гугла, и не менее великого яндекса, были найдены вроде-бы рабочие решения (еще не проверял). Но проблема возникла в соединении с самим сервером. Он использует SSL с ГОСТовскими криптоалгоритмами. И вроде бы тоже есть решение (например тут), но мне надо не хранить сертификат на сервере, а получать его у клиента. Т.е, схема думаю будет вроде такой: делаю запрос к серверу по ssl, он требует клиентский сертификат, я требую этот сертификат у пользователя и перенаправляю его серверу. Реальна такая схема? кто нибудь реализовывал что-то подобное? Могу рассмотреть недорогие коммерческие реализации для Linux >я требую этот сертификат Это другой сервер или приложение, в котором работает пользователь (аналог: браузер и двусторонняя аутентификация - по сертификатам)?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

partyzan		#4 Оставлено : 21 декабря 2015 г. 19:59:09(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 20.12.2015(UTC) Сообщений: 2		Ну получается что сервер с двусторонней аутентификацией. Т.е что бы открыть "канал связи" SSL, мы должны показать серверу нужный сертификат. На браузере да и десктопным приложением все получается хорошо. Однако встала задача чтобы общался сервер на linux, с другим сервером с двусторонней аутентификацией. Я если честно прям не очень хорошо в криптографических алгоритмах разбираюсь, но хотелось сделать что-то вроде прокси. Немного другими словами, как я себе это представляю: 1. Обращаемся к серверу по SSL, он говорит вот тебе мой сертификат, покажи свой. 2. Я говорю- "мне все равно на твой сертификат, я тебе доверяю и так." (ну или даже проверку можно сделать) 3. Так как у меня нет собственного "пользовательского" сертификата, то я выдаю запрос клиенту через веб приложение - "покажи свой сертификат" 4. Получаю сертификат и показываю его другому серверу и он пускает на защищенный канал. Пункты 3-4 по идее можно было бы сделать, если подписывать какие-то данные. Например удаленный сервер говорит подпиши мне такие-то данные. Я прошу у пользователя - подпиши мне такие данные. Пользователь подписывает и я отправляю удаленному серверу. Или как-то отправлять открытый ключ от пользователя. Я к сожалению плохо знаю внутренности двусторонней аутентификации, в плане кто кому какие байты шлет и что на них надо ответить. Так же в плане серверного сертификата, я хотел нагенерировать серификаты openssll. А в дальнейшем можно купить и полноценный ssl сертификат P.S. Получается задача похожа на Man-in-the-middle, но только в хороших целях. Отредактировано пользователем 21 декабря 2015 г. 20:04:42(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#5 Оставлено : 20 января 2016 г. 11:08:26(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 720 раз в 624 постах		Думаю, Вам хватит для указанной задачи нашего доработанного stunnel. Входит в дистрибутив Linux CSP.
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close