Где такой ГОСТ модуль можно раздобыть?openssl 1.0 и выше с модулем гост...
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Это "обычный" тест, хорошо бы расширенным из тех тем криптопро погонять.Alex_04 пишет: Тест КК в КриптоПро на рабочей флешке пользователя и на флешке, куда восстановили исходный КК из его резервной копии, проходит на "ура" - значит с ним всё в поряде.
Это может выясниться если узнаем суть проблемы.Alex_04 пишет: Что можно сделать с Континентом TLS - ?
То есть у само джинна функции проверки нет, только через сайт. Как я и опасался - пока пропускаем шаг.Alex_04 пишет: Нормально ли в джинне - как узнать, коль до него дело не доходит?
Мысль в том, чтобы использовать другую программу для теста подключится ли к серверу ЭБ через нее или нет. Если подключится и 401 не будет, будет "200 ОК", то виноват Континент. Если не подключится или будет другая ошибка, то надо смотреть дальше в чем загвоздка.Alex_04 пишет: Не совсем понял мысль - поясните, плиз.
csptest -tlsc -server zakupki.gov.ru -file auth/secure -v
У меня есть сборка 1.0.2h с двумя такими модулями (один в комплекте был, второй от криптопро), ГОСТ-2001 поддерживают. от криптопро gost_capi для 2001, gostengy для 2012 ссылка на саму свежую библиотеку в конце второго сообщения темы и на последних страницах. примерно вот С 1.1 и ГОСТ-2012 пока руки не дошли разобраться.Blaze пишет:
Где такой ГОСТ модуль можно раздобыть?openssl 1.0 и выше с модулем гост...
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Очередные грабли, теперь уже от КриптоПро.Какие версии TLS поддерживаются?
TLS 1.0 (при использовании нашей версии OpenSSL можно использовать до TLS 1.2 включительно)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Blaze пишет: Решил у себя подружить "подружить" gost_capi с OpenSSL в Linux-е
Может быть я неправильно понял (давненько тему читал), но это вроде бы ограничение только для gost_capi, там различались реализации TLS и можно было не собирать их вариант полностью, а пропатчить "стандартный". Однако разработчики openssl культурно их послали и отказались менять структуру openssl из-за желания какой-то одной компании из России. Побочным результатом стало, что другую компанию предлагавшую основу для библиотеки из комплекта выкинули. КриптоПро не огорчились и выложили выложили уже пропатченный вариант. Так что сложно сказать от кого грабли. И gost_capi был ориентирован на криптопро 3.6, которое максимум TLS 1.0 и гост-2001 поддерживало. Также gostengy кажется допилили на работу с TLS 1.2 и гост-2012 за счет их поддержки в самой криптопро 4.0 и улучшили работу со "стандартной" версией openssl 1.1. Не то чтобы я КриптоПро защищаю, но когда не получилось изменить openssl они сделали выводы и улучшили совместимость с тем openssl что есть в новой переделанной версии. По крайней мере, так они заявляют, как уже писал, я лично gostengy пока не проверял.Blaze пишет: ...нужно собирать OpenSSL пакет из их репозитория... Иначе максимум TLS 1.0 по госту будет работать. Гениально
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
У меня openssl стандартный 100% - это же Slackware чистой воды.two_oceans пишет: Итого: в любом случае Linux ов много и не факт что версия openssl именно "стандартная", лучше бы использовать gostengy и на практике проверить есть ли поддержка гост TLS 1.2, а то может быть все действительно гениально и просто работает без всяких пересборок из криптопрошного репозитория.
# openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 174535 $)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Скорее всего так, но как обычно "есть нюансы". Вроде того, кто, когда, с какими опциями и каким компилятором собирал. Заранее все детали учесть сложно.Blaze пишет: У меня openssl стандартный 100% - это же Slackware чистой воды.
Определенно успех по сравнению с gost_capi. Не факт, что динамический модуль будет активен постоянно, но обычно срабатывает (если команда позволяет, перестраховываюсь и указываю). Список можно отфильтроватьBlaze пишет: Библиотека gostengy погрузилась и можно-ли это считать успехом
openssl ciphers | tr ":" "\n" | grep -i gost
openssl ciphers -v | findstr "GOST"
Затрудняюсь ответить, так как подробно не изучал поведение браузеров в Linux. Если браузеры используют системные библиотеки openssl и единый файл конфигурации, то по идее да.Blaze пишет: теперь я могу использовать любой браузер с ГОСТ шифрованием?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Если вы используете официальный OpenSSL, то в него закралась ошибка с инициализацией списка шифров, подробнее здесь: www.cryptopro.ru/forum2/default.aspx?g=posts&m=92961#post92961
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
root@porteus:~# openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 174535 $)
root@porteus:~# openssl ciphers | tr ":" "\n" | grep -i gost
GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89
root@porteus:~# openssl version -a
OpenSSL 1.1.0h 27 Mar 2018
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) md2(char) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -DZLIB -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DOPENSSLDIR="\"/etc/ssl\"" -DENGINESDIR="\"/usr/lib64/engines-1.1\"" -Wa,--noexecstack
OPENSSLDIR: "/etc/ssl"
ENGINESDIR: "/usr/lib64/engines-1.1"
root@porteus:~#
nmap --script ssl-enum-ciphers -p 443 zakupki.gov.ru
Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-27 13:54 Local time zone must be set--see zic manual page
Nmap scan report for zakupki.gov.ru (31.173.38.227)
Host is up (0.017s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
| TLSv1.0:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
| TLSv1.1:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
|_ least strength: unknown
Nmap done: 1 IP address (1 host up) scanned in 0.76 seconds
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
ERROR:ssl_client_socket_impl.cc(1314)] trying to load gostssl lib libgostssl.so
ERROR:ssl_client_socket_impl.cc(1319)] ok when trying to load gostssl lib
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -3072
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -3072
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -2
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -2
Здравствуйте.
Установлен Спутник браузер 3.2.1750.1 для x86_64
Проблема. В Спутник браузере 3.2.1750.1 для x86_64 не подгружается библиотека libgostssl.so Браузер выдает ошибки:
ERROR:ssl_client_socket_impl.cc(1314)] trying to load gostssl lib libgostssl.so
ERROR:ssl_client_socket_impl.cc(1319)] ok when trying to load gostssl lib
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -3072
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -3072
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -2
ERROR:ssl_client_socket_impl.cc(1142)] handshake failed; returned -1, SSL error code 1, net_error -2
Использую ГОСТ-овский OpenSSL 1.1.0h от фирмы КриптоПРО с библиотекой gostengy
# openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 174535 $)
# openssl ciphers | tr ":" "\n" | grep -i gost
GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89
# openssl version -a
OpenSSL 1.1.0h 27 Mar 2018
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) md2(char) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -DZLIB -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DOPENSSLDIR="\"/etc/ssl\"" -DENGINESDIR="\"/usr/lib64/engines-1.1\"" -Wa,--noexecstack
OPENSSLDIR: "/etc/ssl"
ENGINESDIR: "/usr/lib64/engines-1.1"
Судя по логу выше ГОСТ-ы и CryptoPro GostEngy подгружаются успешно.
Так же установлен КриптоПро CSP 5.0.11128 (Cerberus) от 8.06.2018
# csptest -keyset -verifycont
CSP (Type:80) v5.0.10001 KC1 Release Ver:5.0.11128 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 18348755
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Total: SYS: 0,050 sec USR: 0,000 sec UTC: 0,060 sec
[ErrorCode: 0x00000000]
Все серверные и корневые сертификаты www.roskazna.ru/gis/udostoveryayushhij-c...ornevye-sertifikaty/ установлены с помощью КриптоПро 5 в хранилище сертификатов uRoot - для корневых сертификатов Удостоверяющих Центров. Личные сертификаты установлены в uMy - для личных сертификатов.
Из-за этой ошибки не получается зайти в Личные кабинеты порталов
zakupki.gov.ru/auth/secure
bus.gov.ru/private
lk-fzs.roskazna.ru/private/requests/new
ssl.budgetplan.minfin.ru/bp/
Подскажите как исправить ошибку с libgostssl.so
Спасибо.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Устали ждать, поэтому пользователю пересоздали ЭЦП, с новосозданной он нормально зашел в ЭБ. Но при этом обращение не стали закрывать. И вот обращение было закрыто с комментарием приблизительно следующего содержания:Wmffre пишет: В моём казначействе такая ошибка
встретилась у одного сотрудника...401 Ошибка авторизации Описание: Ошибка установления защищенного канала по протоколу TLS Техническое описание: TCP соединение разорвано (TLS:1321, TLS:1179, TLS:258, TLS:309)
По этому поводу зарегистрировал проблему...
После представления затребованной информации проблему перевели в статус "Ожидание" с комментарием, что информация о проблеме передана вендору.
Только вот сотрудники отдела РСиБИ пока не в курсе, что у них есть Континент TLS Клиент версии 2.0 для выдачи. На FTP (Общероссийском) в локалке выложили дистрибутив (неполный, только инстоллятор и минимум документации) Континент_TLS_VPN_клиент_2.0.984. Пробовал его устанавливать в виртуалке (входить не пробовал, так как ЭЦП у меня нет) - там демо-период 14 дней, после которых необходимо запрашивать лицензию через интернет, либо лицензировать через файл ключа, а в противном случае, как написано в инструкции, работать Континент TLS Клиент через 14 дней перестанет.Для устранения проблемы необходимо обновить Континент TLS Клиент до версии 2.0. Для её получения необходимо обращаться в региональный отдел РСиБИ.
Устанавливать я попробавал сразу на Windows XP, установилось без ошибок, а как там в личном кабинете - не знаю, так как нет ЭЦП.Windows 10 (кроме выпуска Home Edition);
Windows 8.1;
Windows 7 SP1 (кроме выпусков Starter и Home Edition)
В TLS Client - User Guide эта информация подана так:Перед установкой ПО TLS-клиент должны быть установлены последние обновления ОС Windows.
Windows XP SP3 в моей виртуалке был полностью обновлен, так что ошибок при инсталляции не былоВнимание! До начала инсталляции ПО TLS-клиента должны быть установлены последние обновления ОС Windows. Иначе в процессе установки TLS-клиента появится сообщение об ошибке и инсталляция будет прервана.
В системных требованиях также указана возможность использовать в качестве ключевых носителей идентификаторы DS1995, DS1996, раньше такой возможности не было.22. Если на компьютере используется UEFI с возможностью включения/отключения опции безопасной загрузки (Secure Boot), перед установкой TLS-клиента данную опцию необходимо отключить. В противном случае установка TLS-клиента завершится с ошибкой.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Что-то вообще не открывается тема. Зарегистрировался, вошел, перешел снова и все равно на оглавление перенаправляет.Blaze пишет: Кстати, по этому вопросу я писал в теме zakupki.gov.ru/forum/posts/list/454701.page (требуется регистрация)
Ну вот про это я и говорил "если браузер использует системную openssl и единый файл настроек". По названию очень похоже, что это аналог libssl от Спутника. По логу она загружается успешно, но не работает.Blaze пишет: в /opt/sputnik-browser/ лежит библиотека libgostssl.so но она не подгружается, хотя я ее добавил в загрузку принудительно.
То есть вариант "Сделать что-то с континентом" тоже может решить проблему? Хорошо бы это проверить.Для устранения проблемы необходимо обновить Континент TLS Клиент до версии 2.0.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
У библиотек разный весСайт zakupki.gov.ru отправил недействительный ответ.
ERR_SSL_PROTOCOL_ERROR
# du -h /opt/sputnik-browser/libgostssl.so
64K /opt/sputnik-browser/libgostssl.so
# du -h /lib64/libssl.so.1.1
452K /lib64/libssl.so.1.1
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Подробнее...