في أحد التعليقات التي أرسلتها شركة
garex رداً على
بيان :
ولكن اليوم في الإصدار القياسي من opensl لا يوجد دعم لكل من GOST R 34.11-2012 و GOST R 34.10-2012. علاوة على ذلك ، في الإصدار 1.1 ، يتم استبعاد دعم تشفير GOST من التسليم القياسي ("كان محرك GOST قديمًا وبالتالي تمت إزالته.")
قيل:
ما الذي لا يعجبه هذا الذي "تمت إزالته؟" github.com/gost-engine/engine
مثال بناء: github.com/rnixik/docker-openssl-gost/blob/master/Dockerfile
تقرر اختبار هذا الإصدار من
opensl كجزء من
CAFL63 CA. باستخدام مثال البناء المحدد ، تم فتح opensl ومحرك GOST نفسه وتثبيته دون أي مشاكل (تم اختبار كل شيء في بيئة Linux وتثبيته في الدليل / usr / local / ssl). بطبيعة الحال ، للعمل مع تشفير GOST (نحن نتحدث عن GOST R 34.10-2012 ، GOST R 34.11-2012) ، تحتاج إلى تسجيل اتصال محرك gost.so في ملف التكوين openssl.cnf:
. .
يمكنك التحقق من اتصال محرك الضيف بتشغيل الأمر:
bash-4.3$ /usr/local/ssl/bin/openssl ciphers . . . GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89 . . . bash-4.3$
لعرض خوارزميات التجزئة المعتمدة على GOST ، فقط قم بتشغيل الأمر التالي:
bash-4.3$ /usr/local/ssl/bin/openssl list –digest-algorithms| grep md_gost md_gost12_256 md_gost12_512 md_gost94 bash-4.3$
كما ترون ، مع دعم التشفير الروسي في هذا الإصدار من opensl مع توصيل المحرك ، كل شيء على ما يرام.
إذا قمت بتوصيل الأداة opensl (الأدوات-> الإعدادات-> النظام) في المرجع المصدق الذي تم إنشاؤه مسبقًا ، فستعمل للوهلة الأولى. ستتمكن من عرض كل من الطلبات والشهادات. في هذه الحالة ، يتم عرض جميع الحقول المضمنة في الاسم المميز (الاسم المميز) (TIN ، PSRN ، SNILS) بشكل صحيح. ولكن فيما يلي ملحقات ، مثل issuerSignTool و subjectSignTool وغيرها ، يرفض opensl ذكر:
وتجدر الإشارة إلى أن هذه الإضافات هي جزء لا يتجزأ من SKEPP (التحقق المؤهل لشهادة التوقيعات الإلكترونية) ، والمتطلبات التي تمت الموافقة عليها بأمر من خدمة الأمن الفيدرالية بتاريخ 27 ديسمبر 2011 N 795.
أظهر تحليل الأداة المساعدة opensl أنها لا تدعم ملحقات isserSignTool و objectSignTools وغيرها المقدمة بواسطة TK-26 لـ SKEPEP:
...
خطأ في تحميل قسم ملحق الطلب v3_req
139974322407168: خطأ: 22097081: إجراءات X509 V3: do_ext_nconf: امتداد غير معروف: crypto / x509v3 / v3_conf.c: 82:
139974322407168: خطأ: 22098080: إجراءات X509 V3: X509V3_EXT_nconf: خطأ في الامتداد: crypto / x509v3 / v3_conf.c: 47: name = subjectSignTool ، value = اسم نظام حماية معلومات تشفير المستخدم
...
خطأ في تحميل قسم ملحق الطلب v3_req
140154981721856: خطأ: 22097081: إجراءات X509 V3: do_ext_nconf: امتداد غير معروف: crypto / x509v3 / v3_conf.c: 82:
140154981721856: خطأ: 22098080: إجراءات X509 V3: X509V3_EXT_nconf: خطأ في الامتداد: crypto / x509v3 / v3_conf.c: 47: name = subjectSignTool ، value = اسم نظام حماية معلومات تشفير المستخدم
...
خطأ في تحميل قسم الامتداد cert_ext
140320065406720: خطأ: 0D06407A: إجراءات ترميز asn1: a2d_ASN1_OBJECT: الرقم الأول كبير جدًا: crypto / asn1 / a_object.c: 61:
140320065406720: خطأ: 2208206E: إجراءات X509 V3: r2i_certpol: معرف كائن غير صالح: crypto / x509v3 / v3_cpols.c: 135: section: ، name: KC1ClassSignTool ، القيمة:
140320065406720: خطأ: 22098080: إجراءات X509 V3: X509V3_EXT_nconf: خطأ في الامتداد: crypto / x509v3 / v3_conf.c: 47: name = CertificatePolicies، value = KC1ClassSignTool، KC2ClassSignTool
..
في هذا الصدد ، رفضت CAFL63 CA أيضًا إنشاء طلبات وإصدار شهادات لـ opensl ، نظرًا لأنها كانت تراقب بدقة الامتثال لمتطلبات CLEP:
في الوقت نفسه ، تكون هذه المتطلبات أحيانًا زائدة عن الحاجة ، على سبيل المثال ، عند استخدام الشهادات في العملية التعليمية ، لإدارة المستندات الداخلية (التوقيع ، تشفير المستند) ، للوصول https إلى أنظمة الشركة (المواقع ، البوابات ، وما إلى ذلك ، ما يسمى بـ SSL- الشهادات).
وبناءً على ذلك ، تم إجراء مراجعة لـ CAFL63. أصبح من الممكن الآن عدم ملء حقول التمديد (أدوات-> إعدادات-> النظام):
تتيح لك الأداة CAFL63 عرض طلبات الطرف الثالث (الشهادات-> عرض شهادة الطرف الثالث أو الزر "عرض X509 الخارجي" في علامة التبويب "الشهادات") ولكن بنفس العيب:
تسمح هذه المراجعة اليوم باستخدام
CAFF63 CA للأغراض التعليمية ، وتنظيم سير العمل في الشركات ، وما إلى ذلك.
هذا كل ما أردت قوله في الملحق.