पब्लिक की इन्फ्रास्ट्रक्चर: सर्टिफिकेशन अथॉरिटी ओपनएसएसएल और SQLite3 यूटिलिटी पर आधारित (Postcryptum)

एक बयान के जवाब में गारेक्स द्वारा भेजे गए टिप्पणियों में से एक में:

लेकिन आज के ओपन संस्करण के मानक संस्करण में GOST R 34.11-2012 और GOST R 34.10-2012 दोनों का कोई समर्थन नहीं है। इसके अलावा, संस्करण 1.1 में, GOST क्रिप्टोग्राफी समर्थन को मानक वितरण से बाहर रखा गया है ("GOST इंजन पुराना था और इसलिए इसे हटा दिया गया है।"

यह कहा गया था:

ऐसा क्या नहीं है कि "हटा दिया गया था?" github.com/gost-engine/engine
बिल्ड उदाहरण : github.com/rnixik/docker-openssl-gost/blob/master/Dockerfile

CAFL63 CA के हिस्से के रूप में इस संस्करण के परीक्षण का निर्णय लिया गया। निर्दिष्ट बिल्ड उदाहरण का उपयोग करते हुए, ओपनएसएल और GOST इंजन को बिना किसी समस्या के ही इकट्ठा और स्थापित किया गया था (सब कुछ लिनक्स वातावरण में परीक्षण किया गया था और / usr / स्थानीय / एसएसएल निर्देशिका में स्थापित किया गया था)। स्वाभाविक रूप से, GOST क्रिप्टोग्राफी के साथ काम करने के लिए (हम GOST R 34.10-2012, GOST R 34.11-2012 के बारे में बात कर रहे हैं), आपको gs.so इंजन कनेक्शन को opensl.cnf कॉन्फ़िगरेशन फ़ाइल में पंजीकृत करने की आवश्यकता है:

. . # OpenSSL default section [openssl_def] engines = engine_section # Engine scetion [engine_section] gost = gost_section # Engine gost section [gost_section] engine_id = gost dynamic_path = /usr/local/ssl/lib/engines-1.1/gost.so default_algorithms = ALL CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet . . . 

आप कमांड चलाकर अतिथि इंजन के कनेक्शन की जांच कर सकते हैं:

 bash-4.3$ /usr/local/ssl/bin/openssl ciphers . . . GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89 . . . bash-4.3$ 

समर्थित GOST- आधारित हैश एल्गोरिदम देखने के लिए, बस निम्नलिखित कमांड चलाएँ:

 bash-4.3$ /usr/local/ssl/bin/openssl list –digest-algorithms| grep md_gost md_gost12_256 md_gost12_512 md_gost94 bash-4.3$ 

जैसा कि आप देख सकते हैं, इंजन से जुड़े के साथ खुलने के इस संस्करण में रूसी क्रिप्टोग्राफी के समर्थन के साथ, सब कुछ ठीक है।

यदि आप पहले से निर्मित सीए में खुलता उपयोगिता (उपकरण-> सेटिंग्स-> सिस्टम) कनेक्ट करते हैं, तो पहली नज़र में यह काम करेगा। आप अनुरोधों और प्रमाणपत्रों को देखने में सक्षम होंगे। इस स्थिति में, डीएन (प्रतिष्ठित नाम) (टीआईएन, पीएसआरएन, एसएनआईएलएस) में शामिल सभी क्षेत्रों को सही ढंग से प्रदर्शित किया जाता है। लेकिन यहां एक्सटेंशन जारी किए जा रहे हैं, जैसे कि जारीकर्तासाइनटूल, सब्जेक्ट्सटूल और अन्य, खुलने से इंकार करता है:



यह ध्यान दिया जाना चाहिए कि ये एक्सटेंशन SKEPEP (योग्य प्रमाणपत्र प्रमाणपत्र कुंजी इलेक्ट्रॉनिक हस्ताक्षर) का एक अभिन्न हिस्सा हैं, जिनके लिए आवश्यकताओं को 27 दिसंबर, 2011 एन 795 की संघीय सुरक्षा सेवा के आदेश द्वारा अनुमोदित किया गया है।

खुलता उपयोगिता का विश्लेषण से पता चला है कि यह एक्सटेंशन का समर्थन नहीं करता है isserSignTool, objectSignTools, और SKEPEP के लिए TK-26 द्वारा शुरू किए गए अन्य:

...
त्रुटि लोड हो रहा है अनुरोध एक्सटेंशन खंड v3_req
139974322407168: त्रुटि: 22097081: X509 V3 दिनचर्या: do_ext_nconf: अज्ञात एक्सटेंशन: crypto / x509v3 / v3_conf.c: 82:
139974322407168: त्रुटि: 22098080: X509 V3 दिनचर्या: X509V3_EXT_nconf: विस्तार में त्रुटि: crypto / x509v3 / v3_conf.c: 47: name = subjectSignTool, value = उपयोगकर्ता का नाम क्रिप्टोग्राफ़िक सूचना सुरक्षा प्रणाली
...
त्रुटि लोड हो रहा है अनुरोध एक्सटेंशन खंड v3_req
140154981721856: त्रुटि: 22097081: X509 V3 दिनचर्या: do_ext_nconf: अज्ञात एक्सटेंशन: crypto / x509v3 / v3_conf.c: 82:
140154981721856: त्रुटि: 22098080: X509 V3 दिनचर्या: X509V3_EXT_nconf: विस्तार में त्रुटि: crypto / x509v3 / v3_conf.c: 47: name = subjectSignTool, मूल्य = उपयोगकर्ता की क्रिप्टोग्राफ़िक सूचना सुरक्षा प्रणाली का नाम
...
त्रुटि लोड हो रहा है विस्तार अनुभाग cert_ext
140320065406720: त्रुटि: 0D06407A: asn1 एन्कोडिंग रूटीन: a2d_ASN1_OBJECT: पहली संख्या बहुत बड़ी: क्रिप्टो / asn1 / a_object.c: 61:
140320065406720: त्रुटि: 2208206E: X509 V3 दिनचर्या: r2i_certpol: अमान्य ऑब्जेक्ट पहचानकर्ता: crypto / x509v3 / v3_cpols.c: 135: अनुभाग:। नाम: KC1ClassSignTool, मूल्य:
140320065406720: त्रुटि: 22098080: X509 V3 दिनचर्या: X509V3_EXT_nconf: विस्तार में त्रुटि: crypto / x509v3 / v3_conf.c: 47: नाम = प्रमाणपत्रपॉलिटरी, मान = KC1ClassSignTool, KC2ClassSign
..

इस संबंध में, CAFL63 सीए ने भी ओपनएसएल के लिए अनुरोध बनाने और प्रमाण पत्र जारी करने से इनकार कर दिया, क्योंकि इसने CLEP की आवश्यकताओं के अनुपालन की कड़ाई से निगरानी की:



उसी समय, कभी-कभी ये आवश्यकताएं निरर्थक होती हैं, उदाहरण के लिए, शैक्षिक प्रक्रिया में प्रमाण पत्र का उपयोग करते समय, आंतरिक दस्तावेज़ प्रबंधन (हस्ताक्षर, दस्तावेज़ एन्क्रिप्शन) के लिए, कॉर्पोरेट सिस्टम (साइटें, पोर्टल आदि) के लिए https एक्सेस के लिए, तथाकथित, एसएसएल- प्रमाण पत्र)।
इसके आधार पर, CAFL63 का एक संशोधन किया गया था। अब यह संभव हो गया कि एक्सटेंशन फील्ड्स (टूल्स-> सेटिंग्स-> सिस्टम) को न भरें:



CAFL63 उपयोगिता आपको तृतीय-पक्ष अनुरोध (प्रमाण पत्र-> तृतीय-पक्ष प्रमाणपत्र या "प्रमाण पत्र" टैब पर "बाहरी X509" बटन देखें) की अनुमति देती है, लेकिन उसी दोष के साथ:



यह संशोधन आज कॉर्पोरेट उद्देश्यों, आदि के आयोजन के लिए शैक्षिक उद्देश्यों के लिए CAFF63 सीए का उपयोग करने की अनुमति देता है।

वह सब मैं पोस्टस्क्रिप्ट में कहना चाहता था।