Stunnel के साथ GOST-2012 एल्गोरिदम के अनुसार टीएलएस ट्रैफ़िक का एन्क्रिप्शन

इस लेख में मैं यह दिखाना चाहता हूं कि टीएलएस प्रोटोकॉल में रूसी क्रिप्टोग्राफिक एल्गोरिदम का उपयोग करने के लिए स्टुनेल को कैसे कॉन्फ़िगर किया जाए। एक बोनस के रूप में, मैं दिखाऊंगा कि रुतोकन ईडीएस 2.0 क्रिप्टो कोर में लागू GOST एल्गोरिदम का उपयोग करके एक टीएलएस चैनल को कैसे एन्क्रिप्ट किया जाए।

लेकिन सबसे पहले, आइए जानें कि स्टुनेल क्या है। संक्षेप में - यह एक कार्यक्रम है जिस पर आप सर्वर और क्लाइंट के बीच ट्रैफ़िक एन्क्रिप्शन के संपूर्ण तर्क को स्थानांतरित कर सकते हैं। यह निम्नानुसार किया जाता है: मान लें कि आपके पास एक क्लाइंट और एक सर्वर है जो एन्क्रिप्शन, प्रमाणीकरण और अखंडता जाँच का उपयोग किए बिना एक दूसरे के साथ संवाद करते हैं। आप क्लाइंट और सर्वर को फिर से लिख सकते हैं ताकि इन सभी बिंदुओं को ध्यान में रखते हुए सभी आउटगोइंग और इनकमिंग मैसेज आपस में ट्रांसमिट हो जाएं, लेकिन अगर आप किसी अन्य एप्लिकेशन के कंधों पर इसे स्थानांतरित कर सकते हैं तो ऐसी मुश्किलें क्यों? इस समस्या को हल करने के लिए, स्टनेल सही है।

आपको बस क्लाइंट को कॉन्फ़िगर करने की आवश्यकता है ताकि उसके सभी ट्रैफ़िक को क्लाइंट Stunnel को प्रेषित किया जा सके, बदले में, यह सर्वर से सुरक्षित कनेक्शन स्थापित करता है, सर्वर Stunnel को डेटा भेजता है। सर्वर पर स्टनलाइन आने वाले ट्रैफ़िक को कम कर देता है और डेटा को सर्वर इनपुट पर रीडायरेक्ट करता है। ऊपर इस आरेख को देखकर महसूस करना आसान है।

यह ध्यान देने योग्य है कि क्रिप्टोग्राफ़िक एल्गोरिदम के साथ काम करने के लिए सर्वर को वास्तव में Stunnel नहीं होना चाहिए। यह बहुत अच्छा है कि तैयार किए गए प्रदर्शन खड़े हैं जो रूसी क्रिप्टोग्राफी का समर्थन करते हैं, जिनमें से एक सूची रूसक्रीप्टो'2019 के साथ प्रस्तुति में है।

हमें ऐसे स्थिर सर्वरों की आवश्यकता है जो दो-तरफ़ा प्रमाणीकरण प्रदान करते हैं।
हमने GOST TLS मानक के पूर्ण कार्यान्वयन के साथ CryptoPro सर्वरों को सबसे विश्वसनीय चुना है। उसके लिए उन्हें धन्यवाद :)

यह काफी सरल लगता है, आइए इस प्रक्रिया को व्यवस्थित करने का प्रयास करें।

प्रारंभिक कदम

हमें आवश्यकता होगी:

1. OpenSSL
2. stunnel
3. rtengine
4. टीएलएस कनेक्शन को सत्यापित करने के लिए CryptoPro परीक्षण सर्वर तक पहुंच

विंडोज के लिए ओपनएसएसएल यहां से लिया जा सकता है , और लिनक्स उपयोगकर्ताओं के लिए - रिपॉजिटरी से, या यहां से नवीनतम संस्करण डाउनलोड करके खुद को इकट्ठा किया जा सकता है । यह रूट्सोकन एसडीके से भी लिया जा सकता है, ओप्सनल \ ओप्सनल -टूल -१.१ डायरेक्टरी से, यह आर्काइव हमारे लिए उपयोगी होगा, जैसे कि यह हमारे लिए ब्याज की rtengine शामिल है। Stunnel यहाँ पाया जा सकता है । संस्करण> = 5.56 ऑपरेशन के लिए आवश्यक है।

आप Rutengen को Rutoken SDK से डाउनलोड कर सकते हैं, यह Opensl \ rtengine \ bin डायरेक्टरी में निहित है। आपको इसे ड्रॉप करने की आवश्यकता है जहां सभी ओपनसेल इंजन संग्रहीत हैं। आप उनके उपयोग का तरीका पा सकते हैं

openssl.exe version -a 

लेकिन केवल वांछित फ़ोल्डर में इंजन को स्थानांतरित करना पर्याप्त नहीं है, आपको अभी भी इसके साथ काम करने के लिए खुद को ओप्सनल कॉन्फ़िगर करने की आवश्यकता है। हमें पता चलता है कि कॉन्फ़िगरेशन फ़ाइल कहाँ से खुलती है ।lnf ऊपर के समान कमांड के साथ स्थित है (विंडोज स्टनलाइन के तहत ओपनसेल का अपना संस्करण आता है, इसलिए कॉन्फ़िगरेशन फ़ाइल पथ में \ stunnel \ config \ opensl.nf पर निहित है।

 #   : openssl_conf = openssl_def ... #   : # OpenSSL default section [openssl_def] engines = engine_section [engine_section] rtengine = rtengine_section [rtengine_section] engine_id = rtengine dynamic_path = /path/to/rtengine.so MODULE_PATH = /usr/lib/librtpkcs11ecp.so default_algorithms = CIPHERS, DIGEST, PKEY, RAND 

आइए सत्यापित करें कि Rtengine जुड़ा हुआ है, इसके लिए हम एक टोकन कनेक्ट करते हैं और सभी एन्क्रिप्शन एल्गोरिदम को सूचीबद्ध करते हैं:

 openssl ciphers -v 

मुझे आपको याद दिलाना है कि विंडोज में आपको ओपनसेल के लिए जांच करने की आवश्यकता है, जो स्टनलाइन के बगल में है
यदि उनके बीच हमारे GOSTs मौजूद होंगे, तो सब कुछ सही ढंग से सेट किया गया है।

सबसे दिलचस्प समय आ गया है: GOST परीक्षण सर्वर CryptoPro के साथ कनेक्शन की जाँच करना। इन सर्वरों की एक सूची यहाँ वर्णित है ( https://www.cryptopro.ru/products/csp/tc26tls )। इनमें से प्रत्येक सर्वर प्रमाणीकरण और एन्क्रिप्शन के लिए अपने स्वयं के एल्गोरिदम के साथ काम करता है। इसके अलावा, बंदरगाहों पर 443, 1443, 2443, ... सेवाओं को लॉन्च किया जाता है जो केवल कुछ मापदंडों को स्वीकार करते हैं। इसलिए, उदाहरण के लिए, http://tlsgost-256auth.cryptopro.ru पर एन्क्रिप्शन को एल्गोरिदम GOST2012-GOST8912-GOST8912 और 256-बिट कुंजी का उपयोग करके प्रमाणीकरण के साथ किया जाता है। इसके अलावा, पोर्ट 443 XchA-ParamSet का उपयोग करता है, पोर्ट 1443 XchB-ParamSet का उपयोग करता है, पोर्ट 2443 A-ParamSet का उपयोग करता है, आदि।

अब जब हमें पता है कि हमें किस कुंजी की आवश्यकता है, तो आइए हम परीक्षण सर्वर से रूट प्रमाणपत्र प्राप्त करते हैं, काम के लिए कुंजियों को काम करते हैं, और हमारे प्रमाणपत्र के लिए अनुरोध पर हस्ताक्षर करते हैं।

सरल तरीका (विंडोज और लिनक्स के तहत काम करता है)

1. रूट प्रमाणपत्र प्राप्त करने के लिए, हम परीक्षण CA LLC "CRIPTO-PRO" की साइट पर जाएंगे । और एक प्रमाण पत्र प्राप्त करने के लिए बटन पर क्लिक करें। एक नया टैब दिखाई देगा, जिस पर आपको बेस 64 एन्क्रिप्शन विधि का चयन करना होगा और "डाउनलोड सीए प्रमाण पत्र" बटन पर क्लिक करना होगा। परिणामी certnew.cer फ़ाइल सहेजी गई है।
2. लिंक का अनुसरण करें । हमारे द्वारा अनुरोधित सभी प्लगइन्स इंस्टॉल करें। हम "कुंजी बनाएं" बटन पर क्लिक करें, और पीढ़ी के लिए एल्गोरिथ्म "GOST R 34.10-2012 256-बिट" का चयन करें। अगला, एक प्रमाणपत्र अनुरोध बनाएं, कॉलम "एप्लिकेशन" में आप सब कुछ चुन सकते हैं। अतिरिक्त एप्लिकेशन कॉलम में: क्लाइंट प्रमाणीकरण और क्रिप्टोकरंसी पंजीकरण केंद्र उपयोगकर्ता।
3. हम फिर से परीक्षण CA की साइट खोलते हैं, लेकिन इस बार हम बटन पर क्लिक करते हैं "तैयार अनुरोध PKCS # 10 या PKCS # 7 Base64 में एन्कोडेड" । हम अपने अनुरोध की सामग्री को फ़ील्ड में पेस्ट करते हैं, "इश्यू" बटन पर क्लिक करते हैं और Base64 प्रारूप में user.crt प्रमाणपत्र लोड करते हैं। परिणामी फ़ाइल सहेज ली गई है।

वाया कमांड लाइन

1. रूट प्रमाणपत्र प्राप्त करने के लिए, हम परीक्षण CA LLC "CRIPTO-PRO" की साइट पर जाएंगे । और एक प्रमाण पत्र प्राप्त करने के लिए बटन पर क्लिक करें। एक नया टैब दिखाई देगा, जिसमें आपको बेस 64 एन्क्रिप्शन विधि का चयन करना होगा और "डाउनलोड सीए प्रमाण पत्र" बटन पर क्लिक करना होगा। परिणामी certnew.cer फ़ाइल सहेजी गई है।

   
   

2. अब चाबी उत्पन्न करें।

   
   

    pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type GOSTR3410-2012-256:B -l --id 45 # 45 --   ASII id  (E) 

   
   

   यह ध्यान देने योग्य है कि टोकन पर उत्पन्न कुंजियों को टोकन से कॉपी नहीं किया जा सकता है। यह उनके उपयोग के मुख्य लाभों में से एक है।

   
   

3. प्रमाणपत्र अनुरोध बनाएँ:

   
   

    openssl req -engine rtengine -new -key="pkcs11:id=E" -keyform engine -out client.req 

   
   

4. हम फिर से परीक्षण CA की साइट खोलते हैं, लेकिन इस बार हम बटन पर क्लिक करते हैं "तैयार अनुरोध PKCS # 10 या PKCS # 7 Base64 में एन्कोडेड" । हम अपने अनुरोध की सामग्री को फ़ील्ड में पेस्ट करते हैं, इश्यू बटन पर क्लिक करते हैं और Base64 प्रारूप में user.crt प्रमाणपत्र अपलोड करते हैं। परिणामी फ़ाइल सहेज ली गई है।

   
   

आखिरी सवाल था: यह सब क्यों है ??? हमें ये सभी प्रमाणपत्र, कुंजियाँ और अनुरोध क्यों मिले?

तथ्य यह है कि उन्हें दो तरफ़ा प्रमाणीकरण के लिए टीएलएस प्रोटोकॉल की आवश्यकता होती है। यह बहुत सरलता से काम करता है।

हमारे पास एक सर्वर प्रमाणपत्र है, और हम इसे विश्वसनीय मानते हैं।

हमारा क्लाइंट इस बात की पुष्टि करता है कि जिस सर्वर के साथ हम काम कर रहे हैं उसके पास एक समान प्रमाणपत्र है।
सर्वर यह सुनिश्चित करना चाहता है कि वह उस उपयोगकर्ता के साथ काम करे जिसे वह जानता है। इसके लिए, हमने अपनी कुंजियों के माध्यम से काम करने के लिए एक प्रमाणपत्र अनुरोध बनाया।

हमने यह अनुरोध भेजा है और सर्वर ने अपने डिजिटल हस्ताक्षर के साथ इस पर हस्ताक्षर किए हैं। अब हम इस प्रमाण पत्र को हर बार प्रस्तुत कर सकते हैं, जो रूट CA द्वारा हस्ताक्षरित है, जिससे यह पुष्टि होती है कि हम हैं।

Stunnel को कॉन्फ़िगर करना

यह केवल हमारी सुरंग को ठीक से कॉन्फ़िगर करने के लिए बनी हुई है। ऐसा करने के लिए, डिफ़ॉल्ट Stunnel सेटिंग्स के साथ एक stunnel.conf फ़ाइल बनाएं और वहां निम्नलिखित लिखें:

 ;      - debug = 7 output = /path/to/stunnel.log ;    TLSv1 sslVersion=TLSv1 ;  . engine=rtengine ;     [remote system] client=yes ;  engine,     engineId=rtengine ;   2 (  ) verify = 2 ;     CAFile = /path/to/certnew.cer ;     cert=/path/to/user.crt ;     . key=pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.;id=E ;   Stunnel      accept = localhost:8080 connect = tlsgost-256auth.cryptopro.ru:2443 

अब, यदि सब कुछ सही ढंग से किया जाता है, तो आप हमारे कॉन्फ़िगरेशन के साथ स्टुनेल शुरू कर सकते हैं और सर्वर से कनेक्ट कर सकते हैं:

 stunnel.exe /path/to/stunnel.conf 

ब्राउज़र खोलें और लोकलहोस्ट पर जाएं: 8080। यदि सब कुछ सही है, तो निम्नलिखित प्रदर्शित किया जाएगा:

यदि नहीं, तो हम लॉग को देखते हैं और डिबगर का उपयोग करके समझते हैं कि समस्या सभी समान है।

यदि आपके कोई प्रश्न हैं, तो आप टिप्पणी में आपका स्वागत है :)