Em um dos comentários enviados pela
garex , em resposta a uma
declaração :
Hoje, porém, na versão padrão do openssl, não há suporte para o GOST R 34.11-2012 e o GOST R 34.10-2012. Além disso, na versão 1.1, o suporte à criptografia GOST é excluído da entrega padrão ("O mecanismo GOST estava desatualizado e, portanto, foi removido").
foi dito:
O que não gosta deste que "foi removido"? github.com/gost-engine/engine
Exemplo de compilação: github.com/rnixik/docker-openssl-gost/blob/master/Dockerfile
Decidiu-se testar esta versão do openssl como parte do
CAFL63 CA. Usando o exemplo de construção especificado, o openssl em si e o mecanismo GOST foram montados e instalados sem problemas (tudo foi testado no ambiente Linux e instalado no diretório / usr / local / ssl). Naturalmente, para trabalhar com a criptografia GOST (estamos falando do GOST R 34.10-2012, GOST R 34.11-2012), é necessário registrar a conexão do mecanismo gost.so no arquivo de configuração openssl.cnf:
. .
Você pode verificar a conexão do mecanismo convidado executando o comando:
bash-4.3$ /usr/local/ssl/bin/openssl ciphers . . . GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89 . . . bash-4.3$
Para visualizar os algoritmos de hash baseados em GOST, basta executar o seguinte comando:
bash-4.3$ /usr/local/ssl/bin/openssl list –digest-algorithms| grep md_gost md_gost12_256 md_gost12_512 md_gost94 bash-4.3$
Como você pode ver, com o suporte da criptografia russa nesta versão do openssl com o mecanismo conectado, está tudo bem.
Se você conectar o utilitário openssl (Ferramentas-> Configurações-> Sistema) na CA criada anteriormente, à primeira vista, ele funcionará. Você poderá visualizar solicitações e certificados. Nesse caso, todos os campos incluídos no DN (nome distinto) (TIN, PSRN, SNILS) são exibidos corretamente. Mas aqui estão extensões, como issuerSignTool, subjectSignTool e outras, openssl se recusa a mencionar:
Deve-se observar que essas extensões são parte integrante do SKEPEP (verificação qualificada por chave de certificado de assinaturas eletrônicas), cujos requisitos são aprovados por ordem do Serviço de Segurança Federal de 27 de dezembro de 2011 N 795.
A análise do utilitário openssl mostrou que ele não suporta as extensões isserSignTool, objectSignTools e outras introduzidas pelo TK-26 para SKEPEP:
...
Erro ao carregar a seção de extensão de solicitação v3_req
139974322407168: erro: 22097081: rotinas X509 V3: do_ext_nconf: extensão desconhecida: crypto / x509v3 / v3_conf.c: 82:
139974322407168: erro: 22098080: rotinas X509 V3: X509V3_EXT_nconf: erro na extensão: crypto / x509v3 / v3_conf.c: 47: name = subjectSignTool, value = Nome do sistema de proteção de informações criptográficas do usuário
...
Erro ao carregar a seção de extensão de solicitação v3_req
140154981721856: erro: 22097081: rotinas X509 V3: do_ext_nconf: extensão desconhecida: crypto / x509v3 / v3_conf.c: 82:
140154981721856: erro: 22098080: rotinas X509 V3: X509V3_EXT_nconf: erro na extensão: crypto / x509v3 / v3_conf.c: 47: name = subjectSignTool, value = Nome do sistema de proteção de informações criptográficas do usuário
...
Erro ao carregar a seção de extensão cert_ext
140320065406720: erro: 0D06407A: rotinas de codificação asn1: a2d_ASN1_OBJECT: primeiro num muito grande: crypto / asn1 / a_object.c: 61:
140320065406720: erro: 2208206E: rotinas X509 V3: r2i_certpol: identificador de objeto inválido: crypto / x509v3 / v3_cpols.c: 135: section :, name: KC1ClassSignTool, valor:
140320065406720: erro: 22098080: rotinas X509 V3: X509V3_EXT_nconf: erro na extensão: crypto / x509v3 / v3_conf.c: 47: nome = certificatePolicies, valor = KC1ClassSignTool, KC2ClassSignTool
..
Nesse sentido, o CAFL63 também se recusou a criar solicitações e emitir certificados para o openssl, pois monitorava estritamente a conformidade com os requisitos do CLEP:
Ao mesmo tempo, algumas vezes esses requisitos são redundantes, por exemplo, ao usar certificados no processo educacional, para gerenciamento interno de documentos (assinatura, criptografia de documentos), para acesso https a sistemas corporativos (sites, portais, etc., os chamados SSL- certificados).
Com base nisso, foi realizada uma revisão do CAFL63. Agora tornou-se possível não preencher os campos de extensão (Ferramentas-> Configurações-> Sistema):
O utilitário CAFL63 permite exibir solicitações de terceiros (Certificados-> Exibir um certificado de terceiros ou o botão "Visualizar X509 externo" na guia "Certificados"), mas com a mesma desvantagem:
Hoje, essa revisão permite usar o
CAFF63 CA para fins educacionais, para organizar o fluxo de trabalho corporativo etc.
Era tudo o que eu queria dizer no postscript.