openvpn с криптографией гост

2022 год это старое?
openvpn-2.4.9 - не так уж и старый.
с openvpn-2.5 оно тоже работает.

Где-то есть инструкция как гост прикручивается к openssl и openvpn без явной привязки к дистрибутиву.

Если ты умеешь настраивать openvpn, то прикрутить туда гост несложно.

openvpn

Это «иностранный» или «отечественный» протокол?

В том объявлении скорее всего не про криптографию. Если боишься что твой впн попадёт под бан, то способы уменьшить вероятность, думаю, такие:

1) в безусловно первую очередь - исключить участие иностранных хостов

2) если у тебя софт из гос реестра и с сертификатами от органов - скорее всего тоже будет плюсом

Конкретные криптографические алгоритмы скорее всего на ситуацию не влияют.

Уточню, то объявление - для предприятий, которые используют впн по назначению - для объединения сетей своих филиалов в единую защищённую виртуальную сеть, и суть его в том, что «мы сейчас будем бороться с нежелательными личностями (которые организуют незаконный транзит трафика через границу), можем вас случайно задеть, вот вам рекомендация как не попасть под это дело».

объявление - для предприятий, которые используют впн по назначению

Гражданин (частное лицо) может организовать защищенную сеть для использования по назначению (для тайны переписки и иных сообщений)?

В объявлении просят в случае чего писать им на почту с указанием наименования организации, так что адресовано это объявление однозначно юрлицам. А так, частное лицо конечно может создавать себе виртуальные сети, но ркну на это и на их потенциальные проблемы полностью плевать и даже предупреждать их ни о чём он не собирается.

для тайны переписки и иных сообщений

Отдельно скажу, что использовать для этого впн - не особо хорошее решение (избыточное и нецелевое). Лучше всё-таки шифрование на уровне соединения, которое во всех современных мессенджерах, включая селфхостовых, и так есть.

(Социальная) сеть для ограниченного круга лиц ничем не отличается от частной, она же приватной, сети. И то и другое можно виртуализировать/туннелировать поверх публичных (социальных) сетей.

но ркну на это и на их потенциальные проблемы полностью плевать

То есть пользователи публичных сетей могут совершенно законно требовать от провайдеров решение этих проблем, так как их официально не предупреждали.

использовать для этого впн - не особо хорошее решение (избыточное и нецелевое)

«Последняя миля» - это в основном впн.

То есть пользователи публичных сетей могут совершенно законно требовать от провайдеров решение этих проблем, так как их официально не предупреждали.

Да требовать то ты всегда можешь, хоть у провайдера, хоть у спортлото. Что тебе ответят (и ответят ли вообще) на требования - это другой вопрос.

«Последняя миля» - это в основном впн.

Ты какую-то ерунду пишешь.

В альтлинухе есть openvpn-gostcrypto, можно посмотреть что они там напатчили.

В связи с письмом от роскомнадзора

Организации, которых это касается, купят нужное ПО от сертифицированных всякими спецслужбами компаний.

в теории, с гостовой криптографией должно быть можно использовать ванильный openvpn. Потому что openvpn использует openssl, а для openssl есть плагин с поддержкой этого дела

Гражданин (частное лицо) может организовать защищенную сеть для использования по назначению (для тайны переписки и иных сообщений)?

Наказаний за это не предусмотрено. По крайней мере пока или де-факто. Но вся логика этих запретов и исключений из них (в том числе по поводу документации) не предполагает частных лиц в принципе.

Вообще, если уж на то пошло, вся криптография для частных лиц в РФ на птичьих правах, причем не сейчас, а уже лет 30, просто закрывают глаза на общераспространенное бытовое использование, в том числе с https и тп. Тем более, что банк-клиенты, доступы к госуслугам и тп.

Вообще, если уж на то пошло, вся криптография для частных лиц в РФ на птичьих правах, причем не сейчас, а уже лет 30, просто закрывают глаза на общераспространенное бытовое использование, в том числе с https и тп.

Это не птичьи, а вполне полноценные права, как и в демократических странах. Нет смысла регулировать криптографию для всех подряд.

Это не птичьи, а вполне полноценные права, как и в демократических странах. Нет смысла регулировать криптографию для всех подряд.

Еще в 1995(!!!) году. С некоторыми изменениями в 2000-м году.

https://base.garant.ru/10104146/

Указ Президента РФ от 3 апреля 1995 г. N 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями и дополнениями)

...

4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации «О федеральных органах правительственной связи и информации».

Так что частные лица со своими нелицензированными защищенными каналами связи не учитываются вообще никак.

Мне сейчас лень гуглить были ли какие-то послабления в других законах, но емнип было только насчет торговли разными бытовыми устройствами, вроде dvd-плееров и тп., в случае которых разрешили не считать криптографию в них нарушением.

Так что похоже, что вся привычная криптография таки на птичьих правах, просто если начать ее запрещать, то полный маразм наступит. Даже процессоров с aes нельзя будет продавать, который сейчас кажется вообще везде.

в теории, с гостовой криптографией должно быть можно использовать ванильный openvpn. Потому что openvpn использует openssl, а для openssl есть плагин с поддержкой этого дела

Я сильно подозреваю, что если вообще ркн что-то учитывает, то разве что какой-нибудь VipNet.

Может кто-нибудь проведет эксперимент и проверит будет ли баниться випнет, там где банится опенвпн. Как в пределах российских IP, так и с зарубежным сайтом.

требовать то ты всегда можешь

В том числе через суд. И судье придется объяснить, почему и на основании каких законов провайдер отказывается от предоставления услуг.

Например, в случае с ютубом государство выступило «экспертом» в (возможном) суде: «это ютуб виноват, совсем устарел».

Что придумают на этот раз?

«Последняя миля»

ерунду пишешь.

«Последняя миля» - это pptp, ppp, pppoe, pppoX и тп. Это протоколы организации vpn.

тайны переписки

Наказаний за это не предусмотрено.

А что, за конституционные права и свободы ещё и наказывать могут?!

Да, но не-ГОСТ криптографией не считается даже в госсекторе. Это просто «алгоритмы преобразования данных». Но в любом случае, наверное, есть и просто элемент здравого смысла, когда понятно, что всё не зарегулируешь, да и смысла в этом нет. Закон не компьютерная программа, и многое определяется конкретными правоприменительными практиками.

Мне сейчас лень гуглить были ли какие-то послабления в других законах, но емнип было только насчет торговли разными бытовыми устройствами, вроде dvd-плееров и тп., в случае которых разрешили не считать криптографию в них нарушением.

Ну мне припоминается, что есть ещё понятие «нотификации» о наличии средств шифрования для ФСБ при импорте чуть менее чем всей сложной электроники. То есть тут AES как будто уже криптография, но по сути это остаётся формальностью, бюрократией для отчётности. Если ещё не свернули всю эту тему.

провайдер отказывается от предоставления услуг

Провайдер ни от чего не отказывается, он предоставляет всё по договору и в рамках своих возможностей с учётом гос требований. А в вопросах гос требований к провайдеру ты не являешься «стороной» взаимодействия. Провайдер является, но он разумеется ни на кого в суд подавать не будет.

И нет, ppp это не протокол организации vpn. Хватит писать ерунду.

А в вопросах гос требований к провайдеру ты не являешься «стороной» взаимодействия.

Поэтому либо раскрывай гос требования в договоре, либо государство само публикует требования для конечных пользователей.

ppp это не протокол организации vpn

Получается, в твоей аксиоматике openvpn тоже vpn.

Получается, в твоей аксиоматике openvpn тоже vpn.

Получается, в твоей аксиоматике openvpn тоже НЕ vpn.

И нет, ppp это не протокол организации vpn

Соединение между точками ppp виртуальное? Виртуальное.
Адресация внутри ppp частная? Частная.
Соединение ppp — это сеть? Сеть.

Поздравляю, вы изобрели виртуальную частную сеть.

Что характерно, инициативно подмахивают роскомнадзору и оправдывают средства цензуры не очень грамотные люди.

Поэтому либо раскрывай гос требования в договоре, либо государство само публикует требования для конечных пользователей.

Тебе просто ответят «нет». Государство организует свои отношения с провайдерами без твоего участия и без консультаций с тобой, а ты, если тебе не нравится пров, можешь разорвать с ним договор, и уйти к другому, ну или вообще прекратить пользоваться подобными услугами.

Получается, в твоей аксиоматике openvpn тоже vpn.

Умерь свои фантазии. Лекции по работе компьютерных сетей я тебе читать не собираюсь, так что просто прими как данность что ты несёшь чушь.

можешь разорвать с ним договор

и потерять деньги.

прекратить пользоваться подобными услугами

Ограничение свобод на ровном месте. Запугивание уровня:

- химзавод портит воздух?
- можешь перестать дышать!

чушь

В противоречивой теории: кому надо - истина последней инстанции, кому не надо - чушь.

Да, но не-ГОСТ криптографией не считается даже в госсекторе

открою страшную тайну, там и ГОСТ не считается)) И вообще ничего, что крутится не на сертифицированных СКЗИ

Применительно к данной теме:

на сертифицированных СКЗИ

которые должны легко определяться на ТСПУ, он же mitm, чтобы случайно не рубили. Странное такое шифрование получается, однако.

решил поискать, что есть для openvpn в этой сфере.

Тут вот есть openvpn-plugins-gostcrypto:

http://ftp.altlinux.org/pub/distributions/ALTLinux/p10/branch/x86_64/RPMS.gos...

Но я не пробовал сам. Для p11 этот репозиторий есть, но для openvpn плагина нет почемк-то.

Что характерно, инициативно подмахивают роскомнадзору

На самаом деле всё ещё хуже. Роскомнадзору спускают команду, Роскомнадзор делает, как может. Даже технический бред. Почему не говорят, что это бред - ну не знаю, вариантов больше одного.

openvpn всё шифрование делает через openssl. Никаких плагинов для openvpn ненужно.

Это свободный софт, следовательно, он не имеет привязки к странам. Криптография - другое дело, ибо основана на сложных математических предположениях и поэтому не является открытой.

Уточню, то объявление - для предприятий, которые используют впн по назначению - для объединения сетей своих филиалов в единую защищённую виртуальную сеть, и суть его в том, что «мы сейчас будем бороться с нежелательными личностями (которые организуют незаконный транзит трафика через границу), можем вас случайно задеть

Це про нас. Мы используем опенвпн для организации удаленки в офисах.

Гражданин (частное лицо) может организовать защищенную сеть для использования по назначению (для тайны переписки и иных сообщений)?

Каким образом, если не секрет?

То, что творит РКН - лютый звиздец.

В 2022 году МинОбр собрало с ВУЗов список «важных» ресурсов (по ip-адресам) которые нужно защищать от врагов.
Год ничего не происходило.

Потом было обнаружено, что из некоторых стран (дружественных) к нам нельзя зайти на 443 порт.
Потом выяснилось, что с указанных в списке ip нельзя подключаться к некоторым внешним серверам на 443 порт (http://www.kernel.org, github.com). Потом отвалились обновления убунты... Обновлять систему приходилось через прокси-сервер в своей-же сети, но с адресом не из списка.
Но все это было отдельные эпизоды.

В конце 23 года отвалились все клиенты ростелекома (видимо там массово внедрили ТСПУ).
Смена ip решила проблему, но решили выяснить причину.
Проблема выглядела достаточна странно: нам SYN приходит от клиентов ртк, мы отвечаем SYN+ASK, а он не доходит до клиента.

После сканирования от разных провайдеров был получен список наших адресов с недоступным 443 портом. Это был как раз тот список который был отправлен в МинОбр!

После нескольких дней переписки с провайдером получили ответ:

Трафик к данным ресурсам был заблокирован ТСПУ РКН. По какой причине он туда попал нам не известно.

Эти ушлёпки из ркн блокировали любые пакеты с SYN, включая SYN+ASK.

Спасибо ркн за защиту нас он наших клиентов!

Произошла чудовищная ошибка.

Лучше всё-таки шифрование на уровне соединения, которое во всех современных мессенджерах, включая селфхостовых, и так есть.

У меня чат, звонилка, видеоконференции, …: p2p прямое шифрованное соединение между мной и собеседником. У меня и моих собеседников динамические IP, ищем друг дружку по DHT и каждый раз при беседе устанавливается новый туннель.

Требуемые IP концов туннеля указать не возможно. Да и алгоритм шифрования может и не ГОСТ согласоваться, кто его знает что доступно у собеседника.

Вопрос нас всех забанит РКН?

Требуемые IP концов туннеля указать не возможно

У тебя никакие айпи слушать и не станут, т.к. ты не сможешь указать наименование организации.

Поддержка криптографии ГОСТ (пока не сертифицированная) есть в библиотеках: gnutls, ligcrypt, gpgsm, libtasn1, libksba и всего что с ними связывается. Проблема в том, что дистрибутивы не включают ГОСТ по умолчанию! Кто имеет лицензию ФСБ «на разработку средств криптографической защиты» могут сертифицировать эти библиотеки и пакеты на их основе..

Поддержка криптографии ГОСТ уже была в libressl, но к большому сожалению в версии 3.9.0 все наши ГОСТы с нее выкинули!

Есть протухшей сторонний плагин поддержки ГОСТ для openssl: https://github.com/gost-engine/engine

Раз вам так нравится КНДР, как считаете, если бы вы там жили - был бы у вас компьютер?

https://base.garant.ru/10104146/

Что должен знать специалист ИБ на старте (комментарий)

Но если gnutls, libgcrypt написали в не юрисдикции РФ, то можно их использовать в РФ без официальных документов подтверждающих наличие в них ГОСТ. Сажают если в официальном договоре дать гарантии работы ГОСТ.

Что за тупой вопрос? Я не кореец. Какой-то кореец очевидно мной быть не может, у него будет другая обстановка, другое воспитание, другой характер итд. Не надо этих «если бы да кабы».

Это не птичьи, а вполне полноценные права, как и в демократических странах. Нет смысла регулировать криптографию для всех подряд.

Назови хоть одну страну на нашей планете где не запрещено: разрабатывать и экспортировать криптуху без ограничений.

Пример Швейцарии на ЛОРе считают плохим: Какой ключ безопасности fido купить? (комментарий)

Что должен знать специалист ИБ на старте (комментарий)

Вот мы в детстве баловались всякими криптографиями: писали письма друг другу на бумаге ручкой(!), используя разные сдвиговые алгоритмы, xor-алгоритмы, и тп. За это нас могли оштрафовать и даже посадить за нелицензионнную деятельность?

Посадят вряд ли, а вот если бы долго и сильно доставали своей «криптухой» то на учёт в детской комнате полиции могли поставить.

Закон одно, а правоприменительная практика в судах это другое. Если Вася напишет свою реализацию ГОСТ и продаст банку задешево, а потом из за дыр в криптухе ограбят банк, то по действующим, несправедливым, законам РФ посадят бедного программиста Васю, а не директора банка который сэкономил на лицензированном в ФСБ ПО. По моему, справедливому мнению, садить надо не программиста Васю, а директора банка купившего задешево непроверенное ПО без надлежащих сертификатов.

То есть крутых криптографов не воспитать, так как это незаконная деятельность - (детская) практика в криптографии.

Научных деятелей, математиков связанных с криптографией (да, вообще всех, вдруг случайно данное направление в математике выстрелит в криптографии) тоже на учёт ставят?

Но если gnutls, libgcrypt написали в не юрисдикции РФ, то можно их использовать в РФ без официальных документов подтверждающих наличие в них ГОСТ. Сажают если в официальном договоре дать гарантии работы ГОСТ.

Это какой-то устойчивый миф, что криптография в РФ - это только ГОСТ. ГОСТ тут только при том, что он нужен для сертификации и что если он упоминается, то речь точно про криптографию, а не некий алгоритм.

Посадят вряд ли, а вот если бы долго и сильно доставали своей «криптухой» то на учёт в детской комнате полиции могли поставить.

Справедливости ради совсем до маразма (пока) не доходят и с детей за криптографию не спрашивают. Де-факто на практике можно нарваться только, если в явном виде услуги по криптозащите предоставлять или софтом, явно на нее ориентированным, торговать. Например, разработчики архиваторов спокойно добавляют фичи парольной защиты за которой тот или иной криптоалгоритм обычно.

По моему, справедливому мнению, садить надо не программиста Васю, а директора банка купившего задешево непроверенное ПО без надлежащих сертификатов.

И того и другого засудят, если что. Васю за услуги без лицензий, директора за софт без сертификата (если он требовался). А ограбят или не ограбят банк из-за дыр вообще вторично.

Да, но не-ГОСТ криптографией не считается даже в госсекторе.

Считается. При желании, в некоторых случаях (если необходимо взаимодействие с иностранными клиентами/партнерами), даже можно получить официальную лицензию на право использования иностранных СКЗИ. Только это геморой на несколько лет с получением, но можно.

Это просто «алгоритмы преобразования данных».

Фишка в том, что если явно указать ГОСТ, то не получится съехать, что это просто «алгоритмы преобразования данных».

Поддержка криптографии ГОСТ уже была в libressl, но к большому сожалению в версии 3.9.0 все наши ГОСТы с нее выкинули!

В смысле выкинули? А наш форк этого дела? Где наш гитхаб где этот форк лежит?

Ну так это к тебе вопрос, где ваш гитхаб и ваш же форк этого дела.Кто ещё это знает, как не ты?

Почему это ко мне? Я вроде не разработчик отечественных ос?

Вообще по идее вместе с рекомендациями, должны быть адреса доков и адреса репозитариев с этим делом под все популярные ос.

Например, разработчики архиваторов спокойно добавляют фичи парольной защиты за которой тот или иной криптоалгоритм обычно.

Хороший пример в контексте обсуждения!

Эти ушлёпки из ркн блокировали любые пакеты с SYN, включая SYN+ASK.

Обезьянам разрешили установить кучу гранат-ТСПУ, дёргать за кольцо и смотреть, что получится.

У нас есть три внешних канала. Через один из них невозможно устанавливать/обновлять приложения Андроид. Оператор разводит руками: ТСПУ. Ну ладно, но у двух других тоже ТСПУ! Просто банальный вопрос: почему не одинаково?

Ладно, коммерческий директор поехал в отпуск, то ли в Турцию, то ли что-то около. У нас корпортивный OpenVPN для удалённого доступа, кому надо. Хрен он поработал. Ну тут ладно, хоть отдохнул по настоящему. :-)