будет

Вот когда будет, тогда и пишите.

В конце сентября

ОК!

а вариации etoken gost, rutoken gost совместимы?

Подтверждаю новость, так как у КриптоПро любое шевеление - новость.

Давно ждемс.

Звучит очень хорошо, но огласите цены пжлста...

Только это не КриптоПро - это конкуренты

Что есть конкуренты - хорошо

А этот софт необходим для взаимодействия с государственными органами и осуществления ряда коммерческих сделок.

Ygor, а что мешает использовать для этого набор штатных средств, имеющиеся в любом дистрибутиве линукс?

Если бы они были бы непригодны, то компрометируется вся экосистема линукс - это очевидно.

Шифрование открыто, надежно и свободно. Уязвимости устраняются оперативно и бесплатно, в отличие от всяких сертифицированных средств, годами не обновляющихся и тем самым содержащие потенциальные дыры ...

Ведь это же полный бред, за гостайну брать деньги - Абсурд с большой буквы...

Получается этакий государственный бизнес, в котором все покупается и продается - по своей сути, продажный, что не может быть приемлемым.

И еще, проблема в том, что для взаимодействия с государственными органами не должно быть каких-либо спец-средств, наоборот, все должно быть максимально открыто, свободно и удобно, причем должны быть (а скорее всего есть) соответствующие указы на это.

надежно
Уязвимости устраняются оперативно

в рашке криптография может быть только ГОСТ, в штатном дистрибутиве линукс его по умолчанию нет

Смотря в каком

Так речь не про КриптоПро.

Я уже понял )

Печально, что. Отечественную недокриптографию с ФСЬшными дырами видеть где-то помимо местячковых недодистров весьма грустно.

Google предполагает, что http://www.astralinux.com/ взломан)

при попытке установить astralinux на hyper-v зависал hyper-v, так что astralinux - эталонное ненужно

а что мешает использовать для этого набор штатных средств, имеющиеся в любом дистрибутиве линукс?

Ничего. Как только в штатный набор средств добавят поддержку необходимых алгоритмов и протоколов.

все должно быть максимально открыто, свободно и удобно,

Тайну переписки отменили, свободный ты наш? :-) Вот ты пишешь заявление на зачисление детей в детский сад — оно должно передаваться меж ведомствами свободно и открыто, да? )

при попытке установить astralinux на hyper-v зависал hyper-v, так что astralinux - эталонное ненужно

Гениальный вывод. Завис Hyper-V, а ненужно Astralinux.

Лучше бы занёс баг в багзиллу Hyper-V.

Континент не запускается на виртуальной машине,
выводит сообщение про наличие виртуализации.
Возможно с Astralinux это не баг.

«В штатном» же :-D

Btw, вроде правда, openssl давно уже с libgost.so идет везде.

Ммм, всё станет логичным, если это был ответ например МВДшника ФСБшнику, у них же могут быть разные версии «штатного дистрибутива». МВДшник троллит ФСБшника тем что у второго криворукие админы не могут собрать ГОСТ для openssl. Ок.

ГОСТ in the shell?

нет уж, спасибо.

ГОСТ in the shell?

пацталом

Хотя: Major Motoko Kusanagi, Mobile Armored Riot Police...

Это с какой версии? В виртуалбоксе версия 3.5.что-то там вполне работала.

Выводит сообщение, но не подвешивает гипервизор. Это как надо было написать гипервизор, чтобы гостевая ОС его вешала?

Btw, вроде правда, openssl давно уже с libgost.so идет везде.

1) Есть такая штука, fips. Американский институт и одноименный стандарт. Во всех дистрах включают соответствие ему, а стандарт fips прямо зарещает использование гостов. так что из коробки libgost.so я даже не знаю где найти.

2) Помимо поддержки в openssl надо бы еще поддерживать гостовый хеш. Пока что кроме утилитки в криптопро csp нигде его не видел.

3) Поддержка в openssl позволяет реализовать серверную часть, а еще неплохо бы насладиться клиентской частью. Файрфокс, хром - надо хотя бы добавить госты в nss.

ГОСТ

Сейчас это просто пустой звук.

Эталонное ненужно - это твой hyper-v. При установке гостя зависает гипервизор?! Ахахахаха!!

Только это не КриптоПро - это конкуренты

Не конкуренты. Это графический фронтенд к КриптоПро. И, в отличие от token-manager/gostgryptogui от ФССПР или rosa-crypto-tool от ROSA, намного хуже:

1. Конвертируется неважно. Установить полученный в результате
alien -rcv ../cryptoarm_x64.deb можно только с --nodeps.

2. При запуске в консоли пишется:
cas@cas ~ $ /usr/share/cryptoarm/bin/cryptoarm.sh
[6907:6922:0726/123901:ERROR:nss_util.cc(839)] After loading Root Certs,
loaded==false: NSS error code: -8018

/tmp/.private/cas/.io.nwjs.N64Qlh/node_modules/trusted-crypto/buildjs/pkistore/psystem.js:13
        this.handle = new native.PKISTORE.Provider_System(folder);
                      ^
Error: Provider_System Cannot be constructed Provider_System
../src/wrapper/store/provider_system.cpp:25
init Error create folder
../src/wrapper/store/provider_system.cpp:38

    at Error (native)
    at new Provider_System
(/tmp/.private/cas/.io.nwjs.N64Qlh/node_modules/trusted-crypto/buildjs/pkistore/psystem.js:13:23)
Error: Provider_System Cannot be constructed Provider_System
../src/wrapper/store/provider_system.cpp:25
init Error create folder
../src/wrapper/store/provider_system.cpp:38

    at Error (native)
    at new Provider_System
(/tmp/.private/cas/.io.nwjs.N64Qlh/node_modules/trusted-crypto/buildjs/pkistore/psystem.js:13:23)
Error: read Can not read X509 data from BIO
../src/wrapper/pki/cert.cpp:53

    at Error (native)
    at Function.Certificate.load
(/tmp/.private/cas/.io.nwjs.N64Qlh/node_modules/trusted-crypto/buildjs/pki/cert.js:187:21)


3. Сертификатов КриптоПро не видит в упор, хотя по certmgr -list они
показываются.

4. При попытке закрузки валидного сертификата из .cer, выгруженного из
КриптоПро он не загружается.

5. В справке написано, что "При первом запуске приложения в каталоге его
установки создается подкаталог с наименованием CertStore.". При запуске
из домашнего каталога обычного пользователя никакой папки CertStore там
не создаётся.

При запуске под strace:
$ grep CertStore cryptoarm.log
7442  open("/usr/share/cryptoarm/lib/CertStore",
O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = -1 ENOENT (No such file or
directory)
7442  open("/usr/share/cryptoarm/lib/CertStore",
O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = -1 ENOENT (No such file or
directory)

Вызвано это тем, что по умолчанию права на /usr/share/cryptoarm/lib не
были доступными для записи всем. Странно ожидать при запуске от
непривилегированного пользователя в многопользовательском режиме они
будут иметь доступ к сертификатам друг друга.

6. В справке сказано: "Запуск приложения на рабочем месте сразу дает
возможность проверить его функциональность - в хранилище сертификатов
будет присутствовать тестовый сертификат с помощью которого можно
выполнить операции подписи и шифрования файлов." - никакого сертификата
по умолчанию там нет (см. скриншот).

Правда, это решается путём смены прав на системный каталог:
chmod a+w /usr/share/cryptoarm/lib

после этого тестовый сертификат виден. Но КриптоПрошный выгруженный
сертификат не импортируется. В консоли:
    at Function.Certificate.load
(/tmp/.private/cas/.io.nwjs.hkJiQb/node_modules/trusted-crypto/buildjs/pki/cert.js:187:21)
Error: read Can not read X509 data from BIO
../src/wrapper/pki/cert.cpp:53

При попытке добавления созданного запароленного сертификата в формате
.p12 (который спокойно добавляется в Firefox с запросом пароля при
импорте) в КриптоАРМ файл не открывается:
Error: read Can not read X509 data from BIO
../src/wrapper/pki/cert.cpp:53

Даже без защиты паролем он не импортируется.

Вопрос, какие сертификаты могут быть импортированы?

7. При выборе сертификата, файла для подписи и каталога для выгрузки
кнопка "ПОДПИСАТЬ" по умолчанию остаётся неактивной. Требуется щёлкнуть
по серой пипочке на имени файла, чтобы активизировать кнопку подписи,
что неочевидно.

8. Для произвольного подписанного файла не предусмотрен показ
сертификата, используемого для подписи и выгрузка оригинального файла.
Можно только убедится, что подпись верна.

9. Шифрование и расшифровка работают нормально.

10. В многопользовательском режиме КриптоАРМ не работает: каталог с
сертификатом создаётся только для первого пользователя и на него же
устанавливаются права этого пользователя:
$ ls -ld /usr/share/cryptoarm/lib/CertStore/
drwx------ 6 cas cas 4096 июл 26 12:59 /usr/share/cryptoarm/lib/CertStore/

Остальные не могут получить туда доступ, но и создать не могут.

11. Права на файлы в пакете такие, что любой пользователь системы может
подменить все исполняемые файлы!

Решайте сами, будете ли вы этим пользоваться.

Ygor, а что мешает использовать для этого набор штатных средств, имеющиеся в любом дистрибутиве линукс?

Мешают завязки ЭТП и прочих госзаказчиков на API КриптоПро.

Если бы они были бы непригодны, то компрометируется вся экосистема линукс - это очевидно.

Совершенно неочевидно. Обоснуйте.

Ведь это же полный бред, за гостайну брать деньги - Абсурд с большой буквы...

Сколько лет Вы проработали в области защиты информации, чтобы так говорить?

И еще, проблема в том, что для взаимодействия с государственными органами не должно быть каких-либо спец-средств, наоборот, все должно быть максимально открыто, свободно и удобно, причем должны быть (а скорее всего есть) соответствующие указы на это.

Совершенно верно. Но мир неидеален и нужно использовать то, что есть. Или менять его к лучшему. Что лично Вы сделали, чтобы приблизиться к заявленному идеалу (кроме нытья на форуме)?

в рашке криптография может быть только ГОСТ, в штатном дистрибутиве линукс его по умолчанию нет

openssl-engines есть во многих дистрибутивах. Зачем говорить о том, чего не знаете?

Печально, что. Отечественную недокриптографию с ФСЬшными дырами видеть где-то помимо местячковых недодистров весьма грустно.

Неужели? А где ФСБ-шные дыры в openssl engines? Покажете или за свои слова не отвечаете?

Файрфокс, хром - надо хотя бы добавить госты в nss.

Там небольшой патч. В Альте давно собирается firefox-gost для подобных ценителей .

Сейчас это просто пустой звук.

Мама и кот Кузя уже впечатлились силой могучей мысли эксперта?

У меня-то хоть глаза не раскосые.

Там небольшой патч. В Альте давно собирается firefox-gost для подобных ценителей .

И лисси с криптопро собирают свои файрфоксы. Это крайне неудобная штука.

Во первых, из за самого файрфокса, который запускает один движок и использует одну папку профилей, невозможно нормально использовать два файрфокса. А во вторых, где был бы обычный https, если для него надо было бы патчить и ставить отдельный файрфокс?

У меня-то хоть глаза не раскосые.

У меня тоже.

Во первых, из за самого файрфокса, который запускает один движок и использует одну папку профилей, невозможно нормально использовать два файрфокса.

А зачем другой? Синдром новых версий? В firefox-gost/CryptoFox добавляется дополнительная функциональность в nss, всё остальное работает также, как и в обычном браузере.

А во вторых, где был бы обычный https, если для него надо было бы патчить и ставить отдельный файрфокс?

Этот патч реализует поддержку ГОСТовых алгоритмов для https. В links и так всё работает с openssl-engines.

Сомневаюсь.

Сомневаюсь.

Проконсультируйтесь у физиогномиста. Моя фотография доступна.

и когда это в centos или ubuntu-server или [поставить название дистрибутива собранного не в рашке] появился CryptoPro по умолчанию

хватит передергивать

anon такой анон...

тестирование под kvm оставляем в качестве самостоятельного упражнения

Лень качать, какие там зависимости? И разве apt-get -f install их не разруливает?

Лень качать, какие там зависимости? И разве apt-get -f installихнеразруливает?

Я на Дебианофорках не сижу.

В libnss уже несколько человеков пытались добавить ГОСТы, но их посылают нахер под различными поводами.

В Альте разве сменили apt на yum?

В Альте apt поверх rpm, а не deb.

Я в курсе. Об этом и речь, что мозилловцы пока не заинтересованны в поддержке гостов, а в криптографии исторически принято все необязательное отключать и даже не вносить. По хорошему, это недоработка властей. Если бы были приняты стандарты, то даже под угрозой отказа всех госслужащих от файрфокса там быстро внесли бы необходимые изменения в свой код...