LINUX.ORG.RU

Новая версия Trusted eSign будет иметь поддержку ГОСТ

 , ,


1

0

В конце сентября компания «Цифровые технологии» завершит работы над новой версией Trusted eSign (КриптоАРМ Linux). В нем будет реализована поддержка алгоритмов ГОСТ для формирования и проверки электронной подписи, хэширования и шифрования.

Новая версия будет примечательна совместимостью с СКЗИ «КриптоПро CSP 4.0» и поддерживает все криптографические алгоритмы, реализованные в нём:

  • Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
  • Алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  • Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

Еще одним нововведением станет возможность применения ключей и сертификатов электронной подписи на отчуждаемых носителях (USB-токенах и смарт-картах). Это будут популярные модели Рутокен S, Рутокен Lite и JaCarta PKI от отечественных производителей.

Перечень поддерживаемых операционных систем также расширится. К списку из Ubuntu и Astra Linux добавятся российские ОС РОСА и ALT Linux, а также актуальные версии Debian и CentOS.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: sudopacman (всего исправлений: 2)

будет

Вот когда будет, тогда и пишите.

te111011010
()

а вариации etoken gost, rutoken gost совместимы?

Atlant ★★★★★
()

Давно ждемс.

Звучит очень хорошо, но огласите цены пжлста...

AVL2 ★★★★★
()

А этот софт необходим для взаимодействия с государственными органами и осуществления ряда коммерческих сделок.

Ygor, а что мешает использовать для этого набор штатных средств, имеющиеся в любом дистрибутиве линукс?

Если бы они были бы непригодны, то компрометируется вся экосистема линукс - это очевидно.

Шифрование открыто, надежно и свободно. Уязвимости устраняются оперативно и бесплатно, в отличие от всяких сертифицированных средств, годами не обновляющихся и тем самым содержащие потенциальные дыры ...

Ведь это же полный бред, за гостайну брать деньги - Абсурд с большой буквы...

Получается этакий государственный бизнес, в котором все покупается и продается - по своей сути, продажный, что не может быть приемлемым.

И еще, проблема в том, что для взаимодействия с государственными органами не должно быть каких-либо спец-средств, наоборот, все должно быть максимально открыто, свободно и удобно, причем должны быть (а скорее всего есть) соответствующие указы на это.

anonymous
()
Ответ на: комментарий от anonymous

надежно
Уязвимости устраняются оперативно

anonymous
()

Печально, что. Отечественную недокриптографию с ФСЬшными дырами видеть где-то помимо местячковых недодистров весьма грустно.

anonymous
()
Ответ на: комментарий от anonymous

а что мешает использовать для этого набор штатных средств, имеющиеся в любом дистрибутиве линукс?

Ничего. Как только в штатный набор средств добавят поддержку необходимых алгоритмов и протоколов.

все должно быть максимально открыто, свободно и удобно,

Тайну переписки отменили, свободный ты наш? :-) Вот ты пишешь заявление на зачисление детей в детский сад — оно должно передаваться меж ведомствами свободно и открыто, да? )

Aceler ★★★★★
()
Ответ на: комментарий от MHz

при попытке установить astralinux на hyper-v зависал hyper-v, так что astralinux - эталонное ненужно

Гениальный вывод. Завис Hyper-V, а ненужно Astralinux.

Лучше бы занёс баг в багзиллу Hyper-V.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Континент не запускается на виртуальной машине,
выводит сообщение про наличие виртуализации.
Возможно с Astralinux это не баг.

WinLin2 ★★
()
Ответ на: комментарий от ei-grad

Ммм, всё станет логичным, если это был ответ например МВДшника ФСБшнику, у них же могут быть разные версии «штатного дистрибутива». МВДшник троллит ФСБшника тем что у второго криворукие админы не могут собрать ГОСТ для openssl. Ок.

ei-grad ★★★★★
()
Ответ на: комментарий от anonymous

ГОСТ in the shell?

пацталом

Хотя: Major Motoko Kusanagi, Mobile Armored Riot Police...

anonymous
()
Ответ на: комментарий от WinLin2

Это с какой версии? В виртуалбоксе версия 3.5.что-то там вполне работала.

prof-alex
()
Ответ на: комментарий от WinLin2

Выводит сообщение, но не подвешивает гипервизор. Это как надо было написать гипервизор, чтобы гостевая ОС его вешала?

Aceler ★★★★★
()
Ответ на: комментарий от ei-grad

Btw, вроде правда, openssl давно уже с libgost.so идет везде.

1) Есть такая штука, fips. Американский институт и одноименный стандарт. Во всех дистрах включают соответствие ему, а стандарт fips прямо зарещает использование гостов. так что из коробки libgost.so я даже не знаю где найти.

2) Помимо поддержки в openssl надо бы еще поддерживать гостовый хеш. Пока что кроме утилитки в криптопро csp нигде его не видел.

3) Поддержка в openssl позволяет реализовать серверную часть, а еще неплохо бы насладиться клиентской частью. Файрфокс, хром - надо хотя бы добавить госты в nss.

AVL2 ★★★★★
()
Ответ на: комментарий от dmitrmax

Только это не КриптоПро - это конкуренты

Не конкуренты. Это графический фронтенд к КриптоПро. И, в отличие от token-manager/gostgryptogui от ФССПР или rosa-crypto-tool от ROSA, намного хуже:

1. Конвертируется неважно. Установить полученный в результате
alien -rcv ../cryptoarm_x64.deb можно только с --nodeps.

2. При запуске в консоли пишется:
cas@cas ~ $ /usr/share/cryptoarm/bin/cryptoarm.sh
[6907:6922:0726/123901:ERROR:nss_util.cc(839)] After loading Root Certs,
loaded==false: NSS error code: -8018

/tmp/.private/cas/.io.nwjs.N64Qlh/node_modules/trusted-crypto/buildjs/pkistore/psystem.js:13
        this.handle = new native.PKISTORE.Provider_System(folder);
                      ^
Error: Provider_System Cannot be constructed Provider_System
../src/wrapper/store/provider_system.cpp:25
init Error create folder
../src/wrapper/store/provider_system.cpp:38

    at Error (native)
    at new Provider_System
(/tmp/.private/cas/.io.nwjs.N64Qlh/node_modules/trusted-crypto/buildjs/pkistore/psystem.js:13:23)
Error: Provider_System Cannot be constructed Provider_System
../src/wrapper/store/provider_system.cpp:25
init Error create folder
../src/wrapper/store/provider_system.cpp:38

    at Error (native)
    at new Provider_System
(/tmp/.private/cas/.io.nwjs.N64Qlh/node_modules/trusted-crypto/buildjs/pkistore/psystem.js:13:23)
Error: read Can not read X509 data from BIO
../src/wrapper/pki/cert.cpp:53

    at Error (native)
    at Function.Certificate.load
(/tmp/.private/cas/.io.nwjs.N64Qlh/node_modules/trusted-crypto/buildjs/pki/cert.js:187:21)


3. Сертификатов КриптоПро не видит в упор, хотя по certmgr -list они
показываются.

4. При попытке закрузки валидного сертификата из .cer, выгруженного из
КриптоПро он не загружается.

5. В справке написано, что "При первом запуске приложения в каталоге его
установки создается подкаталог с наименованием CertStore.". При запуске
из домашнего каталога обычного пользователя никакой папки CertStore там
не создаётся.

При запуске под strace:
$ grep CertStore cryptoarm.log
7442  open("/usr/share/cryptoarm/lib/CertStore",
O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = -1 ENOENT (No such file or
directory)
7442  open("/usr/share/cryptoarm/lib/CertStore",
O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = -1 ENOENT (No such file or
directory)

Вызвано это тем, что по умолчанию права на /usr/share/cryptoarm/lib не
были доступными для записи всем. Странно ожидать при запуске от
непривилегированного пользователя в многопользовательском режиме они
будут иметь доступ к сертификатам друг друга.

6. В справке сказано: "Запуск приложения на рабочем месте сразу дает
возможность проверить его функциональность - в хранилище сертификатов
будет присутствовать тестовый сертификат с помощью которого можно
выполнить операции подписи и шифрования файлов." - никакого сертификата
по умолчанию там нет (см. скриншот).

Правда, это решается путём смены прав на системный каталог:
chmod a+w /usr/share/cryptoarm/lib

после этого тестовый сертификат виден. Но КриптоПрошный выгруженный
сертификат не импортируется. В консоли:
    at Function.Certificate.load
(/tmp/.private/cas/.io.nwjs.hkJiQb/node_modules/trusted-crypto/buildjs/pki/cert.js:187:21)
Error: read Can not read X509 data from BIO
../src/wrapper/pki/cert.cpp:53

При попытке добавления созданного запароленного сертификата в формате
.p12 (который спокойно добавляется в Firefox с запросом пароля при
импорте) в КриптоАРМ файл не открывается:
Error: read Can not read X509 data from BIO
../src/wrapper/pki/cert.cpp:53

Даже без защиты паролем он не импортируется.

Вопрос, какие сертификаты могут быть импортированы?

7. При выборе сертификата, файла для подписи и каталога для выгрузки
кнопка "ПОДПИСАТЬ" по умолчанию остаётся неактивной. Требуется щёлкнуть
по серой пипочке на имени файла, чтобы активизировать кнопку подписи,
что неочевидно.

8. Для произвольного подписанного файла не предусмотрен показ
сертификата, используемого для подписи и выгрузка оригинального файла.
Можно только убедится, что подпись верна.

9. Шифрование и расшифровка работают нормально.

10. В многопользовательском режиме КриптоАРМ не работает: каталог с
сертификатом создаётся только для первого пользователя и на него же
устанавливаются права этого пользователя:
$ ls -ld /usr/share/cryptoarm/lib/CertStore/
drwx------ 6 cas cas 4096 июл 26 12:59 /usr/share/cryptoarm/lib/CertStore/

Остальные не могут получить туда доступ, но и создать не могут.

11. Права на файлы в пакете такие, что любой пользователь системы может
подменить все исполняемые файлы!

Решайте сами, будете ли вы этим пользоваться.

Skull ★★★★★
()
Ответ на: комментарий от anonymous

Ygor, а что мешает использовать для этого набор штатных средств, имеющиеся в любом дистрибутиве линукс?

Мешают завязки ЭТП и прочих госзаказчиков на API КриптоПро.

Если бы они были бы непригодны, то компрометируется вся экосистема линукс - это очевидно.

Совершенно неочевидно. Обоснуйте.

Ведь это же полный бред, за гостайну брать деньги - Абсурд с большой буквы...

Сколько лет Вы проработали в области защиты информации, чтобы так говорить?

И еще, проблема в том, что для взаимодействия с государственными органами не должно быть каких-либо спец-средств, наоборот, все должно быть максимально открыто, свободно и удобно, причем должны быть (а скорее всего есть) соответствующие указы на это.

Совершенно верно. Но мир неидеален и нужно использовать то, что есть. Или менять его к лучшему. Что лично Вы сделали, чтобы приблизиться к заявленному идеалу (кроме нытья на форуме)?

Skull ★★★★★
()
Ответ на: комментарий от MHz

в рашке криптография может быть только ГОСТ, в штатном дистрибутиве линукс его по умолчанию нет

openssl-engines есть во многих дистрибутивах. Зачем говорить о том, чего не знаете?

Skull ★★★★★
()
Ответ на: комментарий от anonymous

Печально, что. Отечественную недокриптографию с ФСЬшными дырами видеть где-то помимо местячковых недодистров весьма грустно.

Неужели? А где ФСБ-шные дыры в openssl engines? Покажете или за свои слова не отвечаете?

Skull ★★★★★
()
Ответ на: комментарий от AVL2

Файрфокс, хром - надо хотя бы добавить госты в nss.

Там небольшой патч. В Альте давно собирается firefox-gost для подобных ценителей .

Skull ★★★★★
()
Ответ на: комментарий от hhhhacker

Сейчас это просто пустой звук.

Мама и кот Кузя уже впечатлились силой могучей мысли эксперта?

Skull ★★★★★
()
Ответ на: комментарий от Skull

Там небольшой патч. В Альте давно собирается firefox-gost для подобных ценителей .

И лисси с криптопро собирают свои файрфоксы. Это крайне неудобная штука.

Во первых, из за самого файрфокса, который запускает один движок и использует одну папку профилей, невозможно нормально использовать два файрфокса. А во вторых, где был бы обычный https, если для него надо было бы патчить и ставить отдельный файрфокс?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Во первых, из за самого файрфокса, который запускает один движок и использует одну папку профилей, невозможно нормально использовать два файрфокса.

А зачем другой? Синдром новых версий? В firefox-gost/CryptoFox добавляется дополнительная функциональность в nss, всё остальное работает также, как и в обычном браузере.

А во вторых, где был бы обычный https, если для него надо было бы патчить и ставить отдельный файрфокс?

Этот патч реализует поддержку ГОСТовых алгоритмов для https. В links и так всё работает с openssl-engines.

Skull ★★★★★
()
Ответ на: комментарий от hhhhacker

Сомневаюсь.

Проконсультируйтесь у физиогномиста. Моя фотография доступна.

Skull ★★★★★
()
Ответ на: комментарий от Skull

и когда это в centos или ubuntu-server или [поставить название дистрибутива собранного не в рашке] появился CryptoPro по умолчанию

хватит передергивать

MHz
()
Ответ на: комментарий от anonymous

anon такой анон...

тестирование под kvm оставляем в качестве самостоятельного упражнения

MHz
()
Ответ на: комментарий от leonidko

Лень качать, какие там зависимости? И разве apt-get -f installихнеразруливает?

Я на Дебианофорках не сижу.

Skull ★★★★★
()
Ответ на: комментарий от dmitrmax

Я в курсе. Об этом и речь, что мозилловцы пока не заинтересованны в поддержке гостов, а в криптографии исторически принято все необязательное отключать и даже не вносить. По хорошему, это недоработка властей. Если бы были приняты стандарты, то даже под угрозой отказа всех госслужащих от файрфокса там быстро внесли бы необходимые изменения в свой код...

AVL2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.