LINUX.ORG.RU

Поддержка токенов PKCS#11 с ГОСТ-криптографией в Python

 , , , ,


2

1

Многих интересует работа с токенами PKCS#11 с поддержкой российской криптографии в скриптовом языке Python.

В окружении Python имеется замечательный пакет PyKCS11, однако в нём отсутствует поддержка электронной подписи по ГОСТ Р 34.10-2012. Автор пакета PyKCS11, к сожалению, не планирует добавлять эту поддержку пакет. Как альтернатива PyKCS11, можно рассматривать пакет pyp11. В нём реализована поддержка следующих криптографических функций:

  • генерация ключевых пар по ГОСТ Р 34.10-2012 (512 и 1024 бита для открытого ключа), и даже по ГОСТ Р 34.10-2001;

  • подсчет хэша по ГОСТ Р 34.10-2012 (256 и 512 бит), а также по ГОСТ Р 34.11-94 и SHA1;

  • подписание и проверка подписи.

Из общих функций реализованы:

  • управление токенами (инициализация токена, установка и смена PIN-кодов);
  • получения списка слотов и информации о них;
  • импорт сертификатов и ключей (только для ГОСТ-криптографии): установка меток для объектов (сертификаты, ключи); и другие.

>>> Подробности



Проверено: Shaman007 ()

Ответ на: комментарий от X-Pilot

Криптография - это такая штука: если есть малейшие подозрения или недосказанности, то использовать такой алгоритм нельзя, так что в текущей итерации, ГОСТ идет на свалку.

Какие вы подозрительные. Стало быть к остальным алгоритмам нет ни малейшего подозрения? Ни малейшей недосказанности?

Alve ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Мне вот интересно, эти дебилы вообще понимают, что себе в ногу стреляют и когда аналитические отделы ЦРУ граалем вскроют всю их секретную переписку с обсером почище эенигмы во вторую мировую, то бомбардировщики НАТО будут без проблем все их хитрые планы в каменный век бомбить ?

Это при том что те, кого они таким хитрым способом собрались ловить этим самым гостом тупо не пользуются?

anonymous ()
Ответ на: комментарий от anonymous

Впрочем, всё в духе анало говнет:

Как с небывалым ПВО (уфигачивается не самыми передовыми дронами производства не самых передовых государств на изичах), как с эльбрусом (уровень начала века PIII в лучшем случае), так и с шифрованием.

Зато небось тащмайор потирал ручки как он лихо будет шифрованные данные зашифровывать да подделкой цифровой подписи бабулек из квартир выселять.

anonymous ()
Ответ на: комментарий от anonymous

Мне вот интересно, эти дебилы вообще понимают, что себе в ногу стреляют и когда аналитические отделы ЦРУ граалем вскроют всю их секретную переписку с обсером почище эенигмы во вторую мировую, то бомбардировщики НАТО будут без проблем все их хитрые планы в каменный век бомбить ?

Я не уверен, что для секретных данных используются те же самые таблицы замен. Скорее всего, таблицы там тоже засекречены. По крайней мере, для предыдущего алгоритма (ГОСТ 28147-89) у многих организаций таблицы были свои.

hateyoufeel ★★★★★ ()

гост-криптография

лучше бы на колбасу госты ввели, а то жрать совсем невозможно стало.

anonymous ()
Ответ на: комментарий от Alve
  • К DES были, DES сломали, DES перестали использовать.
  • К Dual_EC_DRBG были, Dual_EC_DRBG перестали использовать.
  • К ГОСТу есть.

Еще вопросы?

X-Pilot ★★★★★ ()
Ответ на: комментарий от X-Pilot

И «for the record»: экшен с проталкиванием повсюду Salsa20/ChaCha/Curve25519 у меня восторгов тоже не вызывает.

X-Pilot ★★★★★ ()
Ответ на: комментарий от Alve

Не надо ёрничать. Это всего лишь одно семейство алгоритмов и не более того.

X-Pilot ★★★★★ ()
Ответ на: комментарий от ZenitharChampion

Кстати, есть уже дистры, в которых OpenSSL и прочие пакеты пересобраны без поддержки GOST-шифрования?

Что значит «уже»? Всегда были, с момента появления первого дистрибутива Linux и до сегодняшнего дня, непрерывно.

t184256 ★★★★★ ()
Ответ на: комментарий от ZenitharChampion

Gost был в openssl с версии 1.0.0, но в 1.1.0 (в 2016 г.) выкинули. Он и тогда был подгружаемой билиотекой, которая была опциональной к сборке, и в системе её еще в /etc конфиге прописывать надо. Даже в ALTLinux https://bugzilla.altlinux.org/show_bug.cgi?id=37922

The GOST engine was out of date and therefore it has been removed. An up to date GOST engine is now being maintained in an external repository. See: https://wiki.openssl.org/index.php/Binaries. Libssl still retains support for GOST ciphersuites (these are only activated if a GOST engine is present).

boowai ★★★★ ()
Последнее исправление: boowai (всего исправлений: 2)
Ответ на: комментарий от t184256

по крайней мере, на федоре включение цели fips при сборке явно отключало вообще все экстра энгайны.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2
  1. Федора не показатель, федора не сертифицирована.

  2. А в каком-нибудь gnutls не отключают, и ничего, их сертифицируют. А в nettle и флага-то такого нет.

t184256 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.