LINUX.ORG.RU

GnuPG/SMIME с поддержкой российской криптографии на базе токенов/смарткарт PKCS11

 , , , ,


5

1

Если говорить об OpenSource-проектах в области инфраструктуры открытых ключей (ИОК) на базе сертификатов X509, то наряду с Network Security Services (NSS), OpenSSL, широкой популярностью пользуется проект GnuPG/SMIME. Криптографическим ядром данного проекта является библиотека LibGCrypt. Существенным при этом является то, что эта библиотека поддерживает криптоалгоритмы ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 (STRIBOG256 и STRIBOG512) и не требует никакой доработки, по крайней мере, для функций формирования электронной подписи и ее проверки. Для разбора, манипулирования объектами ИОК (сертификаты, запросы на сертификаты, электронная подпись и т.п.) в GnuPG используется библиотека LibKSBA. В отличие от LibGCrypt, в библиотеке libksba не реализованы рекомендации ТК-26 для криптографических сообщений формата CMS.

В статье показано как доработать проект GnuPG, чтобы обеспечить поддержку российской криптографии. Такая модернизация автоматом приводит в поддержки ГОСТ-алгоритмов в утилите Kleopatra, почтовом клиенте KMail и других проектах.

>>> Инфраструктура открытых ключей: GnuPG/SMIME и токены PKCS#11 с поддержкой российской криптографии



Проверено: JB ()

Ответ на: комментарий от Odalist

В России семимильными шагами нарастает фашизация общества. Неоязычество сопутствует этому.

Я читал, МВД уже обеспокоено этим (распространением среди своих сотрудников).

pacify ★★★★★ ()
Ответ на: комментарий от pacify

МВД уже обеспокоено этим (распространением среди своих сотрудников).

Не хочется разводить оффтопик, но это им (в том числе и власти) только на руку. Это мнимое беспокойство.

Odalist ★★★★★ ()
Ответ на: комментарий от anonymous

это гарантированное отсутствие пиндозондов в криптографии

Но ведь криптография это не вебсервис, ломать шифр могут все, кто знает как.

goingUp ★★★★★ ()
Ответ на: комментарий от te111011010

Гостовское шифрование имеет смысл использовать только там, где оно обязательно.

Либо кому-то нравится. Может такое? Может

pki_gost ()

Что значит «нравится»? Как КОИ-8 одному местному упоротому посетителю? Безо всяких аргументов, просто «нравится», «не всем нужен юникод» и т.п.? Или у данного алгоритма шифрования есть какие-то преимущества перед другими?

te111011010 ()
Ответ на: комментарий от te111011010

Или у данного алгоритма шифрования есть какие-то преимущества перед другими?

А у других есть преимущество перед ГОСТ-ами? И чем мешает КОИ-8? CP1251 не мешает же. Просто хравится Microsoft-у и Все тут!!!

pki_gost ()

А у других есть преимущество перед ГОСТ-ами?

Они более распространены и поддерживаются всеми криптобиблиотеками.

И чем мешает КОИ-8? CP1251 не мешает же.

Мешает. Мешает всё, кроме вариантов представления юникода.

te111011010 ()
Ответ на: комментарий от anonymous

«Ты» это кто? Пользоваться будут твои вассалы, которых с точки зрения «тебя» полезно подслушать, вдруг они твои секреты на запад будут сливать ;-)

vitalif ★★★★★ ()
Ответ на: комментарий от te111011010

Да они опечатались, не Стрибог, а Свиборг!

vitalif ★★★★★ ()
Ответ на: комментарий от Odalist

Нужен особый талант чтобы свести гос.политику, стандарт гост, реализацию госта от коммерческой конторы лиссисофт, красивое славянское имя какого то духа, про которого ни чего ни кто не помнит толком — и сделать из этого вывод что идёт фашизация.

Дружок, это не в стране фашизация, а у тебя шизафация — к доктору обратись срочно, а то увезет в смирительной рубашке.

mandala ★★★★ ()
Ответ на: комментарий от anonymous

гарантированное отсутствие пиндозондов

Ну, это слегка слишком оптимистично.

DonkeyHot ★★★★★ ()
Ответ на: комментарий от vitalif

Неее. Это гарантированное НАЛИЧИЕ кремлезондов :-)

в российской гостайне и прочем? мне нравится ход твоих мыслей

anonymous ()
Ответ на: комментарий от anonymous

Зонды ЦРУ мягче и пушистее ?

Если вдруг понадобишься, ЦРУ тебя будет за доллары покупать, а ГБ - за решётку засовывать. Что мягче по твоему?

Потятно, если ты не там, тогда наоборот.

DonkeyHot ★★★★★ ()
Последнее исправление: DonkeyHot (всего исправлений: 1)
Ответ на: комментарий от te111011010

некоторые популярные алгоритмы проверены на стойкость

Если говорить о популярности, то ГОСТ Р 34.10 тот же популярный ЕСС со своей точкой. О чем спор? Поосмотрите OpenSSL, NSS и вы увидите это множество популярных алгоритмов, и все они уживаются в мире и дружбе. А не стойность ГОСТ-ов еще никто не показал. Что касается криптовалюты. Это примерно тоже самое, что говорить о валидности электронной подписи или сертификата. Это вам не криптоалгоритм RSA или ГОСТ.

TclTk ()
Ответ на: комментарий от mandala

а у тебя шизафация — к доктору обратись срочно, а то увезет в смирительной рубашке.

Сказал чел с бабской аватркой. Дружок, мнение индивида, страдающего половой дисфорией, мне неинтересна.

Odalist ★★★★★ ()
Ответ на: комментарий от Odalist

Давненько мне диагноз по аватарке не ставили, я уж думал такие специалисты перевелись в отечестве...

mandala ★★★★ ()
Ответ на: комментарий от te111011010

Стрибог (др.-рус. Стрибогъ) — в древнерусском язычестве божество с не вполне ясными функциями

Это просто сват или кум какого-то верховного бога.

Deleted ()
Ответ на: комментарий от te111011010

можно исползовать для гостайны

Ой, не надо о гостайне! Свят, свят...

TclTk ()
Ответ на: комментарий от anonymous

А если появится, убежишь с линукса, обдристав ляжки от страха перед Ними?

Alve ★★★★★ ()
Ответ на: комментарий от anonymous

никогда не появится в основном пакете GP

А они уже там появились через библиотеку libgcrypt, как появились в OpenSSL, Libressl, других проектов. ECC появляется повсеместно, а поскольку ГОСТ это клон ECC, то и ГОСТ так или иначе проявляется.

TclTk ()
Ответ на: комментарий от DonkeyHot

Опять этот «аргумент». Ну да, если ты сделаешь что-то настолько ужасное, что «понадобишься» — тебя возьмут ежовыми рукавицами за твою неуловимую попку, позже или раньше. И что? Каждый день совершаешь киберпреступления? (термин coined в твоих любимых США) Ты думал, типа, «зашифруюсь и в домике»?

anonymous ()
Ответ на: комментарий от anonymous

Опять этот «аргумент»

Ты оспариваешь не тот аргумент. Впрочем, и тот может быть справедлив иногда.

DonkeyHot ★★★★★ ()
Ответ на: комментарий от te111011010

А смысл есть? Гостовское шифрование имеет смысл использовать только там, где оно обязательно.

И что? Вот по работе нужна гостовская криптография для ФСС ЭЛН. И работать должно и в винде и в линуксе. Не вижу причин не обсуждать гостовскую криптографию на ЛОР. Пока я не вижу как применить продукты ЛИССИ-Софт для своей задачи, но, может быть, что-то изменится?

anonymous ()
Ответ на: работать должно и в винде и в линуксе от TclTk

Re: работать должно и в винде и в линуксе

Спасибо за ответ,

Официальная спецификация - вот: https://cabinets-test.fss.ru/Спецификация_ЭЛН_МО_v_1_1_20180412.doc . Эта спецификация скоро устареет, поскольку она описается на устаревшие ГОСТы (34.11-94, 34.10-2001, 28147-89), свежую можно будет найти на https://cabinets-test.fss.ru/eln.html в разделе «Сервис МО с подписанием и шифрованием данных».

Сейчас я решил задачу с возможностью выбора между КриптоПро CSP или ViPNet CSP, благо оба продукта поддерживают MS CryptoAPI не только в windows но и linux (и различных unix).

Буду рад добавить в список поддерживаемых ваш продукт. Но, как я понимаю, в ЛИРССЛ-CSP MS CryptoAPI в linux не поддерживается? Т.е. для работы с ЛИРССЛ-CSP мой подход не скорее всего не подойдёт.

Буду рад ознакомится с Вашими предложениями.

anonymous ()
Ответ на: Re: работать должно и в винде и в линуксе от anonymous

ЛИРССЛ-CSP MS CryptoAPI в linux не поддерживается

Тут вы правы. А зачем? Ведь есть стандарты PKCS#11 , токены/смарткарты, если интерыйсы openssl, да им многое другое. Насчет предложений, надо посмотреть спецификации.

TclTk ()

Re: ЛИРССЛ-CSP MS CryptoAPI в linux не поддерживается

Насчет предложений, надо посмотреть спецификации.

Я умею с помощью PKCS#11 вычислять hash, подписывать данные и проверять подпись. Вот шифрования не осилил. У меня до решения этой задачи не было никакого опыта в решении подобных задач, поэтому спецификация в части шифрования показалась несколько недостаточной. Если Вам тоже спецификации будет недостаточно, то я готов предоставить код для зашифровывания и расшифровывания.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.