>Сертифицировать и продавать решение как «свое» — возможно, хоть и геморройно. А вот попробуйте добиться от ФСБ сертификата о том, что всякий скаченный с сайта openssl релиз — кошерен. :)

на каждый релиз нужно будет делать досертификацию, пересчет контролных сумм итд. В таком случае это было бы возможно, наверное.

Но смысла использовать отечественную криптографию в несертифицированном виде" все равно не вижу

Согласен.

Не вкуриваю, объясните!

Честно говоря, все что касается криптографии для меня темный лес!

Чем отличается тот же GPG (OpenGPG) от OpenSSL!?

OpenSSL изначально заточен для использования в сети (аутентификация)?

> Но смысла использовать отечественную криптографию в «несертифицированном виде» все равно не вижу.

Сделать дистрибутив Линукса для Северной Кореи, Ирана, Ливии и Кубы ;) куда американскую криптографию нельзя экспортировать. Другого смысла нет.

Лучше бы документацию сделали по libssl. Хотя да.. они же на суппорте бумагу имеют :(

Извиняюсь OpenPGP!

> на каждый релиз нужно будет делать досертификацию, пересчет контролных сумм итд. В таком случае это было бы возможно, наверное.

Сначала надо выдать «группе разработчиков» с сайта openssl.com лицензию ФСБ на производство средств шифрования... И обязать их учитывать скаченные копии. Мне так уже смешно :)))

С досертификацией и пересчетом сумм путь пока нехоженный. Этот путь прописан, вроде как, в нормативных документах ФСБ, да только кто ж их читал из «простых смертных»? Я знаю о попытках идти таким путем, прецедентов пока нет. Поживем — увидим :)

Формат чего открыт? Контейнера? Ключ 28147 это 256 бит случайное число, в ГОСТ Р3410-2001 - точка на кривой и число. В чем проблема? Даже указано как их хранить в PKCS8. Но формата контейнера КриптоПРО никто не раскрывал, а ключи от КриптоПРО вам дадут именно как контейнер.

Не вижу, как американский запрет остановит для граждан из вышеозначенных стран скачивание openssl c сайта в Черноголовке, например? :))

Да и нужна им та российская криптография... :) С ней геморроя больше чем пользы. :(

PGP — это прикладное среюство для выполнения электронной подписи и шифрования + инфраструктура храниения открытых ключей на внешних серверах.

OpenSSL — это достаточно низкоуровневое собрание (библиотека) всех мыслимых криптоалгоритмов + утилита командной строки, позволдяющая это все как-то использовать. Служит для построения полноценных криптографических приложений и/или встраивается в существующие приложения типа веб-серверов и броузеров.

Был неправ, только что собрал 1.0.0, есть возможность посмотреть содержимое секретного ключа

$ openssl pkey -in key.pem -text
-----BEGIN PRIVATE KEY-----
MEUCAQAwHAYGKoUDAgITMBIGByqFAwICJAAGByqFAwICHgEEIgIgN5spFzqsA8UA
QNWpRY/P/ALwuASzxPYoRQMRl8uqFaM=
-----END PRIVATE KEY-----
Private key: 379B29173AAC03C50040D5A9458FCFFC02F0B804B3C4F62845031197CBAA15A3
Public key:
   X:B675D1C7B9266D1428035BCCCE9B5A964FD200FDA31F4ADA0DAE1603F59C2CA8
   Y:684C15D6D1CBD4BA62C4E7776B401BDBA9C599D203088082489C95FBDB0E37F0
Parameter set: id-GostR3410-2001-CryptoPro-XchA-ParamSet

Это для секретного ключа ГОСТ.

> Формат чего открыт?

Гаммы для ГОСТ, используемой Криптопро. Нет? Это позволит верифицировать подписанное криптопрошным УЦ сообщение.

Контейнера?

Хотел было возразить, но погуглил, действительно PKCS#12 не поддерживается. :( В топку.

> остановит для граждан из вышеозначенных стран скачивание openssl c сайта в Черноголовке, например? :))

Для граждан никак. Фирмам, работающим в этих странах, и продающим решения на Linux, может быть важно.

Есть европейский AES, есть, наверняка, что-то своё. Вопрос не в алгоритмах, вопрос в приложениях. Пока нет той же «мозиллы с ГОСТом» и верисайн гостовских сертификатов не выдает, разговор возможен только «в пользу бедных». :)

Кстати, наличие госта в openssl верисайну точно не поможет :(

Мозиллу с ГОСТом щас быстренько нарисуют в рамках проекта по оказанию госуслуг в электронном виде ;) По крайней мере, разговоры такие ходили. Только мозилла, по-моему, на libnss.

Кстати, наличие госта в openssl верисайну точно не поможет :(

Э?

> Но смысла использовать отечественную криптографию в «несертифицированном виде» все равно не вижу.

По-моему, использовать этот ваш ГОСТ элементарно опасно. Есть ли вообще публикации международных экспертов по поводу его устойчивости? Я когда-то давно смотрел на симметричное ГОСТ-шифрование, так там задавание S-box-ов (или их аналогов, не помню) извне преподносилось как достоинство. Это при том, что, например, в DES S-box-ы специальным образом хитро настроены, чтобы быть устойчивыми к differential cryptanalysis. А если бы их выбирали случайным способом - хрен бы так вышло.

Мозиллу с ГОСТом щас быстренько нарисуют в рамках проекта по оказанию госуслуг в электронном виде ;)

Ага, и УЦ построят и всем ключи раздадут. :) Предвижу очереди граждан длинне чем в налоговую накануне дня сдачи отчетности :))

Кстати, наличие госта в openssl верисайну точно не поможет :(

Э?

Я далек от мысли, что verisign использует OpenCA.

Да, это серьёзная проблема. Вопрос определения слабых ключей для произвольного узла замены до сих пор не дает покоя сообществу криптографов. Открытых работ на эту тему я не встречал. Есть ли таковые работы «в недрах КГБ/ФАПСИ/ФСБ» мне не известно.

Я бы не преувеличивал опасность использования ГОСТа с произвольным узлом замены, поскольку вероятность наткнутся на слабый ключ достаточно низка. Простая замена ГОСТа сложнее чем DES ECB, поэтому повторение известной атаки на DES «в том же виде» вряд ли возможно.

Проблема тут в другом. Раньше узлы замены явно «навязывались» ФАПСюками/ФСБшниками со словами «мы проверили, они хорошие». но методика проверки и критерии «хорошести» широкой общественности сообщены не были. Пока все сходятся на том, что использование узлов замены и прочих параметров алгоритмов, указанных в вышеназванном RFC от Серёжи Леонтьева и Игоря Курепкина из «Крипто-Про» (с участием и по соглашению еще четырех российских производителей) безопасно.

Если Вам интересна криптоматематика, то поищите что-нибуть про генерацию узлов замены и бент-функции (bent functions).

Я просто поздравил Silvy и спросил с какого за сутки 3 звезды набежало. Это наверно тёмная история, поэтому мой пост сразу прирезали.

>С досертификацией и пересчетом сумм путь пока нехоженный. Этот путь прописан, вроде как, в нормативных документах ФСБ, да только кто ж их читал из «простых смертных»? Я знаю о попытках идти таким путем, прецедентов пока нет. Поживем — увидим :)

Мы ходили таким путем — все ок)))

Раньше узлы замены явно «навязывались» ФАПСюками/ФСБшниками со словами «мы проверили, они хорошие».

Вообщем-то и сейчас эти товарищи навязывают использование их УЗ, как одно из требований сертификации. Правда тут еще важен уровень на который сертифицируется изделие.

> Мы ходили таким путем — все ок)))

Вот и мы пытаемся. :)

Вообщем-то и сейчас эти товарищи навязывают использование их УЗ, как одно из требований сертификации.

Ну так это на КС, как я понимаю. Там вообще проще «перед прочтением застрелиться», :)

> Я бы не преувеличивал опасность использования ГОСТа с произвольным узлом замены, поскольку вероятность наткнутся на слабый ключ достаточно низка.

Вы, простите, эксперт в криптографии? :3 Есть такая штука в науке, называется peer review. Алгоритм AES, например, считается надежным, так как международные эксперты тщательно в него, так сказать, потыкали, и пришли к выводу, что особых слабостей нет (хотя, насколько помню, было что-то мелкое с линейными зависимостями матриц - давно учил криптографию). С ГОСТом что-то похожее делали? Я понимаю еще, если бы его создали в недрах NSA - там все-таки работает очень много математиков-лидеров, хотя уже считается, что «открытая» криптография по меньшей мере не хуже, чем знания накопленные в области в недрах NSA. Но, простите, ФСБ? Кто они такие вообще, кто там работает? И с каких пор в России хоть что-то понимают в Computer Science? :3

В каком-то смысле — эксперт. В приложениях криптографии уж точно лет 15 опыта у меня есть. В математике в меньшей степени. В 8м главном управлении КГБ (потом ФАПСИ, потом 8м управлении ФСБ) криптографов всегда было много. Многие профессора мехмата преподавали и на 4м факультете высшей школы КГБ (потом — ИКСИ). Да и с мехмата народ вербовали. Пара отделов «Стекловки» на чекистов работало. Тач что умных людей там тоже много. :)

ГОСТ 28147 был опубликован в 1989м, дальше делайте выводы. Статьи и доклады про ГОСТ можете найти, например здесь

Comments on Soviet encryption algorithm, Charnes, C., O'Connor, L., Pieprzyk, J., Safavi-Naini, R. and Zheng, Y., Eurocrypt'94

Key-Schedule Cryptanalysis of IDEA, G-DES, GOST, SAFER, and Triple-DES, Kelsey, J., Schneier, B. and Wagner, D. Crypto '96.

Есть и еще, у меня под рукой нет ссылок. Все это можно найти, например, в серии трудов криптографических конференций («Crypto», «Eurocrypt», «AsiaCrypt» и пр.), изданной издательством Schpringer под общим названием «Advances in Cryptology» в серии «Lecture notes in computer science».

Верить «недрам спецслужб» вообще не стоит, на мой взгляд. «Made by спецслужбы» — не гарантия надежности, но повод задуматься о наличии «черного хода для своих». К ГОСТу это тоже относится :)

> В 8м главном управлении КГБ (потом ФАПСИ, потом 8м управлении ФСБ) криптографов всегда было много. Многие профессора мехмата преподавали и на 4м факультете высшей школы КГБ (потом — ИКСИ). Да и с мехмата народ вербовали. Пара отделов «Стекловки» на чекистов работало. Тач что умных людей там тоже много. :)

Ну это понятно, что туда вербовали математиков. Весь вопрос в их уровне, относительно мирового. Что-то я не припомню значимых результатов в криптографии из СССР и России. :3 Все больше какие-то американцы, британцы, израильтяне... :3

Comments on Soviet encryption algorithm, Charnes, C., O'Connor, L., Pieprzyk, J., Safavi-Naini, R. and Zheng, Y., Eurocrypt'94
Key-Schedule Cryptanalysis of IDEA, G-DES, GOST, SAFER, and Triple-DES, Kelsey, J., Schneier, B. and Wagner, D. Crypto '96.

Вот это уже что-то с чего можно начать в scholar.google.com, спасибо. :3

Верить «недрам спецслужб» вообще не стоит, на мой взгляд. «Made by спецслужбы» — не гарантия надежности, но повод задуматься о наличии «черного хода для своих». К ГОСТу это тоже относится :)

Это несколько наивный взгляд на вещи, так как спецслужбы боятся промышленного шионажа, а алгоритмы выпускают в основном для коммерческих структур. Очень трудно засунуть такой бекдор в алгоритм, чтобы о нем никто не знал, а воспользоваться могли только эти самые спецслужбы. С hardware чипом такой финт уже легче провернуть, но даже такая затея NSA потерпела в свое время провал.

Вот, кстати:

http://www.springerlink.com/content/5dy29x5ya8rr7nfy/ http://www.springerlink.com/content/dwl344fg8xduwt46/

Но, похоже, можно уверенно сказать, что ГОСТ интересен мало кому из криптографов. По крайней мере тех криптографов, кто не работает в NSA. :3

> Ну это понятно, что туда вербовали математиков. Весь вопрос в их уровне, относительно мирового. Что-то я не припомню значимых результатов в криптографии из СССР и России.

К сожалению, это проблема закрытого общества, коим мы были и остаёмся. В «остальной открытой науке» ситуация немногим лучше.

Ну какие «коммерческие структуры» в СССР? ГОСТ, собственно — это старая советская наработка эпохи «железного занавеса». Спецслужбы всегда работают только на себя, а коммерсанты, в основном, используют поделмия «гражданских» криптографов. RSA тому пример. Да и AES - открытая университетская разработка.

Что касается новых алгоритмов подписи, то их «трудно не изобрести», в каком-то смысле с подписью легче.

Вот тут знатный вброс одного из разработчиков OpenBSD про openssl:
http://www.peereboom.us/assl/html/openssl.html
Интересно, за полгода что-то изменилось?

TO: faustus

Один «ламерок в криптографии» (http://en.wikipedia.org/wiki/Bruce_Schneier) - помнится расписался что нихрена не понимает чего русские намутили в этом факин госте :) Надеюсь что КГБ-шники понимали но молчали в тряпочку :)

А криптографы в СССР - были лучшие. Ну по крайней мере пер-пар с США. При пидор^W Ёлкине - все благополучно перебрались на землю обетованную :( и устроили большой облом америкотам в сильной криптографии :) Название группы компаний вы и сами знаете.

Рассея в области криптографии ничего из себя УВЫ не представляет глобально /0, лидеры как на зимней олимпиаде. Чтобы это всё поднять надо усиленно кормить ботанов-очкариков, а кому это надо? ...

> Вот тут знатный вброс одного из разработчиков OpenBSD про openssl

По-моему, наглядно демонстрирует общий уровень разработчиков OpenBSD: очень, очень много гонору и очень, очень мало мозгов.

А криптографы в СССР - были лучшие. Ну по крайней мере пер-пар с США. При пидор^W Ёлкине - все благополучно перебрались на землю обетованную :( и устроили большой облом америкотам в сильной криптографии :)

Ну, не знаю... У засилья криптографии на земле обетованной немного другие корни. Мне один знакомый, например, очень убедительно рассказывал, что Ади Шамир во время своей службы в соответствующем подразделении АОИ, прознал про спипозаимствованный у британской службы GCHQ алгоритм шифрования с публичным ключом, быстро «придумал» свой, чем и воспользовался после демобилизации. Ну или что-то в этом роде. Я, конечно, не поверил, но пример характерный. :3

>что Ади Шамир ... быстро «придумал» свой ...

Ну не без этого наверно, дык а фигли ты хочешь, тогда это было оружие, а не герлприватчат какойнить :)

А то что «быстро \„придумал\“ свой» - дык у Шнейдера смотри как какой то ушлый пакистанец их _дважды_ кинул :)

>> Вот тут знатный вброс одного из разработчиков OpenBSD про openssl

По-моему, наглядно демонстрирует общий уровень разработчиков OpenBSD: очень, очень много гонору и очень, очень мало мозгов.

faustus

По моему - ты просто не видел сырков openssl'я :)

Спасибо, статью посмотрю. ГОСТ действительно интересен только для применяющих «сертифицированные СКЗИ» на территории РФ. И то — опосредованно. Сертифицировано — и слава богу/яйцам/КПСС/Путину(нужное подчеркнуть). Распространённость метода и ценность защищаемой информации не те, чтобы имело смысл предпринимать серьёзные исследования.

Криптографам из NSA ГОСТ тоже малоинтересен, поскольку не защищает ничего ценного для разведки. Разве что — из спортивного интереса. Вот и читайте «Прикладную Криптографию», Шнайер и в NSA работал, и про ГОСТ написал :).

Кому нахрен нужно дешифровывать платежку или протокол голосования, если «время жизни» этих документов примерно час? В течении часа-двух подобные документы становятся достоянием общественности. Единственной ценностью в этой стране является, разве что, телеметрия с нефтяных и газовых скважин. Вот её шифруют и в в реалтайме передают.

Ну, OpenSSL действительно написан не лучшим образом. В его иерархии действительно трудно разобраться. Да и документированность отвратительна. Возможно, что хорошую документацию они за деньги продают, однако то, что есть в открытом доступе почти никуда не годится.

Если не изменилось ничего за 15 лет с эпохи SSLeaу, то что могло измениться за последние полгода? :))

> revdep-rebuild должен помочь

Все остальные уже года 2 наслаждаются preserved-libraries. Обнови portage до какого-нибудь 2.2_rc*.

> не весь соберётся.

Что не соберётся?

> Ну, гентушнеги, раскаивайтесь еще раз.. весь слинкованный с openssl софт придется персобирать, хе-хе!

Во-первых, тяжёлые вещи вроде FF и OOo работают с ним не напрямую, а через другие библиотеки. Из долгособираемых только qt-core обращается к нему напрямую.

Во-вторых, для таких случаев уже года два есть автоматическая защита старых библиотек. Старая версия останется параллельно с новой, пока не обновишь все программы, которым она нужна.

Во-первых, тяжёлые вещи вроде FF и OOo работают с ним не напрямую

через xul, который «очень легкий», ага.

Во-вторых, для таких случаев уже года два есть автоматическая защита старых библиотек.

И что, работает? Надо бы и себе попробовать. Как, говорите, её использовать? Какие там предпосылки?

> через xul, который «очень легкий», ага.

xulrunner тоже не имеет openssl в зависимостях.

И что, работает?

Если честно, то за 2 года у меня было 3 ошибки :) Один раз сохранила старую библиотеку, но позволила удалить другую из того же пакета, без которой не работала первая. Пришлось выбирать: пересобирать OpenOffice или откатиться и не ставить новый Thunderbird. Два раза новые программы собирались не относительно новой, а относительно сохранённой версии. Исправлено.

Надо бы и себе попробовать. Как, говорите, её использовать? Какие там предпосылки?

Само появилось после апгрейда sys-apps/portage до какой-то из 2.2_rc*. (Возможно, rc22, но могу ошибаться.) На некоторых сайтах утверждают, что надо добавлять в /etc/make.conf FEATURES=«preserve-libs», но у меня работает и так.

>xulrunner тоже не имеет openssl в зависимостях.

да ну ? у мозиллы есть libnss

~ :$ldd /usr/lib/xulrunner-1.9.2/lib*|grep ssl
libssl3.so => /usr/lib/libssl3.so (0xb6327000)
libssl3.so => /usr/lib/libssl3.so (0xb651b000)
~ :$ldd /usr/lib/xulrunner-1.9.2/lib*|grep crypt
~ :$


что и требовалось доказать ) это наверное майнтейнеры вашего дистрибутива отсебятиной занимались

УРА!!! Давно ждал, надеюсь, что и Криптоком обновит свой продукт.

>Но смысла использовать отечественную криптографию в «несертифицированном виде» все равно не вижу.

Учитывая, что Крипто-ком делает сертифицированный «openssl» смысл есть. Можно сделать продукт на openssl, а для практического использования, когда требуется сертифицированная криптография заказчик докупает сертифицированный продукт. Собственно, я недавно именно так и делал, на основе мода 0.9.8 от криптокома, они на сайте его дают скачать на правах триала... По сути, это единственный «родной» для юниксов криптопакет. Тот же криптопро - чисто вантузной архитектуры штука, там, кажется даже командная строка отдельно и за отдельные бабки продаётся

> у мозиллы есть libnss

И что? Для установки dev-libs/nss не требуется openssl.

$ qdepends dev-libs/nss
dev-libs/nss-3.12.5: dev-util/pkgconfig

~ :$ldd /usr/lib/xulrunner-1.9.2/lib*|grep ssl

libssl3.so => /usr/lib/libssl3.so (0xb6327000)

libssl3.so => /usr/lib/libssl3.so (0xb651b000)

~ :$ldd /usr/lib/xulrunner-1.9.2/lib*|grep crypt

~ :$

$ ldd /usr/lib/xulrunner-1.9.2/lib* 2> /dev/null |grep ssl
/usr/lib/xulrunner-1.9.2/libssl3.so:
   libssl3.so => /usr/lib64/nss/libssl3.so (0x00007f34bc886000)
   libssl3.so => /usr/lib64/nss/libssl3.so (0x00007ff1a677f000)
$ ldd /usr/lib/xulrunner-1.9.2/lib* 2> /dev/null |grep crypt
$ qfile /usr/lib64/nss/libssl3.so
dev-libs/nss (/usr/lib64/nss/libssl3.so)

майнтейнеры вашего дистрибутива отсебятиной занимались

Firefox, OOo и xulrunner ставил ебилдами от Sabayon. dev-libs/nss-3.12.5 — из основного дерева.

А выше я имел в виду, что ряд приложений, пользующихся OpenSSL, не работают сами с его библиотеками, а вызывает ещё какие-то библиотеки-посредники. Поэтому при обновлении OpenSSL необходимо обновлять эти посредники, а большие программы трогать не нужно.

>PGP — ... + инфраструктура храниения открытых ключей на внешних серверах.

OpenSSL — это достаточно низкоуровневое собрание (библиотека) всех мыслимых криптоалгоритмов + утилита командной строки

Спасибо! Теперь более или менее понятно, что есть что!

Интересно, а с помощью какого ПО формируется инфраструктура УЦ!?

>xulrunner тоже не имеет openssl в зависимостях.

простите, прочитала как «имеет» )

Ключекое слокво — «когда требуется сертифицированная криптография» :)

Коммерческих — дохрена, KEON, тот же.

На основе Op[enSSL - OpenCA (http://en.wikipedia.org/wiki/OpenCA) Читать здесь — http://ospkibook.sourceforge.net

Ну, например чисто технически Р34.10-2001 не так уж и плох,

можно использовать в прикладухе даже и без палки

Техничеси — да. Для корпоративного окологосударственного применения вполне годен. Вот там и используется. Но я же уже тут говорил, что пока verisign и thawte не начнут выпускать 34.10е сертификаты широкое применение российской криптографии сомнительно. К тому же, к 34.10й прилагается 34.11й хэш, а это не есть хорошо, потому как там используется ГОСТ 28147.