Мы строили, строили и наконец построили!
Oct. 26th, 2007 10:35 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagnerИтак, в текущем снапшоте OpenSSL 0.9.9 (еще не выпущенная девелопмент версия) есть полноценная поддержка алгоритмов ГОСТ.
Включая сюда полную поддержку RFC 4490 (S/MIME, PKCS7), RFC 4491 (сертификаты, заявки CRL)
и драфта IETF по gost ciphersuites от CryptoPro.
Пока гарантируется работа только при сборке ccgost engine в виде отдельной разделяемой библиотеке и её подгрузке через явное указание dynamic_path в конфиге. Но, надеюсь, в ближайшее время и это поправим.
По идее (пока интенсивного тестирования приложений не проводилось) все приложения TLS, кроме Apache
должны работать либо из коробки (если они умеют читать конфигурационный файл OpenSSL) или с приложением патчей со странички http://www.cryptocom.ru/OpenSource/OpenSSL_rus.html (которые их этому обучают).
С апачем сложнее - он шибко умный и ключи грузит сам. Поэтому его придется обучать, что типов публичных ключей бывает не два (RSA и DSA), а как минимум - пять. (RSA, DSA, EC, GOST94, GOST2001). Да, естественно, патчи для работы apache с неофициальным патчем к 0.9.8e (AKA МагПро КриптоПакет 1.0) для работы с OpenSSL 0.9.9 не годятся.
К сожалению, ребята из Core Team забыли закоммитить 300-строчый README.gost который объясняет как именно работать с ГОСТ-овскими алгоритмами в OpenSSL. Но я им уже напомнил.
Включая сюда полную поддержку RFC 4490 (S/MIME, PKCS7), RFC 4491 (сертификаты, заявки CRL)
и драфта IETF по gost ciphersuites от CryptoPro.
Пока гарантируется работа только при сборке ccgost engine в виде отдельной разделяемой библиотеке и её подгрузке через явное указание dynamic_path в конфиге. Но, надеюсь, в ближайшее время и это поправим.
По идее (пока интенсивного тестирования приложений не проводилось) все приложения TLS, кроме Apache
должны работать либо из коробки (если они умеют читать конфигурационный файл OpenSSL) или с приложением патчей со странички http://www.cryptocom.ru/OpenSource/OpenSSL_rus.html (которые их этому обучают).
С апачем сложнее - он шибко умный и ключи грузит сам. Поэтому его придется обучать, что типов публичных ключей бывает не два (RSA и DSA), а как минимум - пять. (RSA, DSA, EC, GOST94, GOST2001). Да, естественно, патчи для работы apache с неофициальным патчем к 0.9.8e (AKA МагПро КриптоПакет 1.0) для работы с OpenSSL 0.9.9 не годятся.
К сожалению, ребята из Core Team забыли закоммитить 300-строчый README.gost который объясняет как именно работать с ГОСТ-овскими алгоритмами в OpenSSL. Но я им уже напомнил.
