Pull to refresh

Comments 19

Отличная статья. Даже не смотря на то, что вы работаете в компании, которая делает USB токены.
>> Tunnel из «коробки» не умеет работать с ГОСТами, поэтому я его пропатчил и пересобрал. Патч размером примерно в 2 строчки.

Как под виндой не знаю, а под *nix надо сказать скрипту configure ключ --disable-rsa. Что примечательно, алгоритмы RSA от этого не пропадут, напротив, отсутствие этой опции отрубает все, кроме RSA. Вероятно, патч прибивает это гвоздями? Может под винду тоже есть штатный способ?

Самому как-то надо было ГОСТовый stunnel для http, собирал. Удобно :) Действительно радует то, что под nix-ы патч не нужен. Правда, я юзал сертифицированную крипту на основе того же openssl, но сути это не меняет.
Дело в том, что sTunnel сначала инициализирует OpenSSL, а потом подгружает engine, которая релизует ГОСТы, поэтому ГОСТы не попадают в список шифрсьютов.

Поэтому так не работало. Когда я поменял последовательность вызовов (сначал подгружаем engine, потом инициализируем OpenSSL) все заработало.

Какую версию sTunnel вы собирали?
stunnel 4.36 on i686-redhat-linux-gnu with OpenSSL 0.9.8e
Брал актуальную на тот момент. Никаких проблем, ГОСТы есть.

Собственно, способ взял тут cryptocom.ru/opensource/stunnel.html.
А способ придумал, видимо, Витус Вагнер vitus-wagner.livejournal.com/104283.html?thread=19701339#t19701339
Говорит, и под виндой оно работает.
Я собирал с OpenSSL 1.0.

А откуда вы в OpenSSL 0.9.8e получили ГОСТы?

Предполагаю, что вы использовали патченный OpenSSL 0.9.8e, в котором механизм подгрузки engine работает по другому. Вы случайно не МагПро КриптоПакет использовали?
>> Вы случайно не МагПро КриптоПакет использовали?
Ага, именно его.

Мне казалось, что я с OpenSSL 1.0.0 пробовал тоже, сам собирал из исходников. Хотя могу ошибаться.
Понравилось: «В случае TLS-аутентификации пользователей об Active Directory»
Речь идет о том, что по результатам TLS-аутентификации на конкретном сервисе (например, RDP) у AD запрашивается учетная информация пользователя.
Например, в случае доступа через ISA (TMG), которая работает в режиме «делегирование аутентификации»
пользователь аутентифицируется в рамках TLS по сертификату на ISA. А она уже, конвертирует эту аутентификацию в билет kerberos об AD.
1. Как криптопровайдер будет работать на Linux, Mac, Android? (openssl и stunnel работают на всех этих платформах)

2. Все ли провайдеры поддерживают аппаратную аутентификацию с неизвлекаемыми ключами?

3. Не все версии RDP-клиента под виндой умеют TLS.

4. Удобнее. Как я уже писал, можно сделать конструкцию, которая не требует установки с правами сисадмина (для современных систем). Можно войти на RDP из интернет-кафе.

А так ничего не машает:)
1. Я думаю, что связка когда с одной стороны сервер с криптопровайдером, а с другой стороны OpenSSL с ГОСТ вполне будет работать. Хотя сам не пробовал.
2. КриптоПро ?
3. Что мешает обновить? + в вашей схеме TLS+RSA over TLS+GOST
4. Спорный момент. Как быть если нужно конектится к нескольким серверам? Несколько sTunnel'ей?

Вы просто о разном говорите.
Моё имхо: статья о том, как получить быстрое, дешевое, защищенное и вполне себе удобное решение для админа/программера/фрилансера с берега Красного моря :)

Ничего не мешает на этой базе сделать промышленное решение, либо выбрать для промышленного решения другую базу по своим потребностям.

Годная, зачётная статья.
Никто не спорит, что это годная, зачетная статья. У меня был вопрос, а не критика :)

А что касается «себе удобное решение для админа/программера/фрилансера с берега Красного моря» — в таких случаях и TLS + RSA подойдет. ГОСТ, имхо, нужен только если предъявляются специфические требования.
1. На сервере — да. Я про кроссплатформенный клиент.
4. Несколько секций в конфиге sTunnel. При доступе на 127.0.0.1:8088 будет проброс на сервер А, при доступе на 127.0.0.1:8089 будет проброс на сервер В.
Использую сейчас с отечественным криптопровайдером полностью ГОСТовые, не обернутые RSA ключи на виндовом сервере с AD, Winlogon, и подключаюсь через TSG по RDP, то есть практически все решения готовые и без настраивания sTunnel. Почему бы и нет.
заранее извините за занудство, но слово Suite по-английски произносится «свит», а не «сьют» (suit). Эта новоязовская ошибка уже далеко проникла, но все еще есть шанс ее исправить. Либо целиком перевести на русский термин Cipher suite, либо произносить его правильно.
Sign up to leave a comment.

Articles