Comments 28
Очень жаль, что не осилили сборку deb-пакетов с openssl и всеми компонентами. Мы таким образом делали сборку пакетов с нашим кодом, а на втором этапе сборки докер-образа разворачивали их поверх штатного образа (как правило — debian или ubuntu).
github.com/crypto-org-ua/openssl-ua
Что подразумевается под официальной библиотекой? Несколько ГОСТ алгоритмов входят в OpenSSL, пруф: https://www.openssl.org/docs/man1.1.0/apps/ciphers.html
Спасибо, что вложил усилия в прикручивание ГОСТов, может серьезно помочь с автоматизациями.
Для начала отмечу, что в опенсорсной библиотеке ГОСТовый код скорее всего от вендора криптоком, линейка продуктов МагПро. Возможно ли, что какие то из опробованных вами подходов помогут в работе с сертифицированными СКЗИ? Нет. Почему? Я опишу ниже.
Зачем тогда вообще работать с ГОСТом?
Тестовое окружение? Не факт, что тестовый стенд окажется совместимым с сертифицированными скзи. Если нужен тестовый стенд для ГОСТа (ну вот не уберег Вас Господь) — гораздо разумнее получить триальные версии сертифицированных СКЗИ, все вендоры их дают, а некоторые даже позволяют скачать с сайта.
Есть нюанс — даже сертифицированные СКЗИ между собою как правило или совсем несовместимы, или совместимы с бубном. А вы что то там на опенсорсе пробуете…
Нет документации? Да полноте, есть она на все. Что нет на сайтах прямо сразу — вендоры дают по первой просьбе. У криптопры даже форум есть, там даже тем, кто первый раз в жизни make запускает рассказывают как его так запустить, что бы ngix с криптопрой собрался.
А теперь вишенка на торт… или кучу, тут уж как посмотреть. С сертифицированным средством связываются, когда нужен сертификат. На сертификате написано ( на любом, посмотрите) «безопасность информации обеспечивается при условии выполнения требований формуляра №Формуляра». А в формуляре написано, что инсталлировать СКЗИ можно только с официально полученного дистрибутива. Т.е. не с гитхаба, а с CD диска с номером экземпляра. А еще сказано(ну грубо говоря, сами почитайте )что при встраивании СКЗИ в апач или нжинкс нужно проходить проверку корректности встраивания (ну или оценку влияния прикладного ПО на функции защиты, тоже самое) по тех. заданию, согласованному с 8 центром, что примерно то же самое, что и сертификация нового СКЗИ.
Кактотак.
Видел я эти форумы. Помогите сообществу, дайте ссылку, где запускают nginx на ГОСТ-2012. Я пробовал эту, не получилось. Может кто-то сделал это в докере?
Вопрос я ваш не совсем понял.
Что конкретно вам нужно получить?
nginx, поддерживающий серверные сертификаты, подписанные на ГОСТ Р 34.10-2012?
Или какой-то( какой тогда? ) chiper suite?
На опенсорсе? Или коммерческие решения тоже устраивают?
У криптопры даже форум есть, там даже тем, кто первый раз в жизни make запускает рассказывают как его так запустить, что бы ngix с криптопрой собрался.
Я спрашивал ссылку на то самое обсуждение на форуме, где помогают собрать и запустить nginx с поддержкой сертификатов по ГОСТ Р 34.10-2012. Интересует хотя бы возможность проксирования запросов на хосты с такими сертификатами, но можно и про сам веб-сервер, поддерживающий сертификаты по ГОСТ Р 34.10-2012 своего хоста.
Как бы вы могли по-другому понять «запускают nginx на ГОСТ-2012» в контексте этой статьи?
Является ли такое решение из opensource openssl + opensource nginx + proprietary КриптоПро сертифицированным или же, как вы высказались, это еще одна куча?
Ну, тоесть ответ — нет, не является.
На основе nginx + openssl + cryptopro есть сертифицированные аппаратные решения. И на основе nginx + openssl + VipNet тоже. По сути — аппаратный реверсивный прокси с веб интерфейсом управления. Про первый могу с уверенностью сказать, что работает.
Это — да, является. Но стоит подороже и занимает минимум 1 юнит в стойке.
Если нужно дешевле и сертифицированное, и без нарушений — то нужно накатить криптопро на виндовс, а IIS настроить как реверсивный прокси на что угодно.
Про IIS в формуляре в явном виде написано, что для него корректность встраивания подтверждать ненужно.
Но нужно таки прочитать формуляр и выполнить остальные требования из серии наличия сертифицированного антивируса и т.д.
Есть еще вариант — в коробке с криптопрой лежит stunnel какой-то древней версии, собранный с поддержкой госта. На него тоже не нужно корректности встраивания, но остальные требования тоже нужно соблюдать. В некоторых случаях это помогает.
Настройка nginx для работы с сертификатами ГОСТ 2012 года
Библиотека OpenSSL качается с update.cryptopro.ru/support/nginx-gost
Есть скрипт авто установки, но КриптоПро для linux надо
Как прокси работает…
Решение пока никак не дружит с nGinx Plus…
Если область действия сертификата содержит пробелы — надо экранировать строку параметр в конфиге nGinx правильно (ssl_certificate_key 'engine:gostengy: Петя Петров';)…
github.com/deemru/nginx — сборки обновляются, но только под Windows :-(
Если нужен тестовый стенд для ГОСТа (ну вот не уберег Вас Господь) — гораздо разумнее получить триальные версии сертифицированных СКЗИ, все вендоры их дают, а некоторые даже позволяют скачать с сайта.
И каждые 3 месяца менять ключи. А у КриптоПРО есть еще подлянка в серверных лицензиях, пользуешь linux — в большинстве случаев покупай серверную. Разница только в цене. Функционал тот же.
А вот в каких случаях требуется именно сертифицированное средство? Допустим если получить доступ к сайту, который по госту работает…
Пример конкретный приведите, общими словами можно долго перекидываться.
Таким образом, если вас связывают с НБКИ договорные отношения, в этом договоре должно быть предусмотрено обязательства для вас по защите информации.
Если НБКИ вам это не прописал, то вы никому ничего не должны и можете пользоваться обычным openssl + gost, вы ничего не нарушаете, а нарушение законодательства допустил НБКИ.
Если такие требования в договоре есть, то НБКИ закон выполнил, а вы нарушаете договор.
Нарушаете ли вы закон в этом случае ( кроме нарушения договора) зависит от того, чьи данные вы оттуда вытягиваете. Если вы физ. лицо и вытягиваете свои данные, то закон не нарушаете, только договор. Если вы физ. лицо и вытягиваете данные другого физ. лица, либо вы юр.лицо и вытягиваете данные физ. лиц, то вы нарушаете требования 152-фз и всей линейки 1119-пп, 21 приказа фстек и 378 приказа фсб.
Если вы вытягиваете данные юр.лиц, то это нарушение в области банковской, налоговоой или коммерческой тайны ( в зависимости от состава данных и обстоятельств), что бы сослаться на подзаконные акты нужно разбираться конкретнее.
Вангую, что ГОСТ сделал нам Pastafarianist
Docker контейнер с CryptoPro 4 и nginx.
КриптоПро для linux надо
Не знаю, будет ли кому-то актуально, но пришлось поднимать связку nginx + gost. Получилось, заработало. Автору спасибо за оригинальную версию.
После сборки в контейнере окажется nginx 1.23.2 + openssl 3.0.5 + gost engine 3.0.1
Docker-образы с поддержкой ГОСТ-сертификатов в openssl, curl, php, nginx