Comments 28
Кто-нибудь оценивал шансы подобных сборок получить «одобрямс» для использовании в продакшене там, где требуется криптография законом или подзаконными актами?
Для ДСТУ 4145-2002 что-то подобное никто не встречал?
Очень жаль, что не осилили сборку deb-пакетов с openssl и всеми компонентами. Мы таким образом делали сборку пакетов с нашим кодом, а на втором этапе сборки докер-образа разворачивали их поверх штатного образа (как правило — debian или ubuntu).
Посмотрите тут:
github.com/crypto-org-ua/openssl-ua
github.com/crypto-org-ua/openssl-ua
не стоит помогать использовать ГОСТ шифрование, оно не безопасно, особенно в качестве одного из шифров для https, вот когда оно войдет в официальную библиотеку — тогда пожалуйста. (никогда)
UFO just landed and posted this here
Что подразумевается под официальной библиотекой? Несколько ГОСТ алгоритмов входят в OpenSSL, пруф: https://www.openssl.org/docs/man1.1.0/apps/ciphers.html
Спасибо, что вложил усилия в прикручивание ГОСТов, может серьезно помочь с автоматизациями.
Упражнение интересное, но подход странный.
Для начала отмечу, что в опенсорсной библиотеке ГОСТовый код скорее всего от вендора криптоком, линейка продуктов МагПро. Возможно ли, что какие то из опробованных вами подходов помогут в работе с сертифицированными СКЗИ? Нет. Почему? Я опишу ниже.
Зачем тогда вообще работать с ГОСТом?
Тестовое окружение? Не факт, что тестовый стенд окажется совместимым с сертифицированными скзи. Если нужен тестовый стенд для ГОСТа (ну вот не уберег Вас Господь) — гораздо разумнее получить триальные версии сертифицированных СКЗИ, все вендоры их дают, а некоторые даже позволяют скачать с сайта.
Есть нюанс — даже сертифицированные СКЗИ между собою как правило или совсем несовместимы, или совместимы с бубном. А вы что то там на опенсорсе пробуете…
Нет документации? Да полноте, есть она на все. Что нет на сайтах прямо сразу — вендоры дают по первой просьбе. У криптопры даже форум есть, там даже тем, кто первый раз в жизни make запускает рассказывают как его так запустить, что бы ngix с криптопрой собрался.
А теперь вишенка на торт… или кучу, тут уж как посмотреть. С сертифицированным средством связываются, когда нужен сертификат. На сертификате написано ( на любом, посмотрите) «безопасность информации обеспечивается при условии выполнения требований формуляра №Формуляра». А в формуляре написано, что инсталлировать СКЗИ можно только с официально полученного дистрибутива. Т.е. не с гитхаба, а с CD диска с номером экземпляра. А еще сказано(ну грубо говоря, сами почитайте )что при встраивании СКЗИ в апач или нжинкс нужно проходить проверку корректности встраивания (ну или оценку влияния прикладного ПО на функции защиты, тоже самое) по тех. заданию, согласованному с 8 центром, что примерно то же самое, что и сертификация нового СКЗИ.
Кактотак.
Для начала отмечу, что в опенсорсной библиотеке ГОСТовый код скорее всего от вендора криптоком, линейка продуктов МагПро. Возможно ли, что какие то из опробованных вами подходов помогут в работе с сертифицированными СКЗИ? Нет. Почему? Я опишу ниже.
Зачем тогда вообще работать с ГОСТом?
Тестовое окружение? Не факт, что тестовый стенд окажется совместимым с сертифицированными скзи. Если нужен тестовый стенд для ГОСТа (ну вот не уберег Вас Господь) — гораздо разумнее получить триальные версии сертифицированных СКЗИ, все вендоры их дают, а некоторые даже позволяют скачать с сайта.
Есть нюанс — даже сертифицированные СКЗИ между собою как правило или совсем несовместимы, или совместимы с бубном. А вы что то там на опенсорсе пробуете…
Нет документации? Да полноте, есть она на все. Что нет на сайтах прямо сразу — вендоры дают по первой просьбе. У криптопры даже форум есть, там даже тем, кто первый раз в жизни make запускает рассказывают как его так запустить, что бы ngix с криптопрой собрался.
А теперь вишенка на торт… или кучу, тут уж как посмотреть. С сертифицированным средством связываются, когда нужен сертификат. На сертификате написано ( на любом, посмотрите) «безопасность информации обеспечивается при условии выполнения требований формуляра №Формуляра». А в формуляре написано, что инсталлировать СКЗИ можно только с официально полученного дистрибутива. Т.е. не с гитхаба, а с CD диска с номером экземпляра. А еще сказано(ну грубо говоря, сами почитайте )что при встраивании СКЗИ в апач или нжинкс нужно проходить проверку корректности встраивания (ну или оценку влияния прикладного ПО на функции защиты, тоже самое) по тех. заданию, согласованному с 8 центром, что примерно то же самое, что и сертификация нового СКЗИ.
Кактотак.
Где требуются сертифицированные средства, там, пожалуйста, заполняем формуляр №, проходим проверки корректности, и, возможно, сертификации. Где не требуется, то решение рабочее. Некоторые вендоры не дают просто так экспортировать ключ в PEM, но решения есть: habrahabr.ru/post/317406
Видел я эти форумы. Помогите сообществу, дайте ссылку, где запускают nginx на ГОСТ-2012. Я пробовал эту, не получилось. Может кто-то сделал это в докере?
Видел я эти форумы. Помогите сообществу, дайте ссылку, где запускают nginx на ГОСТ-2012. Я пробовал эту, не получилось. Может кто-то сделал это в докере?
(из-под стола)Ээээ… Куда-куда вы ключи запихиваете?
Вопрос я ваш не совсем понял.
Что конкретно вам нужно получить?
nginx, поддерживающий серверные сертификаты, подписанные на ГОСТ Р 34.10-2012?
Или какой-то( какой тогда? ) chiper suite?
На опенсорсе? Или коммерческие решения тоже устраивают?
Вопрос я ваш не совсем понял.
Что конкретно вам нужно получить?
nginx, поддерживающий серверные сертификаты, подписанные на ГОСТ Р 34.10-2012?
Или какой-то( какой тогда? ) chiper suite?
На опенсорсе? Или коммерческие решения тоже устраивают?
У криптопры даже форум есть, там даже тем, кто первый раз в жизни make запускает рассказывают как его так запустить, что бы ngix с криптопрой собрался.
Я спрашивал ссылку на то самое обсуждение на форуме, где помогают собрать и запустить nginx с поддержкой сертификатов по ГОСТ Р 34.10-2012. Интересует хотя бы возможность проксирования запросов на хосты с такими сертификатами, но можно и про сам веб-сервер, поддерживающий сертификаты по ГОСТ Р 34.10-2012 своего хоста.
Как бы вы могли по-другому понять «запускают nginx на ГОСТ-2012» в контексте этой статьи?
www.cryptopro.ru/forum2/default.aspx?g=posts&m=82530#post82530 вот здесь начинают говорить о ГОСТ-2012 для КриптоПРО и nginx и о такой штуке, как «gostengy». Мои поисковые системы по «gostengy» кроме этой ветки на форуме пока ничего дельного не предлагают. Оттуда же есть ссылка на github.com/deemru/nginx, документация по которому трехлетней давности.
Является ли такое решение из opensource openssl + opensource nginx + proprietary КриптоПро сертифицированным или же, как вы высказались, это еще одна куча?
Является ли такое решение из opensource openssl + opensource nginx + proprietary КриптоПро сертифицированным или же, как вы высказались, это еще одна куча?
Сертифицированным из этого является КриптоПро, а остальное — некое прикладное ПО, правила встраивания в которое описано в формуляре. Работать — работает, именно так, через gostengy. Подробности сборки не подскажу, т.к. мне нужно было решение, удовлетворяющее законодательству РФ, а возиться с корректностью встраивания мутно и дорого. А без корректности встраивания это нарушение требований эксплуатационной документации==использование несертифицированного СКЗИ.
Ну, тоесть ответ — нет, не является.
На основе nginx + openssl + cryptopro есть сертифицированные аппаратные решения. И на основе nginx + openssl + VipNet тоже. По сути — аппаратный реверсивный прокси с веб интерфейсом управления. Про первый могу с уверенностью сказать, что работает.
Это — да, является. Но стоит подороже и занимает минимум 1 юнит в стойке.
Если нужно дешевле и сертифицированное, и без нарушений — то нужно накатить криптопро на виндовс, а IIS настроить как реверсивный прокси на что угодно.
Про IIS в формуляре в явном виде написано, что для него корректность встраивания подтверждать ненужно.
Но нужно таки прочитать формуляр и выполнить остальные требования из серии наличия сертифицированного антивируса и т.д.
Есть еще вариант — в коробке с криптопрой лежит stunnel какой-то древней версии, собранный с поддержкой госта. На него тоже не нужно корректности встраивания, но остальные требования тоже нужно соблюдать. В некоторых случаях это помогает.
Ну, тоесть ответ — нет, не является.
На основе nginx + openssl + cryptopro есть сертифицированные аппаратные решения. И на основе nginx + openssl + VipNet тоже. По сути — аппаратный реверсивный прокси с веб интерфейсом управления. Про первый могу с уверенностью сказать, что работает.
Это — да, является. Но стоит подороже и занимает минимум 1 юнит в стойке.
Если нужно дешевле и сертифицированное, и без нарушений — то нужно накатить криптопро на виндовс, а IIS настроить как реверсивный прокси на что угодно.
Про IIS в формуляре в явном виде написано, что для него корректность встраивания подтверждать ненужно.
Но нужно таки прочитать формуляр и выполнить остальные требования из серии наличия сертифицированного антивируса и т.д.
Есть еще вариант — в коробке с криптопрой лежит stunnel какой-то древней версии, собранный с поддержкой госта. На него тоже не нужно корректности встраивания, но остальные требования тоже нужно соблюдать. В некоторых случаях это помогает.
Обновленная инструкция…
Настройка nginx для работы с сертификатами ГОСТ 2012 года
Библиотека OpenSSL качается с update.cryptopro.ru/support/nginx-gost
Есть скрипт авто установки, но КриптоПро для linux надодостать скачать самому…
Как прокси работает…
Решение пока никак не дружит с nGinx Plus…
Если область действия сертификата содержит пробелы — надо экранировать строку параметр в конфиге nGinx правильно (ssl_certificate_key 'engine:gostengy: Петя Петров';)…
github.com/deemru/nginx — сборки обновляются, но только под Windows :-(
Настройка nginx для работы с сертификатами ГОСТ 2012 года
Библиотека OpenSSL качается с update.cryptopro.ru/support/nginx-gost
Есть скрипт авто установки, но КриптоПро для linux надо
Как прокси работает…
Решение пока никак не дружит с nGinx Plus…
Если область действия сертификата содержит пробелы — надо экранировать строку параметр в конфиге nGinx правильно (ssl_certificate_key 'engine:gostengy: Петя Петров';)…
github.com/deemru/nginx — сборки обновляются, но только под Windows :-(
Если нужен тестовый стенд для ГОСТа (ну вот не уберег Вас Господь) — гораздо разумнее получить триальные версии сертифицированных СКЗИ, все вендоры их дают, а некоторые даже позволяют скачать с сайта.
И каждые 3 месяца менять ключи. А у КриптоПРО есть еще подлянка в серверных лицензиях, пользуешь linux — в большинстве случаев покупай серверную. Разница только в цене. Функционал тот же.
А вот в каких случаях требуется именно сертифицированное средство? Допустим если получить доступ к сайту, который по госту работает…
В случае, если вы являетесь оператором информационной системы, обрабатывающей информацию, подлежащую защите в соответствии с законодательством РФ, и таковая информация передается вне контролируемой зоны.
Пример конкретный приведите, общими словами можно долго перекидываться.
Пример конкретный приведите, общими словами можно долго перекидываться.
ну вот например есть сайт НБКИ, который работает по ГОСТ. Для доступа к нему необходимо сертифицированное средство, или пойдет обычный openssl + gost?
НБКИ — коммерческая организация, являющаяся оператором ИСПДн, и в соответствии со ст. 7 N 218-ФЗ обеспечивает защиту информации при ее обработке, хранении и передаче сертифицированными средствами защиты в соответствии с законодательством Российской Федерации.
Таким образом, если вас связывают с НБКИ договорные отношения, в этом договоре должно быть предусмотрено обязательства для вас по защите информации.
Если НБКИ вам это не прописал, то вы никому ничего не должны и можете пользоваться обычным openssl + gost, вы ничего не нарушаете, а нарушение законодательства допустил НБКИ.
Если такие требования в договоре есть, то НБКИ закон выполнил, а вы нарушаете договор.
Нарушаете ли вы закон в этом случае ( кроме нарушения договора) зависит от того, чьи данные вы оттуда вытягиваете. Если вы физ. лицо и вытягиваете свои данные, то закон не нарушаете, только договор. Если вы физ. лицо и вытягиваете данные другого физ. лица, либо вы юр.лицо и вытягиваете данные физ. лиц, то вы нарушаете требования 152-фз и всей линейки 1119-пп, 21 приказа фстек и 378 приказа фсб.
Если вы вытягиваете данные юр.лиц, то это нарушение в области банковской, налоговоой или коммерческой тайны ( в зависимости от состава данных и обстоятельств), что бы сослаться на подзаконные акты нужно разбираться конкретнее.
Таким образом, если вас связывают с НБКИ договорные отношения, в этом договоре должно быть предусмотрено обязательства для вас по защите информации.
Если НБКИ вам это не прописал, то вы никому ничего не должны и можете пользоваться обычным openssl + gost, вы ничего не нарушаете, а нарушение законодательства допустил НБКИ.
Если такие требования в договоре есть, то НБКИ закон выполнил, а вы нарушаете договор.
Нарушаете ли вы закон в этом случае ( кроме нарушения договора) зависит от того, чьи данные вы оттуда вытягиваете. Если вы физ. лицо и вытягиваете свои данные, то закон не нарушаете, только договор. Если вы физ. лицо и вытягиваете данные другого физ. лица, либо вы юр.лицо и вытягиваете данные физ. лиц, то вы нарушаете требования 152-фз и всей линейки 1119-пп, 21 приказа фстек и 378 приказа фсб.
Если вы вытягиваете данные юр.лиц, то это нарушение в области банковской, налоговоой или коммерческой тайны ( в зависимости от состава данных и обстоятельств), что бы сослаться на подзаконные акты нужно разбираться конкретнее.
Вангую, что ГОСТ сделал нам Pastafarianist
Может кому сгодиться…
Docker контейнер с CryptoPro 4 и nginx.
КриптоПро для linux надодостать скачать самому…
Docker контейнер с CryptoPro 4 и nginx.
КриптоПро для linux надо
Не знаю, будет ли кому-то актуально, но пришлось поднимать связку nginx + gost. Получилось, заработало. Автору спасибо за оригинальную версию.
После сборки в контейнере окажется nginx 1.23.2 + openssl 3.0.5 + gost engine 3.0.1
Sign up to leave a comment.
Docker-образы с поддержкой ГОСТ-сертификатов в openssl, curl, php, nginx