Comments 44
Но сегодня в стандартной версии openssl отсутствует поддержка как ГОСТ Р 34.11-2012, так и ГОСТ Р 34.10-2012. Более того в версии 1.1 поддержка криптографии ГОСТ исключена из стандартной поставки («The GOST engine was out of date and therefore it has been removed.»).
Чем не устраивает вот эта, которую "убрали?" https://github.com/gost-engine/engine
Пример билда: https://github.com/rnixik/docker-openssl-gost/blob/master/Dockerfile
Помотрел, всем устраивает. Здорово, спасибо. Я думаю фраза > «The GOST engine was out of date and therefore it has been removed.» относится все же к ГОСТ Р 34.10-2001.
Но одно другому не мешает. И будем верить, что ГОСТ-оый patch все же появится в OpenSSL. Выкрою время и прикручу этот патн к УЦ. Еще раз спасибою
С победными реляциями я поторопился. К сожалению выпустить квалифицированный сертификат с этой версией openssl и gost-engine не удастся, не хватает обрабтки требуемых oid-ов:
Error Loading extension section cert_ext
140436202112768:error:22097081:X509 V3 routines:do_ext_nconf:unknown extension:crypto/x509v3/v3_conf.c:82:
140436202112768:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:crypto/x509v3/v3_conf.c:47:name=issuerSignTool, value=@issuer_sign_tool_section
Надо дорабатывать!
Если требуется российская криптография, то нужны сертифицированные СКЗИ. Если нужно просто шифрование (любое), то пользуются AES и Co под который миллиард библиотек и примеров.
Подскажите в чем практический смысл данной библиотеки?
Если требуется российская криптография, то нужны сертифицированные СКЗИ. Если нужно просто шифрование (любое), то пользуются AES и Co под который миллиард библиотек и примеров.
Рано или поздно контент обработанный ГОСТ'ом потребуется открыть на компьютере, владелец которого признает только СПО и не планирует устанавливать сртифицированную проприетарщину.
Если говорить о обязательном применении 2012-х ГОСТов, то это только в отношении КЭП, к которой данная статья не имеет отношения (см. 63-ФЗ в части обязанности применения сертифицированных средств ЭП).
Это же касается и утверждения, что «если требуется российская криптография, то нужны сертифицированные СКЗИ». Это не верное умозаключение.
Требования следуют из законов и подзаконных актов. Именно они определяют, в каких случаях должны применяться сертифицированные СКЗИ. Про ГОСТы в них абсолютно ничего не говорится. Другое дело, что сертификацию проходят только те СКЗИ (средства ЭП и т.д.), которые реализуют эти ГОСТы в соответствии с требованиями ФСБ к этим средствам.
По поводу бессмысленности получения сертификата на 2001-х ГОСТах (опять же с учетом «требований», которые соотносятся только с КЭП): научите, как сделать иначе до перехода ГУЦ на новый ПАК не нарушая сертификационных ограничений средств УЦ?
Давайте не будем сами придумывать несуществующие «требования».
Если вы имеете ввиду формулировку:
использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается!
то это официальная формулировка (требование) регулятора, т.е. ФСБ России, и она прописывается сегодня в каждом заключении на СКЗИ, которое сертифицируется по «Требованиям к средствам электронной подписи», утвержденным приказом ФСБ России № 796. Так что никто и ничего не придумывает. Мы их просто должны выполнять
В первую очередь мы должны выполнять требования ФЗ о использовании сертифицированных средств ЭП при создании и проверке КЭП.
Кто-нибудь это оспаривает? Все УЦ должны создаваться набе сертифицированных средств! Но я как гражданин могу просматривать и сертификаты и электронные подписи чем мне удобно, посмотрите комментарий от ls1 :
Рано или поздно контент обработанный ГОСТ'ом потребуется открыть на компьютере, владелец которого признает только СПО и не планирует устанавливать сртифицированную проприетарщину.
Более того, и СПО от OpenSource может быть сертифицировано. Такие примеры в России есть и с криптографией тоже.
А требования никто не отменял, наоборот, речь идет о том как их выполнить. А уж потом будем думать о сертификации и т.д.
… я как гражданин могу просматривать и сертификаты и электронные подписи чем мне удобно
А смысл? Это не проверка а ознакомление с содержанием. Это разные, в смысле принятия решения на их основе, действия. Проверка подразумевает в качестве результата однозначный ответ: действительна подпись или нет. А для этого только так: ст.5 п.4 63-ФЗ
… для создания и проверки <квалифицированной> электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям
...
СПО от OpenSource может быть сертифицировано. Такие примеры в России есть и с криптографией тоже.
Примеры, пожалуйста, где формуляры (указанные в сертификате соответствия ФСБ) таких средств содержат исходники, из которых допускается тех.документацией собирать СКЗИ самостоятельно, а не готовые бинарники, в студию.
Вроде и сказать нечего, кроме одного: OpenSource один из двигателей прогресса, в том числе и в российском PKI.
Я за точность формулировок: если мы про технические изыскания, то и обсуждать надо в этом ключе, а не дискутировать о решении для «соблюдения требований».
если мы про технические изыскания, то и обсуждать надо в этом ключе
Не совсем понимаю притенцию
Это не так.
Утверждается, что переход на ГОСТ Р 34.10-2012 при использовании несертифицированных СКЗИ (ибо статья не про них), позволит обеспечить юридическую значимость.
Это не так.
Регулярно звучит, что только ГОСТовая (российская, отечественная...) ЭП обеспечивает юридическую значимость.
Это тоже не так. Даже если назвать ее «квалифицированной», что совсем не то же самое, что ГОСТовая, то это тоже не совсем так. Есть условия признания трех видов (определенных в ФЗ) ЭП равнозначными собственноручной подписи. В соответствии с этими условиями усиленная неквалифицированная может оказаться более значимой, чем КЭП (например, если она создана при помощи несертифицированного средства ЭП).
Я, возможно, нудный, но такие вот неточности пускают многих по ложному пути, от которого боли больше, чем от родных регуляторов.
Статья и комментарии изобилуют утверждениями, что для электронной подписи (без уточнения, что только квалифицированной) с 2019 года должен применяться исключительно ГОСТ Р 34.10-2012.
Да, сегодня пока так — это требование ФСБ
Утверждается, что переход на ГОСТ Р 34.10-2012 при использовании несертифицированных СКЗИ (ибо статья не про них), позволит обеспечить юридическую значимость.
Это не правда. Нигде такого утверждения нет и быть не могло. Оно бессмысленно, т.к. юридическая значимость понятие юридическое, а этим все сказано
Регулярно звучит, что только ГОСТовая (российская, отечественная...) ЭП обеспечивает юридическую значимость.
А можно пример, в каком госоргане у нас принимают электронную подпись не по ГОСТ, RSA? например
Я, возможно, нудный, но такие вот неточности пускают многих по ложному пути, от которого боли больше, чем от родных регуляторов.
И что это за ложный путь? В чем он заключается? Уж не в том ли, что при разработке СКЗИ с криптографией ГОСТ можно опираться на разработке OpenSource?!
Про регуляторов скромно умолчу.
Да, сегодня пока так — это требование ФСБ
Увы на свои неоднократные вопросы я так эти требования не увидел. В том документе, на который косвенно ссылались речь только о КЭП.
Нигде такого утверждения нет и быть не могло. Оно бессмысленно, т.к. юридическая значимость понятие юридическое, а этим все сказано
Извиняюсь, тут уже я не точно выразился, речь шла о том что есть «требования», а статья призвана их удовлетворить. Не удовлетворит, увы.
А можно пример, в каком госоргане у нас принимают электронную подпись не по ГОСТ, RSA? например
Легко:
- ФНС принимает RSA подпись от физиков в ЛК
- В технологии ЕГАИС принимаются технолонические неквалифицированные сертификаты
- Гос.торговые площадки по 44-ФЗ работают с НЭП...
И что это за ложный путь? В чем он заключается? Уж не в том ли, что при разработке СКЗИ с криптографией ГОСТ можно опираться на разработке OpenSource?!
В том числе. Многие уверены, что если сертификаты у них на ГОСТе и тем паче выпущены аккредитованным УЦ, то для подписи они могут использовать что угодно/удобно/нравится.
А потом суд о непризнании электронной подписи под договором на основании того, что она создана в нарушение 63-ФЗ (при помощи того же OpenSSL), аннулирование договора, замороженное бабло на счетах контрагента и боль…
В том числе. Многие уверены, что если сертификаты у них на ГОСТе и тем паче выпущены аккредитованным УЦ, то для подписи они могут использовать что угодно/удобно/нравится.
А потом суд о непризнании электронной подписи под договором на основании того, что она создана в нарушение 63-ФЗ (при помощи того же OpenSSL), аннулирование договора, замороженное бабло на счетах контрагента и боль…
Это вы о чем-то о своем, наболевшем. Если пользователь разбрасывается своим закрытым ключом, это его проблемы!!! Если он ему не доверяет, то будь добр отзови сертификат. И OpenSource здесь ни причем. Весь мир работает на нем, и с электронной подписью, прежде всего: был бы только > легитимин Сертификат
А как он его хранит, чем подписывает и проверяет, это его дело. Если сертификат не отозван и недоказано, что ключ украли (но опять же отзови сертификат, все как с паспортом), то и подпись действительна. Все определяется сертификатом: он определяет легитимность подписи, все остальное отлукавого.
Это вы о чем-то о своем, наболевшем.
Это не о своем, а о пользователях (владельцах бизнеса и руководителях, «ИБ-шниках», ИТ-шниках и т.д.), которые начитавшись экспертных статей, но не заглянув в первоисточники, руководствовались «чем подписывает и проверяет, это его дело».
Я уже писал, но повторюсь еще раз по поводу:
Но в статье и говорится о КЭП.
КЭП регулируется 63-ФЗ, где в ст.5 сказано однозначно:
… для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Там же в статье 10 указаны требования к участникам электронного взаимодействия:
использовать для создания и проверки квалифицированных электронных подписей, создания ключей квалифицированных электронных подписей и ключей их проверки средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
И далее про условия признания:
… проверка осуществляется с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом…
Выше я писал не про «разбрасывается своим закрытым ключом», а именно от том, какие средства и как пользователь использует для подписания и проверки электронных документов квалифицированной электронной подписью. Да, тут как с примером про ПДД, кого не проверят (сейчас почти никого), того пронесло, но бывают и грустные исключения. Две недели назад ФНС заявила, что планирует заняться этим более плотно, для них это шикарный источник поступления дополнительных средств в бюджет: выявили использование несертифицированных средств подписи (например, пресловутых «облачных») — отказали в налоговом вычете, вкатили миллионные штрафы за не предоставление декларации, т.к. то, что пришло ранее по формальным признакам признается не подписанным надлежащим образом. Т.ч. в ближайшей перспективе это боль массовая.
И OpenSource здесь ни причем. Весь мир работает на нем
Увы (ну или к счастью), но мы живем в РФ и на нас распространяются её законы.
Оставлю за скобками, что разработка криптографических средств, это лицензируемый (313 ПП) вид деятельности. Эта тема отдельного обсуждения.
Надеюсь, что теперь я расставил все точки над «i».
Это не о своем, а о пользователях (владельцах бизнеса и руководителях, «ИБ-шниках», ИТ-шниках и т.д.), которые начитавшись экспертных статей, но не заглянув в первоисточники, руководствовались «чем подписывает и проверяет, это его дело».
Давайте договоримся, что речь идет о государсивенной системе PKI/ИОК. Исходя из этого, гражданин может подписывать документы только имея на руках СЕРТИФИКАТ, полученный в УЦ, аккредитованном в государственной системе аккредитации. И имея на руках легитимный сертификат и иже с ним закрытый ключ, который он в своих же интересах (как паспорт и многое другое) должен хранить как сеница око, он может с помощью этой пары (сертификат + закрытый ключ) подписать что-либо. Проверить какие средства (да и зачем это проверять, проверяется подпись) для подписи он использовал НЕВОЗМОЖНО. Гражданин носит с собой ключ (тем более если это токен со встроенной криптографией) и компьютер такать ему с собой не надо. Нем более, если надо посмотреть кто подписал документ (аналог https). Утратил ключ — отвечай. Итак, подписать всегда можно только имея на руках легитимные ключ и сертификат. О чем спор?
выявили использование несертифицированных средств подписи (например, пресловутых «облачных») — отказали в налоговом вычете,
А что хранится в облаке? Уж не ключ ли? Так накажите УЦ, вфдавший сертификат!!!!
Честно говоря, я не понимаю о чем вы? Толи о технической безграмотности, толи о правовой, толи о безалаберности? О чем?
Оставлю за скобками, что разработка криптографических средств, это лицензируемый (313 ПП) вид деятельности. Эта тема отдельного обсуждения.
А здесь, что обсуждать надо? Как гражданин, а тем более свободный художник, разрабатывать я могу все, но продавать, сертифицировать, если нет лицензии соответствующей, нет.
Точки говорите, пусть стоят, на то они и точки
речь идет о государсивенной системе PKI/ИОК
Извините, Владимир, я не нашел федерального закона о «Государственной системе PKI». Скиньте ссылку, изучу и буду готов дальше дискутировать в контексте этой системы.
СЕРТИФИКАТ, полученный в УЦ, аккредитованном в государственной системе аккредитации
Это, видимо, все-таки про квалифицированную ЭП из 63-ФЗ, цитаты из которого приводил выше. Заметьте, что не свое мнение, и не ссылки на гуру Хабра, а конкретные нормативные документы.
Проверить какие средства (да и зачем это проверять, проверяется подпись) для подписи он использовал НЕВОЗМОЖНО
Зачем — это если есть в этом заинтересованность, например, финансовая (примеры выше), т.е. если я заинтересован в том, чтобы признать, например, наше с вами соглашение, подписанное КЭП, недействительным и профит будет выше трудозатрат, я это сделаю.
Как — тоже не большая проблема. Например, загляну в поля сертификата, которые согласно 795 приказу ФСБ, должны содержать сведения о сертифицированном средстве ЭП. Допустим, вы подделали это поле в запросе и обманом заставили УЦ выпустить сертификат. Уверены на 100%, что завтра к вам не заглянут в гости маски-шоу с выемкой средств электронной подписи в рамках расследования мошенничества (например опять же по моему заказу)?
Кстати, проверка подписи включает в себя проверку сертификата, это по поводу «зачем это проверять, проверяется подпись».
тем более если это токен со встроенной криптографией
Ну это как бы не совсем не «что хочу» и не опенсорс, это вполне себе сертифицированное СКЗИ.
А что хранится в облаке? Уж не ключ ли? Так накажите УЦ, выдавший сертификат!!!!
В общем смысле сервис подписи (облако) и УЦ, это разные сущности, и вполне себе могут быть разными организациями.
Честно говоря, я не понимаю о чем вы? Толи о технической безграмотности, толи о правовой, толи о безалаберности? О чем?
Я о накоплении заблуждений, основанных на свободном пересказе других пересказов и т.д. в отрыве от первоисточников. Технические действия, как и любые другие, имеют свои правовые (юридические) последствия, и наоборот, правовые нормы тесно связаны с технической реализацией предъявляемых ими требований. Все очень тесно переплетено и взаимосвязано.
Как гражданин, а тем более свободный художник, разрабатывать я могу все
С этим не спорю, и деньги для себя тоже можно рисовать в чуланчике ради любви к искусству, и пистолеты точить в гараже на токарном станке… до поры до времени. Это я к тому, что согласно ПП 313 исключения из лицензирования относится только к тех.обслуживанию, но не к разработке. Вероятность, что вас за это пожурят, конечно, ниже чем в случае с деньгами/пистолетами.
Подытожу сказанное: нарушать, конечно можно (тащ майор, это гипотетически), но если правовые последствия от этого ниже, чем выгода.
Но вот если мы говорим о КЭП, то это (обычно) что-то более весомое, чем эксперименты, с вполне конкретными правовыми последствиями. Стоит ли заигрывать с государством?
Например, загляну в поля сертификата, которые согласно 795 приказу ФСБ, должны содержать сведения о сертифицированном средстве ЭП
Вы их там всегда найдете — сертификат выдан аккредитованным УЦ. А вот где и как я задействую сертификат, это тайна за семью замками и маски здесь не помогут.
Я вам трержу-твержу — твержу о проверке сертификаты, а вы опять
Кстати, проверка подписи включает в себя проверку сертификата, это по поводу «зачем это проверять, проверяется подпись».
Разве можно проверить по-другому???
Спасибо. Пора работать
А вот где и как я задействую сертификат, это тайна за семью замками
Вероятно, имелось ввиду «как я задействую закрытый ключ», т.к. сертификат применяется исключительно для проверки подписи.
Для начала ключ надо извлечь из контейнера сертифицированного СКЗИ (если это аппаратное СКЗИ с неизвлекаемым ключом, то задача еще более нетривиальная), в котором он создавался.
Маски обычно не ищут, а изымают. Потом работают эксперты, а они обычно находят. Можно, конечно, шифровать тома, прятать сервера и т.п. А оно вам надо?
Я вам трержу-твержу — твержу о проверке сертификаты, а вы опять
Создалось впечатление, что у вас есть возражение по приведенным мною аргументам, поэтому пытаюсь их разъяснить. Если нет, то предлагаю закруглить.
Вероятно, имелось ввиду «как я задействую закрытый ключ», т.к. сертификат применяется исключительно для проверки подписи.
Приехали. Сертификат прилагается в том или ином виде к подписанному документы (читаем rfc и ТК-26 по CMS-документам).
Для начала ключ надо извлечь из контейнера сертифицированного СКЗИ (если это аппаратное СКЗИ с неизвлекаемым ключом, то задача еще более нетривиальная), в котором он создавался.
Маски обычно не ищут, а изымают.
А это еще что за бандитизм? Токен PKCS#11 с неизвлекаемым ключом (какие маски в этом случае) лежит у меня в кармане!
по приведенным мною аргументам
Какие аргументы и про что? Не увидел предмета для возражений и, естественно, аргументов по этому предмету
Утверждается, что переход на ГОСТ Р 34.10-2012 при использовании несертифицированных СКЗИ (ибо статья не про них), позволит обеспечить юридическую значимость.
Рекомендую прочитать этот материал.
Давайте не будем сами придумывать несуществующие «требования».
По поводу «несуществующих требований», очень полезный материал размещен на habr:
Не ждем, а готовимся к переходу на новые стандарты криптографической защиты информации
Я не говорю что требования не существуют, хочу лишь отметить, что стоит читать их правильно, не додумывая:
- ГОСТ — это не требование
- В контексте КЭП (а не вообще для эфемерного понятия «российской подписи») требуется использовать сертифицированные СКЗИ (средства ЭП и УЦ) в рамках тех.документации
- Однобокое исполнение требований не решение конкретной задачи, а эксперимент. Это как в ПДД: если я соблюдаю скоростной режим, но при этом в стельку и без прав, то это не означает, что я молодец.
- Гораздо продуктивнее общение экспертов складывается, если они в своих утверждениях опираются на первоисточники (прочитанные не по диагонали), а не на мнения других экспертов, иначе накопление ошибок и домыслов с накоплением итераций превращает предмет обсуждения в байку «о которой все что-то знают»
Это как в ПДД: если я соблюдаю скоростной режим, но при этом в стельку и без прав, то это не означает, что я молодец.
Аллегория красивая, то для КЭП не совсем подходит. В вашей ситуации вы можете добраться до цели и лечь в теплую постель — поста ГИБДД не пути не было и вас никто не остановил. Но если вы пойдете на ГОСУСЛУГИ с правильно заполненными полями сертификата, но выпущенным в неаккедитованном УЦ, то вы всегда будете остановлены.
У меня тоже есть несколько ответов от ГУЦ, не более грамотных, к сожалению. Опускание ключевых моментов. в письмах регуляторов плодит многостороннее их толкование
Тут я с вами полностью согласен и с этим (квалификацией) что-то надо делать.
Инфраструктура открытых ключей: библиотека GCrypt как альтернатива OpenSSL с поддержкой российской криптографии