The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

OpenSSL 1.0 получил сертификат безопасности FIPS 140-2

03.07.2012 17:00

Проект OpenSSL получил для версии библиотеки 1.0 сертификат соответствия стандарту безопасности FIPS 140-2, определяющего требования к криптографическим модулям, необходимые для их использования в государственных учреждениях США. Сертификат выдан Американским институтом стандартов и технологий (NIST) после проведения соответствующего аудита кода проекта.

Выданный сертификат примечателен тем, что он выдан на исходные тексты продукта, а не конкретную бинарную сборку, что расширяет область использования OpenSSL в государственных проектах. Тем не менее, сертификация кода налагает определённые требования на окружение сборки, которое может включать только одобренные FIPS сборочные инструменты и немодифицированные исходные тексты версии библиотеки, прошедшей сертификацию. При этом при выявлении уязвимостей или серьёзных ошибок в сертифицированном коде, пользователи не вправе применить патч с устранением проблемы, не дождавшись результатов сертификации обновлённой версии, так как это приведёт к потере сертифицированного статуса.

Выданный сертификат не охватывает всю библиотеку, а лишь подтверждает безопасность модуля OpenSSL FIPS Object Module, в состав которого включено ограниченное подмножество возможностей OpenSSL. Например, в состав модуля не включены такие популярные, но не совместимые с FIPS алгоритмы, как Blowfish, CAST, IDEA и RC4/5.

  1. Главная ссылка к новости (http://www.h-online.com/open/n...)
  2. OpenNews: Релиз библиотеки OpenSSL 1.0.1 с поддержкой TLS 1.2
  3. OpenNews: Релиз библиотеки OpenSSL 1.0.0
  4. OpenNews: У проекта OpenSSL отозвали FIPS-140-2 сертификат
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/34261-openssl
Ключевые слова: openssl, fips, cert, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (106) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, iCat (ok), 17:15, 03/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    А наши банки и налоговые службы продолжают жрать VipNET и другие несуразности, слепленые на основе КриптоПРО...
     
     
  • 2.5, pavlinux (ok), 17:51, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –12 +/
    Ваша не понятна, предлагаете юзать амерекосский AES?
    Или вы не предлагаете, а так, посрать зашли?!
     
     
  • 3.8, Аноним (-), 18:03, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Ваша не понятна, предлагаете юзать амерекосский AES?

    В OpenSSL и ГОСТ есть давно.
    >выдан на исходные тексты продукта

    А вот так у нас пока не умеют.
    Да и на бинарник не умеют, в смысле на электронный файл. Только на носитель. Приходится покупать каждый раз.

     
     
  • 4.18, Andrew Kolchoogin (?), 18:30, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –7 +/
    >> Ваша не понятна, предлагаете юзать амерекосский AES?
    > В OpenSSL и ГОСТ есть давно.

    _В OpenSSL_ -- нету.

     
     
  • 5.32, pavlinux (ok), 19:12, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    pavel@suse64:~> openssl engine gost -vvv

    (gost) Reference implementation of GOST engine
         CRYPT_PARAMS: OID of default GOST 28147-89 parameters
              (input flags): STRING

     
     
  • 6.42, Andrew Kolchoogin (?), 21:35, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это очень полезная команда, но README.ENGINE в исходниках OpenSSL v1.0.1c говорит чётко и ясно, что built-in engines в OpenSSL следующие:

    ===
    There are currently built-in ENGINE implementations for the following
      crypto devices:

          o CryptoSwift
          o Compaq Atalla
          o nCipher CHIL
          o Nuron
          o Broadcom uBSec
    ===

    GOST -- это Dynamic Engine. Она живёт отдельно от OpenSSL, и может поставляться, а может -- нет.

    pavlinux, за тобой, вроде бы, не замечено было "думать быстрее, чем разбираться"...

     
     
  • 7.52, ананим (?), 23:07, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Во выкручивается! Трухины из(под) мс наверное от зависти позеленели.

    зыж
    между "_В OpenSSL_ -- нету" и "GOST -- это Dynamic Engine" есть существенная разница.

    GOST'овские алгоритмы поставляются в том же тарболе с сырцами openssl. всё!!!
    они там есть.
    то что они не являются базовыми и используемыми по-умолчанию для пендостана — это та аксиома которую только трухины могут так долго доказывать.

     
  • 7.55, Michael Shigorin (ok), 00:00, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > pavlinux, за тобой вроде бы не замечено было "думать быстрее, чем разбираться"...

    Так эээ... https://www.opennet.ru/opennews/art.shtml?num=21076 вроде давно уж.

     
     
  • 8.60, Andrew Kolchoogin (?), 04:03, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    -static в ключи линкеру, Миш -- и не будет у тебя никакого ГОСТа Впрочем, на... текст свёрнут, показать
     
     
  • 9.95, ананим (?), 14:27, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    8212 Доктор, если я одеваю подтяжки вот так, то спина чешется 8212 Что ж ... текст свёрнут, показать
     
  • 9.103, Michael Shigorin (ok), 16:55, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Так ногу отстрелить завсегда можно по-разному, была бы нужда такая ЕМНИП перед ... текст свёрнут, показать
     
  • 5.33, ананим (?), 19:18, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    википедия не согласна
    >OpenSSL supports a number of different cryptographic algorithms:
    >Ciphers
    >    AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89[2]
    >Cryptographic hash functions
    >    MD5, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34.11-94[2]
    >Public-key cryptography

        RSA, DSA, Diffie–Hellman key exchange, Elliptic curve, GOST R 34.10-2001
    http://en.wikipedia.org/wiki/OpenSSL

    где GOST block cipher, defined in the standard GOST 28147-89, is a Soviet and Russian government standard symmetric key block cipher. Also based on this block cipher is the GOST hash function.
    http://en.wikipedia.org/wiki/GOST_%28block_cipher%29

     
     
  • 6.43, Andrew Kolchoogin (?), 21:35, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > википедия не согласна

    А README.ENGINE в исходных текстах OpenSSL не согласен с Викой. Кому верить?

     
     
  • 7.51, ананим (?), 22:54, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Правда что ли? :D
    а то вон ниже ( https://www.opennet.ru/openforum/vsluhforumID3/85416.html#34 ) уже и реадми привёл.
    надо было вам не спешить отвечать, а вначале все ответы глянуть.
     
  • 7.63, Аноним (-), 04:39, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А README.ENGINE в исходных текстах OpenSSL не согласен с Викой. Кому верить?

    "Если нечто выглядит как собака и ведет себя как собака, мы называем это собакой". Аналогично насчет поддержки GOST в OpenSSL.


     
  • 7.67, Alex_S (??), 04:51, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> википедия не согласна
    > А README.ENGINE в исходных текстах OpenSSL не согласен с Викой. Кому верить?

    доки в ореnssl -  сырые
    могут не отражать действительность


     
     
  • 8.86, ананим (?), 11:00, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Доки нормальные А вот реадми не обязана все доки в себя включать Тем более гос... текст свёрнут, показать
     
  • 5.40, Аноним (-), 20:21, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Минус вам за дезу
     
     
  • 6.44, Andrew Kolchoogin (?), 21:36, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Минус вам за дезу

    Аналогично вам за неумение читать документацию, поставляемую с исходниками (или исходное сообщение автора, или и то, и другое).

     
  • 5.62, Аноним (-), 04:38, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > _В OpenSSL_ -- нету.

    Вообще-то уже давно есть. Ручник полезно иногда отпускать.

     
  • 4.46, Andrew Kolchoogin (?), 21:40, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В OpenSSL и ГОСТ есть давно.
    >> выдан на исходные тексты продукта

    На часть исходных текстов. Dynamic Engines не являются частью OpenSSL FIPS Object Module, если я, конечно, ещё не окончательно спятил.

     
     
  • 5.47, Аноним (-), 22:10, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, разумеется. ГОСТу и не нужен сертификат США.
    Это были 2 не связанные мысли в одном посте.
     
  • 5.53, ананим (?), 23:16, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Разумеется, кэп.
    У кого хватило духу дочитать до последнего абзаца (и понять прочитанное… видимо с этим тоже есть затруднения), что NIST не интересуют не только алгоритмы "потенциального противника", но и ещё ряд:
    >Например, в состав модуля не включены такие популярные, но не совместимые с FIPS алгоритмы, как Blowfish, CAST, IDEA и RC4/5.
     
  • 5.64, Аноним (-), 04:42, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > На часть исходных текстов. Dynamic Engines не являются частью OpenSSL FIPS

    Если б гост стал частью FIPS - вот это был бы номер...

     
  • 4.54, Аноним (-), 23:46, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >покупать каждый раз.
     
  • 4.78, VoDA (ok), 09:37, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Ваша не понятна, предлагаете юзать амерекосский AES?
    > В OpenSSL и ГОСТ есть давно.

    А ГОСТ из OpenSSL имеет сертификат? и у кого этот сертификат можно получить?


    ЗЫ поддержка без сертификата нах не нужна ибо не позволяет использовать на территории РФ.

     
     
  • 5.81, Аноним (-), 10:22, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    сертификат нужен только при использовании в госорганах или общении с ними.
     
     
  • 6.90, VoDA (ok), 13:06, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > сертификат нужен только при использовании в госорганах или общении с ними.

    собственно весь топик о "сертификации", которая нужна в основном для гос-органов.

     
  • 3.11, norguhtar (?), 18:09, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    OpenSSL включает в себя алгоритмы ГОСТ на базе эллиптических кривых. Это так к слову.
     
     
  • 4.20, Andrew Kolchoogin (?), 18:31, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > OpenSSL включает в себя алгоритмы ГОСТ на базе эллиптических кривых. Это так
    > к слову.

    _OpenSSL_ -- не включает.

    Crypto Engine, реализующий ГОСТ, живёт от OpenSSL отдельно.


     
     
  • 5.34, ананим (?), 19:20, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    официальная информация не согласна http cvs openssl org fileview f openssl en... большой текст свёрнут, показать
     
     
  • 6.45, Andrew Kolchoogin (?), 21:38, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > официальная информация не согласна:

    Официальная информация говорит ровно то, что я и написал в своём сообщении.

    > ...If OpenSSL is compiled with dynamic engine support,

    Подумайте, что будет, if not.

     
     
  • 7.50, ананим (?), 22:52, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    прикольные отговорки.
    а если вообще не компилить, то openssl вообще не существует в природе,да?

    сырцы одни, идут одним тарболом, очевидно что не всякой Зимбабве нужны ГОСТ'овские алгоритмы.
    усё остальное — исинуации.

     
     
  • 8.59, Andrew Kolchoogin (?), 04:01, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Прикольное нежелание думать головой Угу-угу Идёт -- это то, что есть _всегда... текст свёрнут, показать
     
     
  • 9.65, Аноним (-), 04:48, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    При том у вас Вы облажались, но силы духа признать это у вас не хватило Начали... текст свёрнут, показать
     
  • 9.68, Alex_S (??), 04:53, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    по-вашему, входит в состав может быть статически слинковано что вас натол... текст свёрнут, показать
     
     
  • 10.75, ram_scan (?), 06:23, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А какая половая разница как оно там слинковано если функционал поддерживается ... текст свёрнут, показать
     
  • 9.94, ананим (?), 14:25, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько раз вам надо скачать тарбол с сайта, чтобы убедиться что они идут с ним ... текст свёрнут, показать
     
  • 9.115, samm (ok), 16:25, 07/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Андрей, вы удивительны Вы облажались, но вместо того, чтобы признать это - прод... текст свёрнут, показать
     
  • 3.22, фывафыва (?), 18:42, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ничо что в нашем ГОСТе используются американские биты? В них точно есть закладки!
     
     
  • 4.41, ананим (?), 20:57, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >А ничо что в нашем ГОСТе используются американские биты?

    да наша лапта ещё старше их бейсбола!
    http://ru.wikipedia.org/wiki/%D0%9B%D0%B0%D0%BF
    так что в нашем госте правильные биты

     
  • 4.61, Andrew Kolchoogin (?), 04:06, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А ничо что в нашем ГОСТе используются американские биты? В них точно
    > есть закладки!

    Ну, это мелко. В OpenSSL GOST crypto engine (наш) не собирается, если отключено что-либо из нижеперечисленного:

    1) криптография на основе эллиптических кривых;
    2) Diffie-Hellman Key Exchange;
    3) RSA

    Всё это совершенно буржуйское. ;)

     
     
  • 5.82, Аноним (-), 10:27, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    криптография на основе
    эллиптических кривых изучалась не только буржуями.
     
     
  • 6.98, Аноним (-), 15:22, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > криптография на основе эллиптических кривых изучалась не только буржуями.

    Sony успешно их изучила, в стиле:
    int random()
    {
    return 4; //determined by fair dice roll - guaranteed to be random.
    }

     
  • 2.6, Dron (ok), 17:59, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Слава богу, что нас не заставляют юзать в своих проектах OpenSSL
    Хотя он в принципе способен заменить КриптоПро...

    OpenSSL хорошая штука, только если внутрь не заглядывать... :)

    > Выданный сертификат не охватывает всю библиотеку

    Сертификаторы тоже все исходники не осилили :D

     
     
  • 3.9, Аноним (-), 18:07, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >OpenSSL хорошая штука, только если внутрь не заглядывать... :)

    Вы не поверите. Внутрь заглядывать и не требуется. Если, конечно, нет желания помочь проекту написать код или провести аудит.

     
     
  • 4.12, Dron (ok), 18:12, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы не поверите. Внутрь заглядывать и не требуется.

    Учитывая уровень документированности OpenSSL - еще как требуется...

     
  • 3.13, Куяврик (?), 18:20, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кстати, а как там внутренности КриптоПРО? Они вас устраивают?
     
     
  • 4.16, Dron (ok), 18:26, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Кстати, а как там внутренности КриптоПРО? Они вас устраивают?

    Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)
    Мы используем КриптоПро в своих продуктах, у него есть свои тараканы. Но с гостом он справляется. :)

     
     
  • 5.27, ананим (?), 18:51, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В openssl вы тоже не работаете, но какие однако диаметральные взгляды.
    Двойные стандарты.

    Зыж
    > Мы используем КриптоПро в своих продуктах, у него есть свои тараканы.

    Судя по комменту уже и не только свои.

     
  • 5.66, Аноним (-), 04:50, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Мы используем КриптоПро в своих продуктах,

    Так бы сразу и сказали, что это - всего лишь маркетинговый булшит и прикрывание своей задницы. Ведь как известно свое г... не пахнет.

     
  • 5.73, SCIF (ok), 05:10, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)
    > Мы используем КриптоПро в своих продуктах, у него есть свои тараканы. Но
    > с гостом он справляется. :)

    Ииии??? А таки OpenSSL с ГОСТом не справляется? Вы непоследовательны и кладёте говном то, что работает , указывая, на то, что другое тоже работает.

     
  • 5.93, Клыкастый (ok), 13:41, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кстати, а как там внутренности КриптоПРО? Они вас устраивают?
    > Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)

    ээээ.... я правильно понял, что выработаете в OpenSSL?

     
     
  • 6.96, Dron (ok), 14:56, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Кстати, а как там внутренности КриптоПРО? Они вас устраивают?
    >> Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)
    > ээээ.... я правильно понял, что выработаете в OpenSSL?

    Боже упаси...
    По долгу службы я сильно связан с криптографическими алгоритмами, в основном с ГОСТ.

     
     
  • 7.99, Клыкастый (ok), 15:42, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> ээээ.... я правильно понял, что выработаете в OpenSSL?
    > Боже упаси...

    Тогда неясна разница в подходе. Внутрь OpenSSL смотреть надо, криптопро пусть сами.

     
     
  • 8.100, Dron (ok), 16:02, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Microsoft Crypto API прекрасно докумментировано на MSDN Кроме этого надо лишь с... большой текст свёрнут, показать
     
     
  • 9.102, ананим (?), 16:49, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это большое упущение, что на мсдн нет STILL INCOMPLETE обман, везде обман Те... текст свёрнут, показать
     
  • 9.108, arisu (ok), 06:32, 05/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну, если ты не знаешь, зачем нужна функция 8212 так и не используй а вообще-... текст свёрнут, показать
     
  • 3.28, Аноним (-), 18:53, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > OpenSSL хорошая штука, только если внутрь не заглядывать... :)

    Сделайте вид, что это проприетарный продукт, и не заглядывайте внутрь. Все будут счастливы.

     
     
  • 4.97, Dron (ok), 15:02, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Есть большая разница между КриптоПро и OpenSSL Нет, это не открытость исходников... большой текст свёрнут, показать
     
     
  • 5.104, ананим (?), 21:30, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >В то время, как OpenSSL не встраивается в винду, а является самостоятельной библиотекой...

    а ещё там gost в составе.
    другими словами — не недо платить таким как вы за "доработки".

    зыж
    ха! полная дока в мсдн. полная.
    а заплатите хрен-знает-кому, будет ещё полнее.

     
  • 5.109, arisu (ok), 06:34, 05/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Посмотрите хотя бы на количество ошибок в OpenSSL… можно сделать выводы о
    > внутреннем качестве этой библиотеки уже на основании этого.

    посмотрев на количество и качество ошибок в винде, можно сделать вывод, что для более-менее безопасной работы её могут выбрать только полные идиоты или проплаченые «казачки».

     
  • 5.112, DFX (ok), 13:56, 05/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Посмотрите хотя бы на количество ошибок в OpenSSL... можно сделать выводы о внутреннем качестве этой библиотеки уже на основании этого.

    ну я просто балдею от профессиональности этого подхода !

    дак ведь предыдущий оратор вам уже сказал:
    >> Сделайте вид, что это проприетарный продукт, и _не заглядывайте внутрь_

    вот, вот: закройте глазки и УВЕРУЙТЕ ! уверуйте в мнимое превосходство одного чёрного ящика, перед другим, судя по обёртке, как вы это, похоже, любите.
    какая вообще замечательная претензия: "я подглядел, и мне не понравилось, буду кушать вслепую из другого корыта" !

     
  • 2.24, Аноним (-), 18:46, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    КриптоПро к VipNet не имеет не малейшего отношения. VipNet всю жизнь строился вокруг собственной либы DomainK - которая отдельно сертифицировалась.

    А КриптоПро - к вашему сведению - поучаствовало что бы в OpenSSL появилась поддержка ГОСТ-28147 и Р-34.10 Р-34.11.

    Вот такие китята...

     
     
  • 3.35, prof_alex (?), 19:27, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы КриптоПРО и КриптоКом, часом, не попутали?
     
     
  • 4.36, ананим (?), 19:42, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ну для gnutls реализацию запилили cryptopro
    >Internet Draft                             Grigorij Chudov, CRYPTO-PRO

    http://www.digipedia.pl/usenet/thread/11843/4470/

    и у cryptocom
    >шифрсьюты TLS на базе российских алгоритмов в соответствии с draft-chudov-cryptopro-cptls.

    http://www.cryptocom.ru/opensource/
    и далее по тексту http://www.cryptocom.ru/opensource/draft-chudov-cryptopro-cptls-04.txt
    Intended status: Informational                                CRYPTO-PRO
    Expires: June 11, 2009                                  December 8, 2008
    OST 28147-89 Cipher Suites for Transport Layer Security (TLS)
                        draft-chudov-cryptopro-cptls-04

     
     
  • 5.89, profalex (?), 12:32, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Так я про OpenSSL и говорю, патчи были КриптоКОМовские изначально: http://www.cryptocom.ru/opensource/openssl098.html

    Когда они в основное дерево исходников попали статус стал таким: http://www.cryptocom.ru/opensource/openssl100.html

    Т.е., за ГОСТ в OpenSSL спасибо надо сказать КриптоКОМу?

     
     
  • 6.92, ананим (?), 13:32, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    по ходу дела да.
    хотя изначально брали у chudov-cryptopro (см. выше).

    т.е. трудно сказать кому конкретно спасибо.
    комьюнити аднака.
    может обоим? включая и разрабов openssl:D

     

  • 1.2, chemtech (ok), 17:25, 03/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    VipNET и КриптоПРО это разные системы, и даже несовместимые между собой
     
     
  • 2.10, Аноним (-), 18:08, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    они как раз совместимы, т.к. работают в связке. КриптоПРО - функции криптования, работа с ключами; ViPNET - передача данных по защищенным каналам (читай почтовая программа).
     
     
  • 3.14, chemtech (ok), 18:21, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > они как раз совместимы, т.к. работают в связке. КриптоПРО - функции криптования,
    > работа с ключами; ViPNET - передача данных по защищенным каналам (читай
    > почтовая программа).

    Почитайте сначала поподробнее про данные системы, а потом пишите. Вы указали не все характеристики

     
     
  • 4.17, Аноним (-), 18:27, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Почитайте сначала поподробнее про данные системы, а потом пишите. Вы указали не
    > все характеристики

    Конечно не все, но общая суть понятна. Они могут работать и работают вместе. Где несовместимость?

     
     
  • 5.21, chemtech (ok), 18:35, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Почитайте сначала поподробнее про данные системы, а потом пишите. Вы указали не
    >> все характеристики
    > Конечно не все, но общая суть понятна. Они могут работать и работают
    > вместе. Где несовместимость?

    Вы хоть немного в теме?
    Первая ссылка в гугле:
    http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=2854

    Поиск по "vipnet несовместим криптопро" Результатов: примерно 48 500

    Я не могу отправить отправить документ подписанный через криптопровайдер Крипто-Про чтобы мог получить человек с криптопровайдером VipNET CSP

    Еще
    http://www.infotecs.ru/forum/index.php?showtopic=5955
    "Формат контейнера криптопровайдеров вроде как отличается."

    И еще куча других ссылок

     
     
  • 6.30, Аноним (-), 18:56, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/

    > Еще
    > http://www.infotecs.ru/forum/index.php?showtopic=5955
    > "Формат контейнера криптопровайдеров вроде как отличается."

    молчи грусть.. о их контейнерах ключей и тп.. а то как посмотришь на код - так плакать хочется..

     
  • 3.25, Аноним (-), 18:46, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > они как раз совместимы, т.к. работают в связке. КриптоПРО - функции криптования,
    > работа с ключами; ViPNET - передача данных по защищенным каналам (читай
    > почтовая программа).

    Не совместимы. читаем что такое домен-к.

     

  • 1.7, anonynous (?), 18:02, 03/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >При этом при выявлении уязвимостей или серьёзных ошибок в сертифицированном коде, пользователи не вправе применить патч с устранением проблемы, не дождавшись результатов сертификации обновлённой версии, так как это приведёт к потере сертифицированного статуса.

    Ну, радует, что идиотизм в области информационной безопасности есть не только у нас.

     
     
  • 2.19, анон (?), 18:31, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Предлагаете чтобы сертифицированный код после наложения патчей оставался таковым? И как вы себе это представляете? Вы делаете потенциальную "дыру" безопасности в сертифицированной системе, преследующей прямо противоположные цели, пусть даже она по утверждению (без гарантий) разработчика закрывает реальные, при этом хотите, чтобы гарантии оставались прежними.
     
     
  • 3.29, anonynous (?), 18:53, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >И как вы себе это представляете?

    Очень просто.

    >Вы делаете потенциальную "дыру" безопасности в сертифицированной системе, преследующей прямо противоположные цели, пусть даже она по утверждению (без гарантий) разработчика закрывает реальные, при этом хотите, чтобы гарантии оставались прежними.

    Я предпочту "потенциальную" дыру реально существующей.

    >без гарантий

    Применительно к OpenSSL всегда можно текст патча посмотреть, что он там исправляет. Я своим глазам доверяю больше, чем сертификатам.

     
     
  • 4.37, анон (?), 19:45, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Есть официальные гарантии, а есть Ваше мнение. Какое более авторитетней и вернее, удобнее или еще какое - не важно. Важно то, что там, где нужно именно официальное, пусть по факту и менее надежное с точки зрения оперативности принятия патчей, прикрывающих "дыры", Ваше мнение никому не нужно какое бы оно ни было.

    > Я своим глазам доверяю больше, чем сертификатам.

    Я за Вас искренне рад и частично поддерживаю, но тогда что вы делаете в ветке про "сертификат безопасности"? Смею предположить что агитируете против "сертификации". Если так, то "не нужно".

     
  • 4.38, arisu (ok), 19:45, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я своим глазам доверяю больше, чем сертификатам.

    спец по криптографии пожаловал, не иначе. в бебиане тоже один такой есть.

     
     
  • 5.69, Аноним (-), 04:55, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > спец по криптографии пожаловал, не иначе. в бебиане тоже один такой есть.

    И тем не менее, ряд очеивдных дыр может заткнуть и дилетант. Ну вон например недавно от одной атаки защитой был запрет блочных шифров. Оставить только поточный arcfour до момента пока проблема будет решена может даже полный дилетант. При этом т.к. он не пускал свои грязные лапы в arcfour - ничего и не сломается, соответственно.

     
     
  • 6.107, arisu (ok), 06:23, 05/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    я лично не стану доверять никаким правкам дилетанта в проектах типа OpenSSL или Linux. на всякий случай: проверить у меня нет времени и квалификации, а дилетант — он на то и… «я вам тут наработаю!» (ц)
     
     
  • 7.113, Аноним (-), 16:16, 05/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    +1

    ЗЫ Анон с поста№19

     
  • 5.83, Аноним (-), 10:33, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Я своим глазам доверяю больше, чем сертификатам.
    > спец по криптографии пожаловал, не иначе. в бебиане тоже один такой есть.

    а зачем ты каверкаешь название дистрибутива? кстати не в debian, а в openssl.

     
  • 4.88, Куяврик (?), 11:32, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>И как вы себе это представляете?
    > Очень просто.

    Понятие "скомпрометированная система" вам не знакомо?

     
  • 3.48, Аноним (-), 22:23, 03/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Предлагаете чтобы сертифицированный код после наложения патчей оставался таковым?

    А что даёт сертифицированный код?
    Кто будет отвечать за последствия взлома? ФСБ?
    Взвешенным решением при наличии публичного эксплоита будет, пожалуй, свой надёжный тоннель, с сертифицированным тоннелем внутри.

     
     
  • 4.57, анон (?), 00:45, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Что дает сертифицированный код лучше спросите у тех, кто его сертифицирует и кому сертифицируют. На сколько я знаю в гос. учреждениях есть ограничения на установку несертифицированного оборудования (с кодом наверное также; может я ошибаюсь - пусть поправят). Какое решение принять это полностью Ваш выбор, однако если не придираться к каждому сказанному слову с целью показаться самым умным, то можно понять, что мой пост был ответом на некий "идиотизм", который нашел автор поста повыше. Тот самый, который считает что сертифицированный код должен таким оставаться даже после применении несертифицированной заплатки и что он лучше знает каково его качество. Вы конечно с ним согласны...Или нет?! А в общем, мне все равно.
     
     
  • 5.71, Аноним (-), 05:01, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > заплатки и что он лучше знает каково его качество. Вы конечно
    > с ним согласны...Или нет?! А в общем, мне все равно.

    В случае с ГОСТ у ряда криптографов вообще есть подозрение что там может быть бэкдор и кому надо - умеют вскрывать его сильно проще нежели афишируется. Дело в том что нигде не описывается как генерируется заполнение S-box'ов, почему оно разное для разных контор и как отличить "секурный" вариант от варианта который может приводить к ослаблению шифра.

     
     
  • 6.79, VoDA (ok), 09:44, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > В случае с ГОСТ у ряда криптографов вообще есть подозрение что там
    > может быть бэкдор и кому надо - умеют вскрывать его сильно
    > проще нежели афишируется. Дело в том что нигде не описывается как
    > генерируется заполнение S-box'ов, почему оно разное для разных контор и как
    > отличить "секурный" вариант от варианта который может приводить к ослаблению шифра.

    А почему вы уверены, что для алгоритмов сертифицированных на территории США нет "бэкдоров"?

     
  • 6.101, Аноним (-), 16:40, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Зато есть описание к des Оно сильно похоже А почему разное Вы гост 28147 о... большой текст свёрнут, показать
     

  • 1.39, Кирилл (??), 19:57, 03/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждём сертифицированного с ГОСТом =)
    Хотя, у нас ФСБ просто идиотски к этому подходят.
    Занимается сертификацией один отдел, который не может сертифицировать два продукта одновременно. То есть однозадачны они...
    Вообще у нас в России всё что касается сертификации ИБ направлено только на получение бабла ведомствами вроде ФСТЭК и ФСБ. При том они явно закрывают глаза на маразм и посылают на три буквы спецов, которые явно указывают на косяки. Лукацкий не раз об этом говорил. Так что, пока они ведут себя как жлобы
    (Все знают что виндой у нас торгует управление при президенте Рф, а некоторые продукты купить можно только там? =)) хрен мы дождемся нормального развития ИБ...

    Кстати, у наших соседей для шифрования трафика тоже используется гостовый алгоритм, а для цифровой подписи у украинцев и белорусов, к примеру, свои стандарты =) Но ДСТУ украинцев слизан с нашего ГОСТа=) вот такие дела =)

     
     
  • 2.58, R (?), 00:55, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > =) Но ДСТУ украинцев слизан с нашего ГОСТа=) вот такие дела
    > =)

    Вы в этом уверены?
    [quote]Краткая информация о ДСТУ 4145-2002

    Алгоритм основан на эллиптических кривых над полем 2 (не суперсингулярные кривые). В стандарте используются кривые в полиномиальном базисе и кривые в оптимальном нормальном базисе. Причем последние (ОНБ) двух разных типов: второго и третьего типа. Основой для разработки даного стандарта послужил международный стандарт IEEE P1363a. Поэтому принципиальным отличием ДСТУ 4145 является только использование "своей" функции хеширования. Для хеширования используется алгоритм - межгосударственный стандарт ГОСТ 34.311-95 (ранее ГОСТ 28147-89 в режиме имитовставки).[/quote]http://infoch.info/view_lesson.php?id=33

     
     
  • 3.77, Кирилл (??), 09:02, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >> =)
    > Вы в этом уверены?
    > [quote]Краткая информация о ДСТУ 4145-2002
    > Алгоритм основан на эллиптических кривых над полем 2 (не суперсингулярные кривые). В
    > стандарте используются кривые в полиномиальном базисе и кривые в оптимальном нормальном
    > базисе. Причем последние (ОНБ) двух разных типов: второго и третьего типа.
    > Основой для разработки даного стандарта послужил международный стандарт IEEE P1363a. Поэтому
    > принципиальным отличием ДСТУ 4145 является только использование "своей" функции хеширования.
    > Для хеширования используется алгоритм - межгосударственный стандарт ГОСТ 34.311-95 (ранее
    > ГОСТ 28147-89 в режиме имитовставки).[/quote]http://infoch.info/view_lesson.php?id=33

    А наш 2001 ГОСТ какбэ тот же алгоритм, вы не в курсе, да?)

     

  • 1.56, Аноним (-), 00:03, 04/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ужос. Всегда обходил сертифицированную гнусь за 10 километров - сертификация ничегошеньки не даёт, зато не даёт нормально обновлять ПО. Жаль тех кому приходится использовать сертифицированное.
     
     
  • 2.70, Alex_S (??), 04:58, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ужос. Всегда обходил сертифицированную гнусь за 10 километров - сертификация ничегошеньки
    > не даёт, зато не даёт нормально обновлять ПО. Жаль тех кому
    > приходится использовать сертифицированное.

    чувак, вот та часть , которая сертифицирована - ее уже незачем обновлять.
    если какую-нить принципиальную дыру найдут - проще будет отказаться от продукта вообще, чем фиксить

     
     
  • 3.72, Аноним (-), 05:02, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >  чувак, вот та часть , которая сертифицирована - ее уже незачем обновлять.

    Да, надо наслаждаться зондами, как сертифицированными так и вновь обнаруженными :)

     
  • 2.74, anonymous (??), 06:03, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, к информационной безопасности ты имеешь отношение как домохозяйка к ракетным технологиям. И у нас, и "у них" серьезные люди используют сертифицированные железо и софт. Вот только они доверяют FIPSу, а мы - ФСТЭКу. Высокая политика, понимаешь.
     
     
  • 3.76, Кирилл (??), 09:01, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Самым логичным было бы принимать совместимые стандарты, то есть переводить международные.
    Но нет же, мы же гордые птицы, у нас своя система ни с чем не совместимая и безобразно сформированная.
     
     
  • 4.80, VoDA (ok), 09:47, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Самым логичным было бы принимать совместимые стандарты, то есть переводить международные.

    Для США самый "международный" крипто-алгоритм тот, к которому у них есть "ключ" для быстрого вскрытия. Для нас - крипто, для которого наши спец-службы имеют "ключ".

    Какой алгоритм примем за международный? ;)

     
     
  • 5.87, Аноним (-), 11:15, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Какой алгоритм примем за международный? ;)

    Один поверх другого.

     
     
  • 6.91, VoDA (ok), 13:07, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>Какой алгоритм примем за международный? ;)
    > Один поверх другого.

    Тогда ни США ни РФ не примут его за стандарт. Так что придется таки определяться ;)

     
  • 4.85, ананим (?), 10:56, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну зашибись.
    Давайте уже на дюймовую систему переходить.

    Зыж
    Международные (если такие применительно к сабжу есть) как раз сабжем и не затонулись.
    См. последний абзац.

     
     
  • 5.105, Alex_S (??), 04:47, 05/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну зашибись.
    > Давайте уже на дюймовую систему переходить.
    > Зыж
    > Международные (если такие применительно к сабжу есть) как раз сабжем и не
    > затонулись.
    > См. последний абзац.

      вопрос-оффтопик тогда. вот в винде есть фипс-сертифицированый криптопровайдер, который и офис и почта может использовать. AES там, SHA всякий.  И что , запрещен ли он в российских госконторах ?


     
     
  • 6.114, Maniaq (ok), 22:07, 06/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >   вопрос-оффтопик тогда. вот в винде есть фипс-сертифицированый криптопровайдер, который
    > и офис и почта может использовать. AES там, SHA всякий.  
    > И что , запрещен ли он в российских госконторах ?

    Для обработки данных, требующих сертифицированных средств защиты, например персданных, да запрещен. см. соответствующие статьи законов, о тех же персданных.

     
  • 3.84, Анонзо (?), 10:45, 04/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только ты говоришь про "серьёзных людей". У нас эту сертифицированную хохломень силком пихают в каждое госучреждение, теребя за это немерянное бабло.
     

  • 1.111, anonym (?), 12:53, 05/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ха, VipNET этим летом нагнул все вузы и ссузы в РФ. Рособрнадзор обязал всех подключиться к "защищенной" випнетом сети ФИС ЕГЭ: http://priem.edu.ru/  
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру