URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 85416
[ Назад ]

Исходное сообщение
"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"

Отправлено opennews , 03-Июл-12 17:15 
Проект OpenSSL получил (http://www.openssl.org/docs/fips/fipsnotes.html) для версии библиотеки 1.0 сертификат соответствия стандарту безопасности FIPS 140-2 (http://en.wikipedia.org/wiki/FIPS_140-2), определяющего требования к криптографическим модулям, необходимые для их использования в государственных учреждениях США. Сертификат выдан Американским институтом стандартов и технологий (NIST) после проведения соответствующего аудита кода проекта.


Выданные сертификат примечателен тем, что он выдан на исходные тексты продукта, а не конкретную бинарную сборку, что расширяет область использования OpenSSL в государственных проектах. Тем не менее, сертификация кода налагает определённые требования (http://openssl.org/docs/fips/UserGuide-2.0.pdf) на окружение сборки, которое может включать только одобренные FIPS сборочные инструменты и немодифицированные исходные тексты версии библиотеки, прошедшей сертификацию. При этом при выявлении уязвимостей или серьёзных ошибок в сертифицированном коде, пользователи не вправе применить патч с устранением проблемы, не дождавшись результатов сертификации обновлённой версии, так как это приведёт к потере сертифицированного статуса.


Выданный сертификат не охватывает всю библиотеку, а лишь подтверждает безопасность модуля OpenSSL FIPS Object Module, в состав которого включено ограниченное подмножество возможностей OpenSSL. Например, в состав модуля не включены такие популярные, но не совместимые с FIPS алгоритмы, как  Blowfish, CAST, IDEA и RC4/5.


URL: http://www.h-online.com/open/news/item/OpenSSL-1-0-now-with-...
Новость: http://www.opennet.me/opennews/art.shtml?num=34261


Содержание

Сообщения в этом обсуждении
"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено iCat , 03-Июл-12 17:15 
А наши банки и налоговые службы продолжают жрать VipNET и другие несуразности, слепленые на основе КриптоПРО...

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено pavlinux , 03-Июл-12 17:51 
Ваша не понятна, предлагаете юзать амерекосский AES?
Или вы не предлагаете, а так, посрать зашли?!

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 18:03 
>Ваша не понятна, предлагаете юзать амерекосский AES?

В OpenSSL и ГОСТ есть давно.
>выдан на исходные тексты продукта

А вот так у нас пока не умеют.
Да и на бинарник не умеют, в смысле на электронный файл. Только на носитель. Приходится покупать каждый раз.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 03-Июл-12 18:30 
>> Ваша не понятна, предлагаете юзать амерекосский AES?
> В OpenSSL и ГОСТ есть давно.

_В OpenSSL_ -- нету.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено pavlinux , 03-Июл-12 19:12 
pavel@suse64:~> openssl engine gost -vvv

(gost) Reference implementation of GOST engine
     CRYPT_PARAMS: OID of default GOST 28147-89 parameters
          (input flags): STRING


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 03-Июл-12 21:35 
Это очень полезная команда, но README.ENGINE в исходниках OpenSSL v1.0.1c говорит чётко и ясно, что built-in engines в OpenSSL следующие:

===
There are currently built-in ENGINE implementations for the following
  crypto devices:

      o CryptoSwift
      o Compaq Atalla
      o nCipher CHIL
      o Nuron
      o Broadcom uBSec
===

GOST -- это Dynamic Engine. Она живёт отдельно от OpenSSL, и может поставляться, а может -- нет.

pavlinux, за тобой, вроде бы, не замечено было "думать быстрее, чем разбираться"...


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 03-Июл-12 23:07 
Во выкручивается! Трухины из(под) мс наверное от зависти позеленели.

зыж
между "_В OpenSSL_ -- нету" и "GOST -- это Dynamic Engine" есть существенная разница.

GOST'овские алгоритмы поставляются в том же тарболе с сырцами openssl. всё!!!
они там есть.
то что они не являются базовыми и используемыми по-умолчанию для пендостана — это та аксиома которую только трухины могут так долго доказывать.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Michael Shigorin , 04-Июл-12 00:00 
> pavlinux, за тобой вроде бы не замечено было "думать быстрее, чем разбираться"...

Так эээ... http://www.opennet.me/opennews/art.shtml?num=21076 вроде давно уж.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 04-Июл-12 04:03 
>> pavlinux, за тобой вроде бы не замечено было "думать быстрее, чем разбираться"...
> Так эээ... http://www.opennet.me/opennews/art.shtml?num=21076 вроде давно уж.

-static в ключи линкеру, Миш -- и не будет у тебя никакого ГОСТа. :) Впрочем, на некоторых платформах можно будет dlopen() позвать, но это не универсальное решение, кое-где статически собранный бинарь не сможет подгрузить динамический модуль.

Это crypto engine, которые не есть часть OpenSSL, строго говоря.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 04-Июл-12 14:27 
— Доктор, если я одеваю подтяжки вот так, то спина чешется.
— Что ж. Не одевайте так подтяжки.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Michael Shigorin , 04-Июл-12 16:55 
> -static в ключи линкеру, Миш -- и не будет у тебя никакого ГОСТа. :)

Так ногу отстрелить завсегда можно по-разному, была бы нужда такая.

ЕМНИП перед мержем собственно ГОСТовой части криптокомовцы именно над engine'ами и поработали -- да вот, гляньте сами: http://lists.altlinux.org/pipermail/devel/2005-June/034122.html -- т.е. всё так и задумано.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 03-Июл-12 19:18 
википедия не согласна
>OpenSSL supports a number of different cryptographic algorithms:
>Ciphers
>    AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89[2]
>Cryptographic hash functions
>    MD5, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34.11-94[2]
>Public-key cryptography

    RSA, DSA, Diffie–Hellman key exchange, Elliptic curve, GOST R 34.10-2001
http://en.wikipedia.org/wiki/OpenSSL

где GOST block cipher, defined in the standard GOST 28147-89, is a Soviet and Russian government standard symmetric key block cipher. Also based on this block cipher is the GOST hash function.
http://en.wikipedia.org/wiki/GOST_%28block_cipher%29


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 03-Июл-12 21:35 
> википедия не согласна

А README.ENGINE в исходных текстах OpenSSL не согласен с Викой. Кому верить?


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 03-Июл-12 22:54 
Правда что ли? :D
а то вон ниже ( http://www.opennet.me/openforum/vsluhforumID3/85416.html#34 ) уже и реадми привёл.
надо было вам не спешить отвечать, а вначале все ответы глянуть.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 04:39 
> А README.ENGINE в исходных текстах OpenSSL не согласен с Викой. Кому верить?

"Если нечто выглядит как собака и ведет себя как собака, мы называем это собакой". Аналогично насчет поддержки GOST в OpenSSL.



"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Alex_S , 04-Июл-12 04:51 
>> википедия не согласна
> А README.ENGINE в исходных текстах OpenSSL не согласен с Викой. Кому верить?

доки в ореnssl -  сырые
могут не отражать действительность



"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 04-Июл-12 11:00 
Доки нормальные.
А вот реадми не обязана все доки в себя включать.
Тем более гост для буржуев уж очень местечковое дополнение к базовым алгоритмам.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 20:21 
Минус вам за дезу

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 03-Июл-12 21:36 
> Минус вам за дезу

Аналогично вам за неумение читать документацию, поставляемую с исходниками (или исходное сообщение автора, или и то, и другое).


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 04:38 
> _В OpenSSL_ -- нету.

Вообще-то уже давно есть. Ручник полезно иногда отпускать.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 03-Июл-12 21:40 
> В OpenSSL и ГОСТ есть давно.
>> выдан на исходные тексты продукта

На часть исходных текстов. Dynamic Engines не являются частью OpenSSL FIPS Object Module, если я, конечно, ещё не окончательно спятил.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 22:10 
Да, разумеется. ГОСТу и не нужен сертификат США.
Это были 2 не связанные мысли в одном посте.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 03-Июл-12 23:16 
Разумеется, кэп.
У кого хватило духу дочитать до последнего абзаца (и понять прочитанное… видимо с этим тоже есть затруднения), что NIST не интересуют не только алгоритмы "потенциального противника", но и ещё ряд:
>Например, в состав модуля не включены такие популярные, но не совместимые с FIPS алгоритмы, как Blowfish, CAST, IDEA и RC4/5.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 04:42 
> На часть исходных текстов. Dynamic Engines не являются частью OpenSSL FIPS

Если б гост стал частью FIPS - вот это был бы номер...


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 23:46 
>покупать каждый раз.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено VoDA , 04-Июл-12 09:37 
>>Ваша не понятна, предлагаете юзать амерекосский AES?
> В OpenSSL и ГОСТ есть давно.

А ГОСТ из OpenSSL имеет сертификат? и у кого этот сертификат можно получить?


ЗЫ поддержка без сертификата нах не нужна ибо не позволяет использовать на территории РФ.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 10:22 
сертификат нужен только при использовании в госорганах или общении с ними.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено VoDA , 04-Июл-12 13:06 
> сертификат нужен только при использовании в госорганах или общении с ними.

собственно весь топик о "сертификации", которая нужна в основном для гос-органов.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено norguhtar , 03-Июл-12 18:09 
OpenSSL включает в себя алгоритмы ГОСТ на базе эллиптических кривых. Это так к слову.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 03-Июл-12 18:31 
> OpenSSL включает в себя алгоритмы ГОСТ на базе эллиптических кривых. Это так
> к слову.

_OpenSSL_ -- не включает.

Crypto Engine, реализующий ГОСТ, живёт от OpenSSL отдельно.



"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 03-Июл-12 19:20 
официальная информация не согласна:
http://cvs.openssl.org/fileview?f=openssl/engines/ccgost/REA...
GOST ENGINE
This engine provides implementation of Russian cryptography standard.
This is also an example of adding new cryptoalgorithms into OpenSSL
without changing its core. If OpenSSL is compiled with dynamic engine
support, new algorithms can be added even without recompilation of
OpenSSL and applications which use it.
ALGORITHMS SUPPORTED
GOST R 34.10-94 and GOST R 34.10-2001 - digital signature algorithms.
   Also support key exchange based on public keys. See RFC 4357 for
   details of VKO key exchange algorithm. These algorithms use
   256 bit private keys. Public keys are 1024 bit for 94 and 512 bit for
   2001 (which is elliptic-curve based). Key exchange algorithms
   (VKO R 34.10) are supported on these keys too.
  

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 03-Июл-12 21:38 
> официальная информация не согласна:

Официальная информация говорит ровно то, что я и написал в своём сообщении.

> ...If OpenSSL is compiled with dynamic engine support,

Подумайте, что будет, if not.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 03-Июл-12 22:52 
прикольные отговорки.
а если вообще не компилить, то openssl вообще не существует в природе,да?

сырцы одни, идут одним тарболом, очевидно что не всякой Зимбабве нужны ГОСТ'овские алгоритмы.
усё остальное — исинуации.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 04-Июл-12 04:01 
> прикольные отговорки.
> а если вообще не компилить, то openssl вообще не существует в природе,да?

Прикольное нежелание думать головой.

> сырцы одни, идут одним тарболом, очевидно что не всякой Зимбабве нужны ГОСТ'овские
> алгоритмы.
> усё остальное — исинуации.

Угу-угу.

"Идёт" -- это то, что есть _всегда_, чтобы вовне программной библиотеки не происходило. А если что-то есть в тарболле с исходниками -- то возможны варианты.
Как вариант -- соберите ваш программный продукт статически, и попробуйте что-нибудь там ГОСТом пошифровать.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 04:48 
> Прикольное нежелание думать головой.

При том у вас. Вы облажались, но силы духа признать это у вас не хватило. Начались гнилые отмазы - "а если совсем не собирать, то вообще ни 1 алгоритма не будет поддерживаться".


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Alex_S , 04-Июл-12 04:53 

> Прикольное нежелание думать головой.

по-вашему, входит в состав == может быть статически слинковано ?

что вас натолкнуло на такой вывод ?



"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ram_scan , 04-Июл-12 06:23 
А какая половая разница как оно там слинковано если функционал поддерживается ?

По факту я могу "искапрпки" получить openssl с поддержкой gost. Поэтому мне странно слышать что "нету ГОСТа в том вашем openssl". УМВР. ЧЯДНТ ?


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 04-Июл-12 14:25 
> "Идёт" -- это то, что есть _всегда_

Сколько раз вам надо скачать тарбол с сайта, чтобы убедиться что они идут с ним всегда?
Ссылочку дать?


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено samm , 07-Июл-12 16:25 
Андрей, вы удивительны. Вы облажались, но вместо того, чтобы признать это - продолжаете врать и справедливо собирать минуса.

Просто пару вопросов:

1) Есть ли реализация алгоритмов гост-а в тарболе с OpenSSL?
2) Возможно ли используя self-compiled OpenSSL из упомянутого выше тарбола криптовать и декриптовать данные используя алгоритм гост? Требуются ли внешние пакеты или библиотеки?

Вот вам и будет ответ - конечно, гост часть опенссл.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено фывафыва , 03-Июл-12 18:42 
А ничо что в нашем ГОСТе используются американские биты? В них точно есть закладки!

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 03-Июл-12 20:57 
>А ничо что в нашем ГОСТе используются американские биты?

да наша лапта ещё старше их бейсбола!
http://ru.wikipedia.org/wiki/%D0%9B%D0%B...
так что в нашем госте правильные биты


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Andrew Kolchoogin , 04-Июл-12 04:06 
> А ничо что в нашем ГОСТе используются американские биты? В них точно
> есть закладки!

Ну, это мелко. В OpenSSL GOST crypto engine (наш) не собирается, если отключено что-либо из нижеперечисленного:

1) криптография на основе эллиптических кривых;
2) Diffie-Hellman Key Exchange;
3) RSA

Всё это совершенно буржуйское. ;)


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 10:27 
криптография на основе
эллиптических кривых изучалась не только буржуями.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 15:22 
> криптография на основе эллиптических кривых изучалась не только буржуями.

Sony успешно их изучила, в стиле:
int random()
{
return 4; //determined by fair dice roll - guaranteed to be random.
}


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Dron , 03-Июл-12 17:59 
Слава богу, что нас не заставляют юзать в своих проектах OpenSSL
Хотя он в принципе способен заменить КриптоПро...

OpenSSL хорошая штука, только если внутрь не заглядывать... :)

> Выданный сертификат не охватывает всю библиотеку

Сертификаторы тоже все исходники не осилили :D


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 18:07 
>OpenSSL хорошая штука, только если внутрь не заглядывать... :)

Вы не поверите. Внутрь заглядывать и не требуется. Если, конечно, нет желания помочь проекту написать код или провести аудит.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Dron , 03-Июл-12 18:12 
>Вы не поверите. Внутрь заглядывать и не требуется.

Учитывая уровень документированности OpenSSL - еще как требуется...


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Куяврик , 03-Июл-12 18:20 
Кстати, а как там внутренности КриптоПРО? Они вас устраивают?

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Dron , 03-Июл-12 18:26 
> Кстати, а как там внутренности КриптоПРО? Они вас устраивают?

Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)
Мы используем КриптоПро в своих продуктах, у него есть свои тараканы. Но с гостом он справляется. :)


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 03-Июл-12 18:51 
В openssl вы тоже не работаете, но какие однако диаметральные взгляды.
Двойные стандарты.

Зыж
> Мы используем КриптоПро в своих продуктах, у него есть свои тараканы.

Судя по комменту уже и не только свои.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 04:50 
> Мы используем КриптоПро в своих продуктах,

Так бы сразу и сказали, что это - всего лишь маркетинговый булшит и прикрывание своей задницы. Ведь как известно свое г... не пахнет.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено SCIF , 04-Июл-12 05:10 
> Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)
> Мы используем КриптоПро в своих продуктах, у него есть свои тараканы. Но
> с гостом он справляется. :)

Ииии??? А таки OpenSSL с ГОСТом не справляется? Вы непоследовательны и кладёте говном то, что работает , указывая, на то, что другое тоже работает.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Клыкастый , 04-Июл-12 13:41 
>> Кстати, а как там внутренности КриптоПРО? Они вас устраивают?
> Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)

ээээ.... я правильно понял, что выработаете в OpenSSL?


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Dron , 04-Июл-12 14:56 
>>> Кстати, а как там внутренности КриптоПРО? Они вас устраивают?
>> Я работаю не в КриптоПро, пусть это беспокоит разработчиков оттуда. :)
> ээээ.... я правильно понял, что выработаете в OpenSSL?

Боже упаси...
По долгу службы я сильно связан с криптографическими алгоритмами, в основном с ГОСТ.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Клыкастый , 04-Июл-12 15:42 
>> ээээ.... я правильно понял, что выработаете в OpenSSL?
> Боже упаси...

Тогда неясна разница в подходе. Внутрь OpenSSL смотреть надо, криптопро пусть сами.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Dron , 04-Июл-12 16:02 
>>> ээээ.... я правильно понял, что выработаете в OpenSSL?
>> Боже упаси...
> Тогда неясна разница в подходе. Внутрь OpenSSL смотреть надо, криптопро пусть сами.

Microsoft Crypto API прекрасно докумментировано на MSDN.
Кроме этого надо лишь самую малость, идентификаторы алгоритмов узнать и все.

А в OpenSSL надо искать все.
А в докумментации там вот что:
openssl(1): [STILL INCOMPLETE]
ssl(3): [STILL INCOMPLETE]
crypto(3): [STILL INCOMPLETE]
HOWTO: [STILL INCOMPLETE]

Как и для чего использовать ту или иную функцию, например d2i_PKCS7, есть такая функция.. я даже грепом найти не могу, потому, что задекларирована она так:
DECLARE_ASN1_FUNCTIONS(PKCS7)
Больше про нее не известно ничего... И так в OpenSSL куда не плюнь.

Возможно, тривиальные действия (посчитать md5 хэш) там худо-бедно описаны... а если ты хочешь что-то посерьезнее, достать из криптопрошного сертификата public key... то это без поллитры не сделаешь...


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 04-Июл-12 16:49 
Это большое упущение, что на мсдн нет [STILL INCOMPLETE] (обман, везде обман)
Тем более по описаниям делать выводы о содержании — тот ещё профессионализмъ.
Так же есть большие сомнения, что вы вообще ходили смотреть докуметацию openssl ранее, чем пару дней и далее, чем первая страница.
http://www.openssl.org//docs/fips/

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено arisu , 05-Июл-12 06:32 
ну, если ты не знаешь, зачем нужна функция — так и не используй.

а вообще-то, в гугле есть много всего. а ещё есть списки рассылок, где ВНИЗАПНА! на вопросы таки отвечают. причём люди, которые библиотеку используют.

кстати: можешь взять и дополнить документацию, если что. народ благодарен будет.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 18:53 
> OpenSSL хорошая штука, только если внутрь не заглядывать... :)

Сделайте вид, что это проприетарный продукт, и не заглядывайте внутрь. Все будут счастливы.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Dron , 04-Июл-12 15:02 
>> OpenSSL хорошая штука, только если внутрь не заглядывать... :)
> Сделайте вид, что это проприетарный продукт, и не заглядывайте внутрь. Все будут
> счастливы.

Есть большая разница между КриптоПро и OpenSSL
Нет, это не открытость исходников последней...

Докумментация КриптоПро тоже достаточно скудная, но ей и не нужно быть подробной, потому что КриптоПро доступен через Microsoft Crypto API.

В то время, как OpenSSL не встраивается в винду, а является самостоятельной библиотекой... Многие функции которой вообще не имеют докумментации. И без заглядывания в исходники мало что можно сделать.

Посмотрите хотя бы на количество ошибок в OpenSSL... можно сделать выводы о внутреннем качестве этой библиотеки уже на основании этого.

А сабж без патчей конечно гроша ломанного не стоит.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 04-Июл-12 21:30 
>В то время, как OpenSSL не встраивается в винду, а является самостоятельной библиотекой...

а ещё там gost в составе.
другими словами — не недо платить таким как вы за "доработки".

зыж
ха! полная дока в мсдн. полная.
а заплатите хрен-знает-кому, будет ещё полнее.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено arisu , 05-Июл-12 06:34 
> Посмотрите хотя бы на количество ошибок в OpenSSL… можно сделать выводы о
> внутреннем качестве этой библиотеки уже на основании этого.

посмотрев на количество и качество ошибок в винде, можно сделать вывод, что для более-менее безопасной работы её могут выбрать только полные идиоты или проплаченые «казачки».


"блажен неведующий, воистину"
Отправлено DFX , 05-Июл-12 13:56 
>> Посмотрите хотя бы на количество ошибок в OpenSSL... можно сделать выводы о внутреннем качестве этой библиотеки уже на основании этого.

ну я просто балдею от профессиональности этого подхода !

дак ведь предыдущий оратор вам уже сказал:
>> Сделайте вид, что это проприетарный продукт, и _не заглядывайте внутрь_

вот, вот: закройте глазки и УВЕРУЙТЕ ! уверуйте в мнимое превосходство одного чёрного ящика, перед другим, судя по обёртке, как вы это, похоже, любите.
какая вообще замечательная претензия: "я подглядел, и мне не понравилось, буду кушать вслепую из другого корыта" !


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 18:46 
КриптоПро к VipNet не имеет не малейшего отношения. VipNet всю жизнь строился вокруг собственной либы DomainK - которая отдельно сертифицировалась.

А КриптоПро - к вашему сведению - поучаствовало что бы в OpenSSL появилась поддержка ГОСТ-28147 и Р-34.10 Р-34.11.

Вот такие китята...


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено prof_alex , 03-Июл-12 19:27 
Вы КриптоПРО и КриптоКом, часом, не попутали?

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 03-Июл-12 19:42 
ну для gnutls реализацию запилили cryptopro
>Internet Draft                             Grigorij Chudov, CRYPTO-PRO

http://www.digipedia.pl/usenet/thread/11843/4470/

и у cryptocom
>шифрсьюты TLS на базе российских алгоритмов в соответствии с draft-chudov-cryptopro-cptls.

http://www.cryptocom.ru/opensource/
и далее по тексту http://www.cryptocom.ru/opensource/draft-chudov-cryptopro-cp...
Intended status: Informational                                CRYPTO-PRO
Expires: June 11, 2009                                  December 8, 2008
OST 28147-89 Cipher Suites for Transport Layer Security (TLS)
                    draft-chudov-cryptopro-cptls-04


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено profalex , 04-Июл-12 12:32 
Так я про OpenSSL и говорю, патчи были КриптоКОМовские изначально: http://www.cryptocom.ru/opensource/openssl098.html

Когда они в основное дерево исходников попали статус стал таким: http://www.cryptocom.ru/opensource/openssl100.html

Т.е., за ГОСТ в OpenSSL спасибо надо сказать КриптоКОМу?


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 04-Июл-12 13:32 
по ходу дела да.
хотя изначально брали у chudov-cryptopro (см. выше).

т.е. трудно сказать кому конкретно спасибо.
комьюнити аднака.
может обоим? включая и разрабов openssl:D


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено chemtech , 03-Июл-12 17:25 
VipNET и КриптоПРО это разные системы, и даже несовместимые между собой

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 18:08 
они как раз совместимы, т.к. работают в связке. КриптоПРО - функции криптования, работа с ключами; ViPNET - передача данных по защищенным каналам (читай почтовая программа).

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено chemtech , 03-Июл-12 18:21 
> они как раз совместимы, т.к. работают в связке. КриптоПРО - функции криптования,
> работа с ключами; ViPNET - передача данных по защищенным каналам (читай
> почтовая программа).

Почитайте сначала поподробнее про данные системы, а потом пишите. Вы указали не все характеристики


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 18:27 
> Почитайте сначала поподробнее про данные системы, а потом пишите. Вы указали не
> все характеристики

Конечно не все, но общая суть понятна. Они могут работать и работают вместе. Где несовместимость?


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено chemtech , 03-Июл-12 18:35 
>> Почитайте сначала поподробнее про данные системы, а потом пишите. Вы указали не
>> все характеристики
> Конечно не все, но общая суть понятна. Они могут работать и работают
> вместе. Где несовместимость?

Вы хоть немного в теме?
Первая ссылка в гугле:
http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=2854

Поиск по "vipnet несовместим криптопро" Результатов: примерно 48 500

Я не могу отправить отправить документ подписанный через криптопровайдер Крипто-Про чтобы мог получить человек с криптопровайдером VipNET CSP

Еще
http://www.infotecs.ru/forum/index.php?showtopic=5955
"Формат контейнера криптопровайдеров вроде как отличается."

И еще куча других ссылок


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 18:56 

> Еще
> http://www.infotecs.ru/forum/index.php?showtopic=5955
> "Формат контейнера криптопровайдеров вроде как отличается."

молчи грусть.. о их контейнерах ключей и тп.. а то как посмотришь на код - так плакать хочется..


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 18:46 
> они как раз совместимы, т.к. работают в связке. КриптоПРО - функции криптования,
> работа с ключами; ViPNET - передача данных по защищенным каналам (читай
> почтовая программа).

Не совместимы. читаем что такое домен-к.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено anonynous , 03-Июл-12 18:02 
>При этом при выявлении уязвимостей или серьёзных ошибок в сертифицированном коде, пользователи не вправе применить патч с устранением проблемы, не дождавшись результатов сертификации обновлённой версии, так как это приведёт к потере сертифицированного статуса.

Ну, радует, что идиотизм в области информационной безопасности есть не только у нас.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено анон , 03-Июл-12 18:31 
Предлагаете чтобы сертифицированный код после наложения патчей оставался таковым? И как вы себе это представляете? Вы делаете потенциальную "дыру" безопасности в сертифицированной системе, преследующей прямо противоположные цели, пусть даже она по утверждению (без гарантий) разработчика закрывает реальные, при этом хотите, чтобы гарантии оставались прежними.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено anonynous , 03-Июл-12 18:53 
>И как вы себе это представляете?

Очень просто.

>Вы делаете потенциальную "дыру" безопасности в сертифицированной системе, преследующей прямо противоположные цели, пусть даже она по утверждению (без гарантий) разработчика закрывает реальные, при этом хотите, чтобы гарантии оставались прежними.

Я предпочту "потенциальную" дыру реально существующей.

>без гарантий

Применительно к OpenSSL всегда можно текст патча посмотреть, что он там исправляет. Я своим глазам доверяю больше, чем сертификатам.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено анон , 03-Июл-12 19:45 
Есть официальные гарантии, а есть Ваше мнение. Какое более авторитетней и вернее, удобнее или еще какое - не важно. Важно то, что там, где нужно именно официальное, пусть по факту и менее надежное с точки зрения оперативности принятия патчей, прикрывающих "дыры", Ваше мнение никому не нужно какое бы оно ни было.

> Я своим глазам доверяю больше, чем сертификатам.

Я за Вас искренне рад и частично поддерживаю, но тогда что вы делаете в ветке про "сертификат безопасности"? Смею предположить что агитируете против "сертификации". Если так, то "не нужно".


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено arisu , 03-Июл-12 19:45 
> Я своим глазам доверяю больше, чем сертификатам.

спец по криптографии пожаловал, не иначе. в бебиане тоже один такой есть.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 04:55 
> спец по криптографии пожаловал, не иначе. в бебиане тоже один такой есть.

И тем не менее, ряд очеивдных дыр может заткнуть и дилетант. Ну вон например недавно от одной атаки защитой был запрет блочных шифров. Оставить только поточный arcfour до момента пока проблема будет решена может даже полный дилетант. При этом т.к. он не пускал свои грязные лапы в arcfour - ничего и не сломается, соответственно.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено arisu , 05-Июл-12 06:23 
я лично не стану доверять никаким правкам дилетанта в проектах типа OpenSSL или Linux. на всякий случай: проверить у меня нет времени и квалификации, а дилетант — он на то и… «я вам тут наработаю!» (ц)

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 05-Июл-12 16:16 
+1

ЗЫ Анон с поста№19


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 10:33 
>> Я своим глазам доверяю больше, чем сертификатам.
> спец по криптографии пожаловал, не иначе. в бебиане тоже один такой есть.

а зачем ты каверкаешь название дистрибутива? кстати не в debian, а в openssl.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Куяврик , 04-Июл-12 11:32 
>>И как вы себе это представляете?
> Очень просто.

Понятие "скомпрометированная система" вам не знакомо?


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 03-Июл-12 22:23 
>Предлагаете чтобы сертифицированный код после наложения патчей оставался таковым?

А что даёт сертифицированный код?
Кто будет отвечать за последствия взлома? ФСБ?
Взвешенным решением при наличии публичного эксплоита будет, пожалуй, свой надёжный тоннель, с сертифицированным тоннелем внутри.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено анон , 04-Июл-12 00:45 
Что дает сертифицированный код лучше спросите у тех, кто его сертифицирует и кому сертифицируют. На сколько я знаю в гос. учреждениях есть ограничения на установку несертифицированного оборудования (с кодом наверное также; может я ошибаюсь - пусть поправят). Какое решение принять это полностью Ваш выбор, однако если не придираться к каждому сказанному слову с целью показаться самым умным, то можно понять, что мой пост был ответом на некий "идиотизм", который нашел автор поста повыше. Тот самый, который считает что сертифицированный код должен таким оставаться даже после применении несертифицированной заплатки и что он лучше знает каково его качество. Вы конечно с ним согласны...Или нет?! А в общем, мне все равно.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 05:01 
> заплатки и что он лучше знает каково его качество. Вы конечно
> с ним согласны...Или нет?! А в общем, мне все равно.

В случае с ГОСТ у ряда криптографов вообще есть подозрение что там может быть бэкдор и кому надо - умеют вскрывать его сильно проще нежели афишируется. Дело в том что нигде не описывается как генерируется заполнение S-box'ов, почему оно разное для разных контор и как отличить "секурный" вариант от варианта который может приводить к ослаблению шифра.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено VoDA , 04-Июл-12 09:44 
> В случае с ГОСТ у ряда криптографов вообще есть подозрение что там
> может быть бэкдор и кому надо - умеют вскрывать его сильно
> проще нежели афишируется. Дело в том что нигде не описывается как
> генерируется заполнение S-box'ов, почему оно разное для разных контор и как
> отличить "секурный" вариант от варианта который может приводить к ослаблению шифра.

А почему вы уверены, что для алгоритмов сертифицированных на территории США нет "бэкдоров"?


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 16:40 
>> заплатки и что он лучше знает каково его качество. Вы конечно
>> с ним согласны...Или нет?! А в общем, мне все равно.
> В случае с ГОСТ у ряда криптографов вообще есть подозрение что там
> может быть бэкдор и кому надо - умеют вскрывать его сильно
> проще нежели афишируется. Дело в том что нигде не описывается как
> генерируется заполнение S-box'ов, почему оно разное для разных контор и как
> отличить "секурный" вариант от варианта который может приводить к ослаблению шифра.

Зато есть описание к des. Оно сильно похоже. А почему разное?... Вы гост 28147 открывали? Сдается мне что нет - тогда бы туфу не творили. Блок перестановок является долговременным ключевым элементом и обязан быть разным в разных каналах связи, и выдатся компететными органами  - гост 28147, страница 8, внизу.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Кирилл , 03-Июл-12 19:57 
Ждём сертифицированного с ГОСТом =)
Хотя, у нас ФСБ просто идиотски к этому подходят.
Занимается сертификацией один отдел, который не может сертифицировать два продукта одновременно. То есть однозадачны они...
Вообще у нас в России всё что касается сертификации ИБ направлено только на получение бабла ведомствами вроде ФСТЭК и ФСБ. При том они явно закрывают глаза на маразм и посылают на три буквы спецов, которые явно указывают на косяки. Лукацкий не раз об этом говорил. Так что, пока они ведут себя как жлобы
(Все знают что виндой у нас торгует управление при президенте Рф, а некоторые продукты купить можно только там? =)) хрен мы дождемся нормального развития ИБ...

Кстати, у наших соседей для шифрования трафика тоже используется гостовый алгоритм, а для цифровой подписи у украинцев и белорусов, к примеру, свои стандарты =) Но ДСТУ украинцев слизан с нашего ГОСТа=) вот такие дела =)


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено R , 04-Июл-12 00:55 
> =) Но ДСТУ украинцев слизан с нашего ГОСТа=) вот такие дела
> =)

Вы в этом уверены?
[quote]Краткая информация о ДСТУ 4145-2002

Алгоритм основан на эллиптических кривых над полем 2 (не суперсингулярные кривые). В стандарте используются кривые в полиномиальном базисе и кривые в оптимальном нормальном базисе. Причем последние (ОНБ) двух разных типов: второго и третьего типа. Основой для разработки даного стандарта послужил международный стандарт IEEE P1363a. Поэтому принципиальным отличием ДСТУ 4145 является только использование "своей" функции хеширования. Для хеширования используется алгоритм - межгосударственный стандарт ГОСТ 34.311-95 (ранее ГОСТ 28147-89 в режиме имитовставки).[/quote]http://infoch.info/view_lesson.php?id=33


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Кирилл , 04-Июл-12 09:02 
>[оверквотинг удален]
>> =)
> Вы в этом уверены?
> [quote]Краткая информация о ДСТУ 4145-2002
> Алгоритм основан на эллиптических кривых над полем 2 (не суперсингулярные кривые). В
> стандарте используются кривые в полиномиальном базисе и кривые в оптимальном нормальном
> базисе. Причем последние (ОНБ) двух разных типов: второго и третьего типа.
> Основой для разработки даного стандарта послужил международный стандарт IEEE P1363a. Поэтому
> принципиальным отличием ДСТУ 4145 является только использование "своей" функции хеширования.
> Для хеширования используется алгоритм - межгосударственный стандарт ГОСТ 34.311-95 (ранее
> ГОСТ 28147-89 в режиме имитовставки).[/quote]http://infoch.info/view_lesson.php?id=33

А наш 2001 ГОСТ какбэ тот же алгоритм, вы не в курсе, да?)


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 00:03 
Ужос. Всегда обходил сертифицированную гнусь за 10 километров - сертификация ничегошеньки не даёт, зато не даёт нормально обновлять ПО. Жаль тех кому приходится использовать сертифицированное.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Alex_S , 04-Июл-12 04:58 
> Ужос. Всегда обходил сертифицированную гнусь за 10 километров - сертификация ничегошеньки
> не даёт, зато не даёт нормально обновлять ПО. Жаль тех кому
> приходится использовать сертифицированное.

чувак, вот та часть , которая сертифицирована - ее уже незачем обновлять.
если какую-нить принципиальную дыру найдут - проще будет отказаться от продукта вообще, чем фиксить


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 05:02 
>  чувак, вот та часть , которая сертифицирована - ее уже незачем обновлять.

Да, надо наслаждаться зондами, как сертифицированными так и вновь обнаруженными :)


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено anonymous , 04-Июл-12 06:03 
Чувак, к информационной безопасности ты имеешь отношение как домохозяйка к ракетным технологиям. И у нас, и "у них" серьезные люди используют сертифицированные железо и софт. Вот только они доверяют FIPSу, а мы - ФСТЭКу. Высокая политика, понимаешь.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Кирилл , 04-Июл-12 09:01 
Самым логичным было бы принимать совместимые стандарты, то есть переводить международные.
Но нет же, мы же гордые птицы, у нас своя система ни с чем не совместимая и безобразно сформированная.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено VoDA , 04-Июл-12 09:47 
> Самым логичным было бы принимать совместимые стандарты, то есть переводить международные.

Для США самый "международный" крипто-алгоритм тот, к которому у них есть "ключ" для быстрого вскрытия. Для нас - крипто, для которого наши спец-службы имеют "ключ".

Какой алгоритм примем за международный? ;)


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Аноним , 04-Июл-12 11:15 
>Какой алгоритм примем за международный? ;)

Один поверх другого.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено VoDA , 04-Июл-12 13:07 
>>Какой алгоритм примем за международный? ;)
> Один поверх другого.

Тогда ни США ни РФ не примут его за стандарт. Так что придется таки определяться ;)


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено ананим , 04-Июл-12 10:56 
Ну зашибись.
Давайте уже на дюймовую систему переходить.

Зыж
Международные (если такие применительно к сабжу есть) как раз сабжем и не затонулись.
См. последний абзац.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Alex_S , 05-Июл-12 04:47 
> Ну зашибись.
> Давайте уже на дюймовую систему переходить.
> Зыж
> Международные (если такие применительно к сабжу есть) как раз сабжем и не
> затонулись.
> См. последний абзац.

  вопрос-оффтопик тогда. вот в винде есть фипс-сертифицированый криптопровайдер, который и офис и почта может использовать. AES там, SHA всякий.  И что , запрещен ли он в российских госконторах ?



"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Maniaq , 06-Июл-12 22:07 
>   вопрос-оффтопик тогда. вот в винде есть фипс-сертифицированый криптопровайдер, который
> и офис и почта может использовать. AES там, SHA всякий.  
> И что , запрещен ли он в российских госконторах ?

Для обработки данных, требующих сертифицированных средств защиты, например персданных, да запрещен. см. соответствующие статьи законов, о тех же персданных.


"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено Анонзо , 04-Июл-12 10:45 
Вот только ты говоришь про "серьёзных людей". У нас эту сертифицированную хохломень силком пихают в каждое госучреждение, теребя за это немерянное бабло.

"OpenSSL 1.0 получил сертификат безопасности FIPS 140-2"
Отправлено anonym , 05-Июл-12 12:53 
Ха, VipNET этим летом нагнул все вузы и ссузы в РФ. Рособрнадзор обязал всех подключиться к "защищенной" випнетом сети ФИС ЕГЭ: http://priem.edu.ru/