https://opennet.me/openforum/vsluhforumID10/5680.html Ванильный gpgsm с ванильными либами libgcrypt и libksba не может импортировать все корневые серты X509 GOST:<br> $ gpgsm --import file.cer<br>И подпись X509 GOST проверить не может:<br> $ gpgsm --verify file.p7s file<br><br>Как найти и скачать требуемый публичный ключ для проверки GOST подписи и корневой серт удостоверяющего центра для его верификации?<br><br>Как узнать у какого УЦ и где искать нужный публичный ключ? Официальный файл экселя мнцифры с перечнем акредитованых УЦ даже не содержит ссылок на их сайты!<br><br>Оказалось что многие УЦ публичные ключи раздают только шифруя TLS с помощью GOST. А мой LibreSSL имея какие то хеши GOST не может к этим серверам подключится.<br><br>Мне надо патчи для поддержки X509 GOST в:<br>* gnupg<br>* libgcrypt<br>* libksba<br>* libressl<br>* gnutls<br><br>Может ещё что надо? Прислушаюсь ко всем вашим хорошим советам.<br><br>Нашел: https://www.opennet.ru/opennews/art.shtml?num=56970 но они используют не найтивные библиотеки, а свои. Желаю пропатчить найтивные либы чтобы можно было хотя бы проверить подпись фа https://opennet.me/openforum/vsluhforumID10/5680.html#7 Wed, 16 Oct 2024 17:42:29 GMT &gt;&gt; Возможно данная информация будет полезной: <br>&gt; 4) http://soft.lissi.ru/ls_product/os/linux/ <br><br>что же эти мастера по шифрованию не поставили HTTPS на собственный вебсайт?<br> https://opennet.me/openforum/vsluhforumID10/5680.html#6 Sat, 12 Oct 2024 20:07:07 GMT &gt; Возможно данная информация будет полезной: <br><br>4) http://soft.lissi.ru/ls_product/os/linux/<br><br><br> https://opennet.me/openforum/vsluhforumID10/5680.html#5 Sat, 12 Oct 2024 19:58:50 GMT &gt; А тарбол с исходниками и ебылды для этого КриптоПРО где-то уже выложили? <br><br>Насколько мне известно, нет.<br><br>&gt; 4. Проверка цифровой подписи p7s (X509 GOST) файла в gpgsm.<br>&gt; 5. Поддержка шифрования GOST в TLS для сайтов.<br><br>Возможно данная информация будет полезной:<br><br>1) http://soft.lissi.ru/articles/KleopatraKmailGnuPg/<br><br>2) http://soft.lissi.ru/ls_product/skzi/OpenSSL/<br><br>3) В пакете OpenSSL есть поддержка GOST engine.<br> https://opennet.me/openforum/vsluhforumID10/5680.html#4 Sat, 12 Oct 2024 17:59:04 GMT А тарбол с исходниками и ебылды для этого КриптоПРО где-то уже выложили?<br><br>Мне хочется решить внезапно возникшую проблему с GOST, хотя бы по минимуму:<br>1. Загрузка корневого серта минцифры.<br>2. Алгоритм поиска, загрузка корневых сертов УЦ и их верификация сертом минцифры.<br>3. Алгоритм поиска публичного ключа, его загрузка и верификация корневым сертом УЦ.<br>4. Проверка цифровой подписи p7s (X509 GOST) файла в gpgsm. Желательна поддержка подписей GOST в Ocular, LibreOffice, ...<br>5. Поддержка шифрования GOST в TLS для сайтов.<br><br>Увидел что libgcrypt-1.11.0 уже имеет некую поддержку GOST:<br> * GOST 28147-89 (RFC 5830) / GOST R 34.12-2015 (Magma: RFC 8891 & Kuznyechik: RFC 7801)<br> * GOST R 34.11-94 / GOST 34.311-95, GOST R 34.11-2012 (Stribog) / RFC 6986<br> * GOST R 34.10-2012 (RFC 7091)<br><br>В libksba также есть какие-то OID c GOST:<br> { "1.2.643.2.2.35.1", "GOST2001-CryptoPro-A" },<br> { "1.2.643.2.2.35.2", "GOST2001-CryptoPro-B" },<br> { "1.2.643.2.2.35.3", "GOST2001-CryptoPro-C" },<br> { "1.2.643.7. https://opennet.me/openforum/vsluhforumID10/5680.html#3 Sat, 12 Oct 2024 14:28:40 GMT Правильно понимаю, что использование готового набора ПО "AltLinux + КриптоПРО" Вам не подойдет?<br> https://opennet.me/openforum/vsluhforumID10/5680.html#2 Fri, 11 Oct 2024 18:55:19 GMT https://www.opennet.ru/opennews/art.shtml?num=60765<br>Особенности LibreSSL 3.9.0:<br>...<br>Прекращена поддержка алгоритмов GOST и STREEBOG.<br>...<br>Есть патчи или брать LibreSSL 3.8.4 ?<br><br><br><br>https://www.gnutls.org/manual/gnutls.html#Hash-and-MAC-functions<br>Этого хватит или ещё что-то надо допатчивать:<br><br>GNUTLS_MAC_GOST28147_TC26Z_IMIT<br>The GOST 28147-89 working in IMIT mode with TC26 Z S-box.<br><br>GNUTLS_MAC_GOSTR_94<br>HMAC GOST R 34.11-94 algorithm.<br><br>GNUTLS_MAC_STREEBOG_256<br>HMAC GOST R 34.11-2001 (Streebog) algorithm, 256 bit.<br><br>GNUTLS_MAC_STREEBOG_512<br>HMAC GOST R 34.11-2001 (Streebog) algorithm, 512 bit.<br><br>GNUTLS_MAC_MAGMA_OMAC<br>GOST R 34.12-2015 (Magma) in OMAC (CMAC) mode.<br><br>GNUTLS_MAC_KUZNYECHIK_OMAC<br>GOST R 34.12-2015 (Kuznyechik) in OMAC (CMAC) mode.<br><br>GNUTLS_DIG_GOSTR_94<br>GOST R 34.11-94 algorithm.<br><br>GNUTLS_DIG_STREEBOG_256<br>GOST R 34.11-2001 (Streebog) algorithm, 256 bit.<br><br>GNUTLS_DIG_STREEBOG_512<br>GOST R 34.11-2001 (Streebog) algorithm, 512 bit.<br> https://opennet.me/openforum/vsluhforumID10/5680.html#1 Fri, 11 Oct 2024 15:58:18 GMT Добавлю что браузер спутник или патчи для чромиума мне не подходят. Https идёт через локальный MitM прокси для проверки трафика на вирусы. А прокся берет системный libressl.<br>Требуется пропатчить именно системные либы, чтобы ничего глобально не менять и X509 GOST заработал.<br>