URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 97297
[ Назад ]

Исходное сообщение
"!!vtk-alexb@mail.ru"
Отправлено fds , 13-Окт-18 22:06

Добрый день всем!
Есть сервер FreeBSD freebsd11 11.2-RELEASE FreeBSD 11.2-RELEASE #9,
есть BIND 9.13.3 из портов. В соответствии с предъявляемыми требованиями, нужно обеспечить защиту нашей зоны с использованием алгоритма ГОСТ.
dnssec-keygen -a ECCGOST domain.ru
dnssec-keygen: fatal: unsupported algorithm: 12
В выводе dnssec-keygen -h в списке поддерживаемых алгоритмов ECCGOST не значится, хотя в -b есть "ECCGOST: ignored". В bind-9.13.3/CHANGES есть два упоминания, относящихся к старым версиям. В параметрах сборки упоминаний про ГОСТ не нашёл. Поиск в гугле пока ничего не дал - только ссылки на использование. Подскажите, как можно включить поддержку ECCGOST?

Содержание

!!vtk-alexb@mail.ru,lavr, 11:39 , 15-Окт-18
- DNSSEC: bind + ГОСТ,fds, 21:56 , 15-Окт-18

Сообщения в этом обсуждении

"!!vtk-alexb@mail.ru"
Отправлено lavr , 15-Окт-18 11:39

>[оверквотинг удален]
> Есть сервер FreeBSD freebsd11 11.2-RELEASE FreeBSD 11.2-RELEASE #9,
> есть BIND 9.13.3 из портов. В соответствии с предъявляемыми требованиями, нужно обеспечить
> защиту нашей зоны с использованием алгоритма ГОСТ.
> dnssec-keygen -a ECCGOST domain.ru
> dnssec-keygen: fatal: unsupported algorithm: 12
> В выводе dnssec-keygen -h в списке поддерживаемых алгоритмов ECCGOST не значится, хотя
> в -b есть "ECCGOST: ignored". В bind-9.13.3/CHANGES есть два упоминания, относящихся
> к старым версиям. В параметрах сборки упоминаний про ГОСТ не нашёл.
> Поиск в гугле пока ничего не дал - только ссылки на
> использование. Подскажите, как можно включить поддержку ECCGOST?
см Release Notes:
Support for ECC-GOST (GOST R 34.11-94) algorithm has been removed from BIND as the algorithm has been superseded by GOST R 34.11-2012 in RFC6986 and it must not be used in new deployments. BIND will neither create new DNSSEC keys, signatures and digest, nor it will validate them.

"DNSSEC: bind + ГОСТ"
Отправлено fds , 15-Окт-18 21:56

>[оверквотинг удален]
>> в -b есть "ECCGOST: ignored". В bind-9.13.3/CHANGES есть два упоминания, относящихся
>> к старым версиям. В параметрах сборки упоминаний про ГОСТ не нашёл.
>> Поиск в гугле пока ничего не дал - только ссылки на
>> использование. Подскажите, как можно включить поддержку ECCGOST?
> см Release Notes:
> Support for ECC-GOST (GOST R 34.11-94) algorithm has been removed from BIND
> as the algorithm has been superseded by GOST R 34.11-2012 in
> RFC6986 and it must not be used in new deployments. BIND
> will neither create new DNSSEC keys, signatures and digest, nor it
> will validate them.
О, спасибо! Не помню сейчас, какой ГОСТ в требованиях, но может статься - 2012 года (завтра требования перечитаю). :( Я так понял, что его пока не реализовали? А если требуется 94 года, то надо ставить 9.12-й? В разработке ТЗ участвовали какие-то лицензиаты и прописали среди прочего стаффа подписывание зоны по алгоритму ГОСТ....