engine icon indicating copy to clipboard operation
engine copied to clipboard

Published 20 hours ago verified publisher icon gost-engine

GOST Engine не работает на OpenSSL 1.1.1k (Centos Stream 8)

Open arpsyapathy opened this issue 2 years ago • 2 comments

Добрый день!

Есть 2 сервера, на обоих нужен openssl с поддержкой ГОСТ. Используемый мануал: https://sysos.ru/?p=589

Ubuntu 18.04 Использую уже установленный openssl из репозитория (openssl 1.1.1). Успешно собираю gost-engine. openssl engine выдает:

(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine

openssl ciphers|tr ':' '\n'|grep GOST выдает:

GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89

Все успешно. Серт по url читается успешно

Centos Stream 8 Использую уже установленный openssl из репозитория (openssl 1.1.1k) Успешно собираю gost-engine. openssl engine выдает:

(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine

openssl ciphers|tr ':' '\n'|grep GOST выдает пустоту. Не работает =\ Серт по url не выдается. Подскажите пожалуйста в чем может быть загвоздка?

arpsyapathy avatar Nov 29 '22 16:11 arpsyapathy

Скорее всего в том, что CentOS stream использует crypto policies, которые про ГОСТ ничего не знают.

beldmit avatar Dec 01 '22 08:12 beldmit

Оставлю тут как решение. Закомментируйте настройки по умолчанию в openssl.cnf:

 #openssl_conf = default_modules 
 #[ default_modules ] 
 #ssl_conf = ssl_module 
 
 #[ ssl_module ] 
 #system_default = crypto_policy 
 
 #[ crypto_policy ] 
 #.include = /etc/crypto-policies/back-ends/opensslcnf.config

Затем необходимо явно указать Cipher Strings в файле конфигурации /etc/crypto-policies/back-ends/openssl.config:

@SECLEVEL=1:aGOST:aGOST01:kGOST:GOST94:GOST89MAC:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8

hmaximh avatar Jul 28 '23 16:07 hmaximh