Форум Рутокен — Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

Re: Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

null@example.com (Binger) — Thu, 27 Feb 2020 12:14:35 +0000

Павел Анфимов, Спасибо, буду разбираться дальше))

Re: Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

null@example.com (Павел Анфимов) — Wed, 26 Feb 2020 16:49:20 +0000

Binger, общая идея такова: выставляете флаг CMS_STREAM, в CMS_Content_Info устанавливаете ключ адресата и прочие, затем в BIO_new_CMS передаете данные которые нужно зашифровать, а на выходе они попадут в другой BIO.

Чтобы лучше разобраться - нужно хорошо изучить исходники OpenSSL.

Re: Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

null@example.com (Binger) — Wed, 26 Feb 2020 12:40:09 +0000

Алексей Лазарев, добрый день. Да я всё это смотрел уже, там нет реализации подгрузки данных на шифрование

Re: Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

null@example.com (Алексей Лазарев) — Wed, 26 Feb 2020 12:24:17 +0000

Добрый день,
Можно вот тут поизучать как это в принципе работает:

https://github.com/openssl/openssl/blob … /cms_enc.c

https://github.com/openssl/openssl/blob … apps/cms.c

Re: Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

null@example.com (Binger) — Tue, 25 Feb 2020 12:01:26 +0000

Алексей Лазарев, не разбираюсь в таких тонкостях, возможно, я неверно объяснил.

Было реализовано блочное шифрование с помощью функции CMS_encrypt() из OpenSSL, и в качестве одного из аргументов в функцию посылаются сертификаты получателей сообщения. А расшифрование уже происходит с использованием функции CMS_decrypt(), где также одним из аргументов передаётся закрытый ключ одного из сертификатов получателей и сообщение расшифровывается.

И по такому же пути хочется реализовать поточное шифрование.

Re: Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

null@example.com (Алексей Лазарев) — Tue, 25 Feb 2020 11:51:48 +0000

Ясно, но проблема в том, что GOST R 34.10-2012 - это не RSA, и в нем не реализован функционал шифрования на открытом ключе.

Re: Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

null@example.com (Binger) — Tue, 25 Feb 2020 11:17:02 +0000

Алексей Лазарев, шифрование данных. С одной стороны шифруем открытым ключом, с другой стороны расшифровываем закрытым ключом сертификата получателя шифрованного сообщения и читаем данные. Если на шифрование нужно привезти большой объём данных, то разбиваем их на порции - здесь мне и нужно поточное шифрование. Не знаю, что тут ещё добавить. Алексей, случайно не знаете, как добиться этого с помощью OpenSSL?

Re: Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

null@example.com (Алексей Лазарев) — Tue, 25 Feb 2020 10:35:56 +0000

Добрый день.

GOST28147-89 - это алгоритм симметричного шифрования, пригодный для шифрования большого массива данных.
ГОСТ Р 34.10-2012 - это алгоритм выработки ключевых пар и проверки ЭП.

Если хотите использовать имеющиеся ключевые пары, то нужно смотреть в сторону схемы выработки общего секрета VKO GOST R 34.10-2012. Для дальнейшей подстановки результата (симметричного ключа) в GOST28147-89.

Вот здесь описание хорошее:
https://esmart.ru/upload/iblock/765/v6. … Ext_12.pdf

Для хотелось бы выяснить, что шифруем и в каком контексте.

Как реализовать поточное шифрование? PKCS11, OpenSSL, C++

null@example.com (Binger) — Tue, 25 Feb 2020 07:59:46 +0000

Upd
Здравствуйте. Подскажите, пожалуйста, как возможно реализовать поточное шифрование с помощью указанных api?
Смотрел пример из вашего SDK по PKCS11 и заметил, что поддерживается только механизм GOST28147-89 и RSA. Мне хотелось бы работать также с ключами ГОСТ Р 34.10-2012 512-бит, ГОСТ Р 34.10-2012 256-бит, ГОСТ Р 34.10-2001.
В OpenSSL пытался использовать функцию

CMS_encrypt()

с флагом

CMS_STREAM

но так и не смог понять и найти какой-либо информации в интернете по добавлению данных для шифрования. Нужна именно подкачка данных на шифрование, что в PKCS11 выполняет функция

C_EncryptUpdate()

Интересует CMS Enveloped Data структура. Приоритетнее использовать OpenSSL.