Rutoken S и OpenSSL - FreeBSD

Добрый день

Есть FreeBSD 11.2 amd64, там стоит криптопро, драйвера Rutoken S, с криптопро все работает, но SDK для него нужно покупать отдельно, а мне всего-то нужно программно, без вызова внешней утилиты, подписывать, шифровать, расшифровывать файлы.

GOST собрал. openssl 1.1.1b.

Нигде не нашел ответа на вопрос "как в openssl воспользоваться ключами с Rutoken S?"

Re: Rutoken S и OpenSSL - FreeBSD

Добрый день, tarkhil.

Рутокен S не является криптографическим токеном, а выступает в качестве защищенного хранилища ключевой информации. Криптографические операции должен кто-то реализовывать и в данном случае это КриптоПро CSP.

Работа через openssl и engine с поддержкой ГОСТ возможна только на криптографических токенах семейства Рутокен ЭЦП (например, Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI).

Re: Rutoken S и OpenSSL - FreeBSD

Владимир Салыкин пишет:

Добрый день, tarkhil.

Рутокен S не является криптографическим токеном, а выступает в качестве защищенного хранилища ключевой информации. Криптографические операции должен кто-то реализовывать и в данном случае это КриптоПро CSP.

Работа через openssl и engine с поддержкой ГОСТ возможна только на криптографических токенах семейства Рутокен ЭЦП (например, Рутокен ЭЦП 2.0 или Рутокен ЭЦП PKI).

Т.е. единственный способ - это вынуть данные средствами КриптоПро и использовать их как публичный и приватный ключ? Насколько я понял, приватный ключ на Rutoken S - только очень условно неизвлекаемый.

Re: Rutoken S и OpenSSL - FreeBSD

tarkhil, ключи ЭП на Рутокен S вообще нельзя назвать неизвлекаемыми.

Касательно Вашей задачи - у ООО "Крипто-ПРО" есть библиотеки для OpenSSL, с поддержкой алгоритмов ГОСТ через вызовы СКЗИ "КриптоПро CSP": gostengy и gost_capi. Подробности здесь.

Re: Rutoken S и OpenSSL - FreeBSD

asoldatov пишет:

tarkhil, ключи ЭП на Рутокен S вообще нельзя назвать неизвлекаемыми.

Касательно Вашей задачи - у ООО "Крипто-ПРО" есть библиотеки для OpenSSL, с поддержкой алгоритмов ГОСТ через вызовы СКЗИ "КриптоПро CSP": gostengy и gost_capi. Подробности здесь.

Нету. В смысле, они только в бинарниках, только под линукс. Ну, ладно

Re: Rutoken S и OpenSSL - FreeBSD

Добрый день, tarkhil.

Вам все верно написали. Можно также попробовать сконвертировать контейнер КриптоПро CSP в pfx файл, с которым работать из openssl. Можете попробовать утилиту - http://soft.lissi.ru/ls_product/utils/p12fromcsp/. Но гарантий, что это сработает дать не можем.