openvpn + ГОСТ шифрование + rutoken

Доброе. Начал настраивать связку openvpn + ГОСТ + рутокен

Эпилог:
Реализовал связку OpenVPN 2.6.9 + gost engine.
Соединение успешно поднято, была проблема что openvpn --show-ciphers не отображал гост шифровальщики. Как я понял openvpn их ищет из криптопровайдеров. ( решилось когда подключил криптопровайдеров из module =...gostprov.so в openssl)


Вопрос. Как подключить криптопровайдеры, используя только либы от рутокен?

Вопрос. Если ли актуальный мануал по настройке всего этого добра?

Re: openvpn + ГОСТ шифрование + rutoken

Здравствуйте flatron.88.
Библиотек криптопровайдеров для openssl у нас пока нет.
Можно попробовать настроить такую связку через rtengine, по аналогии с тем, как описана настройка подключения через stunnel https://habr.com/ru/companies/aktiv-com … es/477650/
Уточните, пожалуйста, для чего именно ГОСТ необходим, может рассмотреть использование RSA?

(2024-05-06 14:36:21 отредактировано flatron.88)

Re: openvpn + ГОСТ шифрование + rutoken

Николай Киблицкий пишет:

Здравствуйте flatron.88.
Библиотек криптопровайдеров для openssl у нас пока нет.
Можно попробовать настроить такую связку через rtengine, по аналогии с тем, как описана настройка подключения через stunnel https://habr.com/ru/companies/aktiv-com … es/477650/
Уточните, пожалуйста, для чего именно ГОСТ необходим, может рассмотреть использование RSA?

Для лицензирование необходимо использовать ГОСТ шифрование, с ключами rutoken.

Пока начал проводить исследование как это реализовать.
Изначальное настроил openvpn + gost engine, все ок.

Приобрел пару токенов, сгенерировал сертификаты по ГОСТ.

На этапе прикручивания использования ключей rutoken в OpenVPN начали возникать проблемы.

Верно я понимаю, без патчей к pkcs11-helper или openvpn не получится последнюю версию openvpn подружить с рутокен и гост шифрованием?

Или может есть у вас либа с криптопровайдерами?

Или есть более интересный путь?

(2024-05-06 16:09:22 отредактировано Николай Киблицкий)

Re: openvpn + ГОСТ шифрование + rutoken

flatron.88 пишет:

Верно я понимаю, без патчей к pkcs11-helper или openvpn не получится последнюю версию openvpn подружить с рутокен и гост шифрованием?

Без патчей не получится.
Уточнил у разработчиков, мы писали отдельный патч для Рутокен VPN Enterprise Edition для ГОСТ шифрования.

Re: openvpn + ГОСТ шифрование + rutoken

Можете дать больше информации, пожалуйста :)
- Какую версию openvpn используете в Рутокен VPN Enterprise Edition?
- Как решили проблему что в последней версии openvpn шифровальщики доступны только через криптопровайдеров?
- Патчили только https://forum.rutoken.ru/post/14713/#p14713 pkcs11-helper?
- Какие правильные настройки openssl?

Ответьте на те вопросы, на которые можете :)
Спасибо!

Re: openvpn + ГОСТ шифрование + rutoken

up

Re: openvpn + ГОСТ шифрование + rutoken

Главное проблема связки rutoken + GOST + openvpn это то что есть engine, а криптопровайдер не реализован.

Мы его и сами реализовать не можем и не можем взять от gost engine т.к. будут проблемы с сертификацией.

Вы планируете реализовать криптопровайдер?

Поигрался с разными сборками openvpn. Последняя версия которая видит ciphers из engine 2.5.6

kuznyechik-cbc  (256 bit key, 128 bit block)
kuznyechik-cfb  (256 bit key, 128 bit block, TLS client/server mode only)
kuznyechik-ofb  (256 bit key, 128 bit block, TLS client/server mode only)
......
......
RC5-OFB  (128 bit key by default, 64 bit block, TLS client/server mode only)
gost89  (256 bit key, stream cipher, TLS client/server mode only)
gost89-cbc  (256 bit key, 64 bit block)
gost89-cnt  (256 bit key, 64 bit block, TLS client/server mode only)
gost89-cnt-12  (256 bit key, stream cipher, TLS client/server mode only)
magma-cbc  (256 bit key, 64 bit block)

[hackoff@right openvpn]# ./src/openvpn/openvpn  --version
OpenVPN 2.5.6 [git:HEAD/e8df2e64d6f817e6] x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on May 13 2024

Re: openvpn + ГОСТ шифрование + rutoken

flatron.88 пишет:

Можете дать больше информации, пожалуйста :)

Рутокен VPN Enterprise Edition это коммерческий продукт, который вы можете приобрести.

flatron.88 пишет:

Вы планируете реализовать криптопровайдер?

Да, разработка в планах есть, но не могу сообщить даже примерные сроки релиза.