forum.opennet.ru - "Выпуск криптографической библиотеки OpenSSL 3.5.0 " (32)

"Выпуск криптографической библиотеки OpenSSL 3.5.0 "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск криптографической библиотеки OpenSSL 3.5.0 "	+/–
Сообщение от opennews (??), 08-Апр-25, 22:04
Состоялся релиз библиотеки OpenSSL 3.5.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. OpenSSL 3.5 отнесён к выпускам с длительным сроком поддержки (LTS), обновления для которых выпускаются в течение 5 лет (до апреля 2030 года). Поддержка прошлых веток OpenSSL 3.3, 3.2 и 3.0 LTS продлится до апреля 2026 года, ноября 2025 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63039
Ответить \| Правка \| Cообщить модератору

Оглавление

GOST в комплекте , Аноним (1), 22:04 , 08-Апр-25, (1) –1

А смысл Сертифицировать openssl ты все равно не сможешь, а без сертификации исп, User (??), 07:14 , 09-Апр-25, (10) –1

смысл в том, чтобы было что сертифицировать я так понимаю нет сейчас 3 x с госто, Аноним (11), 07:46 , 09-Апр-25, (11)

Почему нет Как же те майнтайнеры отечественных дистрибутивов ц , кто якобы в, n00by (ok), 09:10 , 09-Апр-25, (15) –2

там вроде есть только шифрация гостом, а сертификаты выписать нельзя потому всяк, Аноним (11), 10:32 , 09-Апр-25, (17)

В свое время cryptopro патчсет сопровождала - но т к до сертификации этого дела, User (??), 13:54 , 09-Апр-25, (25)

Криптоком, не , userd (ok), 16:51 , 09-Апр-25, (29) +1

Ага Уж на что openssl штука спессфисская - но их собственный api и тулинг это н, User (??), 07:34 , 10-Апр-25, (32) +2

Смотри пример https en wikipedia org wiki Comparison_of_cryptography_librarie, Аноним (34), 09:04 , 10-Апр-25, (34)

gt оверквотинг удален Не-а Это прям разные сертификаты - условно об отсутств, User (??), 10:52 , 10-Апр-25, (35)

Мне кажется, что если организация уже имеет лицензию ФСБ на разработку криптог, Аноним (36), 14:05 , 10-Апр-25, (36)

С Астра , Аноним (12), 08:44 , 09-Апр-25, (12) –1

у них нет ни госта чтобы сертификаты им делать ни сертификата ФСБ для шифрациибе, Аноним (11), 10:33 , 09-Апр-25, (18)

Т е как это Такая вся для военной отрасли сертицированная Астра без шифров ГОС, Аноним (21), 12:02 , 09-Апр-25, (21)

Нет Тут https github com gost-engine engine, Аноним (16), 09:42 , 09-Апр-25, (16) +1

Оно староеhttps www opennet ru openforum vsluhforumID10 5680 htmlgnutls gnup, Аноним (34), 08:28 , 10-Апр-25, (33)
Без сертификации его нельзя использовать в реальном продуктеесли нужна openssl с, Аноним (45), 12:31 , 12-Апр-25, (45)

в любом случае в openssl есть механизм плагинов, через которые туда можно подклю, Аноним (22), 13:42 , 09-Апр-25, (22)

И нестойких для алгебраических атак на классической, как SIKE просто в отличии , Аноним (3), 23:13 , 08-Апр-25, (3) +1

По классикеhttps www interfax ru digital 1017951, Аноним (4), 23:24 , 08-Апр-25, (4) –1
а че там реверсить то , Аноним (7), 00:17 , 09-Апр-25, (7)

Квантовые компы ещё не поступили в продажу, а стойкие алгоритмы уже подготовле, Аноним (5), 23:59 , 08-Апр-25, (5) +1

https blog cr yp to 20240102-hybrid html, Аноним (7), 00:14 , 09-Апр-25, (6) –2

хотя бы один минусатор, пройдись по ссылке , Аноним (37), 15:28 , 10-Апр-25, (37)

640 Кубит хватит всем Насамом деле 1200 Кубит, потому что ядро Rust 100500 Кубит, Аноним (19), 11:17 , 09-Апр-25, (19) –3

Curl писал, что реализация quic в openssl медленная и ни с чем не совместимая Ин, Аноним (8), 01:26 , 09-Апр-25, (8)

Ну то есть с гуглей , Аноним (-), 11:24 , 09-Апр-25, (20) +1

А для чего ж оно ещё может быть нужно , Аноним (26), 14:21 , 09-Апр-25, (26) +1

Зачем в криптобиблиотеку тащить реализацию QUIC Лучше бы уязвимости фиксили , Аноним (30), 19:22 , 09-Апр-25, (30)

Потому что quic без криптографии не бывает, там криптографические шаги прямо в s, Аноним (8), 17:54 , 10-Апр-25, (38)
Затем, что это не криптобиблиотека Криптобиблиотека - это вон какое-нибудь NaCl, пох. (?), 18:28 , 10-Апр-25, (39)

Лучше бы добавили CMakeLists txt, Аноним (31), 19:47 , 09-Апр-25, (31) +2

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 08-Апр-25, 22:04 –1 +/–

GOST в комплекте?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #12, #16, #22

3. Сообщение от Аноним (3), 08-Апр-25, 23:13 +1 +/–

> Добавлена поддержка криптоалгоритмов, стойких к подбору на квантовом компьютере:
И нестойких для алгебраических атак на классической, как SIKE (просто в отличии от SIKE остальные ещё не отреверсили)?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #7

4. Сообщение от Аноним (4), 08-Апр-25, 23:24 –1 +/–

По классике
https://www.interfax.ru/digital/1017951

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 08-Апр-25, 23:59 +1 +/–

Квантовые компы ещё не поступили в продажу, а "стойкие" алгоритмы уже подготовлены. Надеюсь не одну службу безопасТности не обделили и предоставили личные ключики каждой.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #19

6. Сообщение от Аноним (7), 09-Апр-25, 00:14 –2 +/–

https://blog.cr.yp.to/20240102-hybrid.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #37

7. Сообщение от Аноним (7), 09-Апр-25, 00:17 +/–

> остальные ещё не отреверсили
а че там реверсить то? :))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 09-Апр-25, 01:26 +/–

Curl писал, что реализация quic в openssl медленная и ни с чем не совместимая.
Интересно, поменялось ли что-то.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

10. Сообщение от User (??), 09-Апр-25, 07:14 –1 +/–

А смысл? Сертифицировать openssl ты все равно не сможешь, а без сертификации использовать даже для общения с котом - бессмысленно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11, #34

11. Сообщение от Аноним (11), 09-Апр-25, 07:46 +/–

смысл в том, чтобы было что сертифицировать.
я так понимаю нет сейчас 3.x с гостом в приниципе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #15, #25

12. Сообщение от Аноним (12), 09-Апр-25, 08:44 –1 +/–

С Астра.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #18

15. Сообщение от n00by (ok), 09-Апр-25, 09:10 –2 +/–

Почему нет? Как же те майнтайнеры "отечественных дистрибутивов" (ц), кто якобы всё доделывает за неумелыми программистами?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #17

16. Сообщение от Аноним (16), 09-Апр-25, 09:42 +1 +/–

> GOST в комплекте?
Нет. Тут:
https://github.com/gost-engine/engine

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #33, #45

17. Сообщение от Аноним (11), 09-Апр-25, 10:32 +/–

там вроде есть только шифрация гостом, а сертификаты выписать нельзя.
потому всякие openvpn с сертификатом версии 2.4 , например.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

18. Сообщение от Аноним (11), 09-Апр-25, 10:33 +/–

у них нет ни госта чтобы сертификаты им делать ни сертификата ФСБ для шифрации
бесполезное

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21

19. Сообщение от Аноним (19), 09-Апр-25, 11:17 –3 +/–

> Квантовые компы
640 Кубит хватит всем.
Насамом деле.
1200 Кубит, потому что ядро Rust.
100500 Кубит потому что Wayland.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

20. Сообщение от Аноним (-), 09-Апр-25, 11:24 +1 +/–

>ни с чем
Ну то есть с гуглей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #26

21. Сообщение от Аноним (21), 09-Апр-25, 12:02 +/–

Т.е. как это? Такая вся для военной отрасли сертицированная Астра без шифров ГОСТ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от Аноним (22), 09-Апр-25, 13:42 +/–

в любом случае в openssl есть механизм плагинов, через которые туда можно подключить любой алгоритм.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

25. Сообщение от User (??), 09-Апр-25, 13:54 +/–

> смысл в том, чтобы было что сертифицировать.
> я так понимаю нет сейчас 3.x с гостом в приниципе.
В свое время cryptopro патчсет сопровождала - но т.к. до сертификации этого дела так и не дошло - история сама собой затухла, если я ничего не путаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #29

26. Сообщение от Аноним (26), 09-Апр-25, 14:21 +1 +/–

А для чего ж оно ещё может быть нужно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

29. Сообщение от userd (ok), 09-Апр-25, 16:51 +1 +/–

Криптоком, не?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32

30. Сообщение от Аноним (30), 09-Апр-25, 19:22 +/–

Зачем в криптобиблиотеку тащить реализацию QUIC? Лучше бы уязвимости фиксили.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38, #39

31. Сообщение от Аноним (31), 09-Апр-25, 19:47 +2 +/–

Лучше бы добавили CMakeLists.txt

Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от User (??), 10-Апр-25, 07:34 +2 +/–

> Криптоком, не?
Ага. Уж на что openssl штука спессфисская - но их собственный api и тулинг это нечто прям за гранью - а уж когда к этому rutoken добавляется - тушите свет, пишите письма...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

33. Сообщение от Аноним (34), 10-Апр-25, 08:28 +/–

> https://github.com/gost-engine/engine
Оно старое
https://www.opennet.me/openforum/vsluhforumID10/5680.html
gnutls & gnupg в новых версиях должны поддерживать ГОСТ без патчей. Вопрос только к дистрибутивам Linux чтоб собрали пакет с поддержкой ГОСТ.
А с libressl-3.9.0 поддержку ГОСТ выкинули: https://www.opennet.me/opennews/art.shtml?num=60765

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

34. Сообщение от Аноним (34), 10-Апр-25, 09:04 +/–

Смотри пример: https://en.wikipedia.org/wiki/Comparison_of_cryptography_lib...
Сертифицируется по определенному критерию, конкретная версия крыптобиблиотеки некой организацией которая собрала бинарьный пакет. Именно свой бинарь сертифицирует поставщик ПО.
While OpenSSL is not FIPS 140-2 validated by OpenSSL.org, validations exist for versions from: Amazon Web Services Inc., Aqua Security Software Ltd., Broadcom Inc., Canonical Ltd., Cisco Systems Inc., Cohesity Inc., ControlUp Technologies Inc., Crestron Electronics Inc., Dell Inc., Gallagher Group, Hewlett Packard Enterprise, IBM Corporation, ICU Medical Inc., Intelligent Waves, Ixia, KeyPair Consulting Inc., Koninklijke Philips N.V., Lenovo Group Limited, LG Electronics Inc., LogRhythm, McAfee LLC, Metaswitch Networks Ltd, NetBrain Technologies Inc., Nutanix Inc., Onclave Networks Inc., Oracle Corporation, REDCOM Laboratories Inc., Red Hat Inc., SafeLogic Inc., Super Micro Computer Inc., SUSE LLC, Tanium Inc., Trend Micro Inc., Unisys Corporation, Verizon, VMware Inc. and Wickr Inc.
То есть в нашем случае сертификацию ГОСТ проходят бинарные пакеты openssl от: Astra, ALT, Rossa, RedOS, Calculate, ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #35

35. Сообщение от User (??), 10-Апр-25, 10:52 +/–

>[оверквотинг удален]
> Inc., Canonical Ltd., Cisco Systems Inc., Cohesity Inc., ControlUp Technologies Inc.,
> Crestron Electronics Inc., Dell Inc., Gallagher Group, Hewlett Packard Enterprise, IBM
> Corporation, ICU Medical Inc., Intelligent Waves, Ixia, KeyPair Consulting Inc., Koninklijke
> Philips N.V., Lenovo Group Limited, LG Electronics Inc., LogRhythm, McAfee LLC,
> Metaswitch Networks Ltd, NetBrain Technologies Inc., Nutanix Inc., Onclave Networks Inc.,
> Oracle Corporation, REDCOM Laboratories Inc., Red Hat Inc., SafeLogic Inc., Super
> Micro Computer Inc., SUSE LLC, Tanium Inc., Trend Micro Inc., Unisys
> Corporation, Verizon, VMware Inc. and Wickr Inc.
> То есть в нашем случае сертификацию ГОСТ проходят бинарные пакеты openssl от:
> Astra, ALT, Rossa, RedOS, Calculate, ...
Не-а. Это прям разные сертификаты - условно "об отсутствии НДВ" в, если не путаю, ФСТЭК получают примерно все "производители" отечественных ОС, а вот сертификат на "криптографические средства защиты информации" (Корректность реализации алгоритма, соответствия требованиям к классу изделий и та дэ) проходят в ФСБ - и вот хрена лысого этот самый openssl эту самую сертификацию за не самые малые деньги получит...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #36

36. Сообщение от Аноним (36), 10-Апр-25, 14:05 +/–

> сертификат на "криптографические средства защиты информации" (Корректность реализации алгоритма, соответствия требованиям к классу изделий и та дэ) проходят в ФСБ - и вот хрена лысого этот самый openssl эту самую сертификацию за не самые малые деньги получит...
Мне кажется, что если организация уже имеет лицензию ФСБ "на разработку криптографическиэх средств защиты информации", то при желании может проверить и сертифицированть в ФСБ: gnutls и libgcrypt (gnupg) в которых ГОСТ уже есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

37. Сообщение от Аноним (37), 10-Апр-25, 15:28 +/–

хотя бы один минусатор, пройдись по ссылке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

38. Сообщение от Аноним (8), 10-Апр-25, 17:54 +/–

Потому что quic без криптографии не бывает, там криптографические шаги прямо в state machine есть.
Если предполагается коннект без СА, то клиенты генерят одноразовые самоподписанные сертификаты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

39. Сообщение от пох. (?), 10-Апр-25, 18:28 +/–

Затем, что это не криптобиблиотека. Криптобиблиотека - это вон какое-нибудь NaCl. Попробуй с ее помощью написать свой допустим https - поржем.
Другое дело что целиком quic там не для того чтоб ты им пользовался напрямую, а скорее чтоб как-то можно было связанные с ним вещи отлаживать. Т.е. для s_client и тому подобных чисто тестовых применений.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

45. Сообщение от Аноним (45), 12-Апр-25, 12:31 +/–

Без сертификации его нельзя использовать в реальном продукте
если нужна openssl с ГОСТ, то нужно смотреть в сторону OSSL от инфотекс

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 08-Апр-25, 22:04	–1 +/–
GOST в комплекте?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10, #12, #16, #22

3. Сообщение от Аноним (3), 08-Апр-25, 23:13	+1 +/–
> Добавлена поддержка криптоалгоритмов, стойких к подбору на квантовом компьютере: И нестойких для алгебраических атак на классической, как SIKE (просто в отличии от SIKE остальные ещё не отреверсили)?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #7

4. Сообщение от Аноним (4), 08-Апр-25, 23:24	–1 +/–
По классике https://www.interfax.ru/digital/1017951
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 08-Апр-25, 23:59	+1 +/–
Квантовые компы ещё не поступили в продажу, а "стойкие" алгоритмы уже подготовлены. Надеюсь не одну службу безопасТности не обделили и предоставили личные ключики каждой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #19

6. Сообщение от Аноним (7), 09-Апр-25, 00:14	–2 +/–
https://blog.cr.yp.to/20240102-hybrid.html
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #37

7. Сообщение от Аноним (7), 09-Апр-25, 00:17	+/–
> остальные ещё не отреверсили а че там реверсить то? :))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 09-Апр-25, 01:26	+/–
Curl писал, что реализация quic в openssl медленная и ни с чем не совместимая. Интересно, поменялось ли что-то.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #20

10. Сообщение от User (??), 09-Апр-25, 07:14	–1 +/–
А смысл? Сертифицировать openssl ты все равно не сможешь, а без сертификации использовать даже для общения с котом - бессмысленно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #11, #34

11. Сообщение от Аноним (11), 09-Апр-25, 07:46	+/–
смысл в том, чтобы было что сертифицировать. я так понимаю нет сейчас 3.x с гостом в приниципе.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #15, #25

12. Сообщение от Аноним (12), 09-Апр-25, 08:44	–1 +/–
С Астра.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #18

15. Сообщение от n00by (ok), 09-Апр-25, 09:10	–2 +/–
Почему нет? Как же те майнтайнеры "отечественных дистрибутивов" (ц), кто якобы всё доделывает за неумелыми программистами?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #17

16. Сообщение от Аноним (16), 09-Апр-25, 09:42	+1 +/–
> GOST в комплекте? Нет. Тут: https://github.com/gost-engine/engine
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #33, #45

17. Сообщение от Аноним (11), 09-Апр-25, 10:32	+/–
там вроде есть только шифрация гостом, а сертификаты выписать нельзя. потому всякие openvpn с сертификатом версии 2.4 , например.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

18. Сообщение от Аноним (11), 09-Апр-25, 10:33	+/–
у них нет ни госта чтобы сертификаты им делать ни сертификата ФСБ для шифрации бесполезное
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #21

19. Сообщение от Аноним (19), 09-Апр-25, 11:17	–3 +/–
> Квантовые компы 640 Кубит хватит всем. Насамом деле. 1200 Кубит, потому что ядро Rust. 100500 Кубит потому что Wayland.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

20. Сообщение от Аноним (-), 09-Апр-25, 11:24	+1 +/–
>ни с чем Ну то есть с гуглей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #26

21. Сообщение от Аноним (21), 09-Апр-25, 12:02	+/–
Т.е. как это? Такая вся для военной отрасли сертицированная Астра без шифров ГОСТ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

22. Сообщение от Аноним (22), 09-Апр-25, 13:42	+/–
в любом случае в openssl есть механизм плагинов, через которые туда можно подключить любой алгоритм.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

25. Сообщение от User (??), 09-Апр-25, 13:54	+/–
> смысл в том, чтобы было что сертифицировать. > я так понимаю нет сейчас 3.x с гостом в приниципе. В свое время cryptopro патчсет сопровождала - но т.к. до сертификации этого дела так и не дошло - история сама собой затухла, если я ничего не путаю.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #29

26. Сообщение от Аноним (26), 09-Апр-25, 14:21	+1 +/–
А для чего ж оно ещё может быть нужно?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

29. Сообщение от userd (ok), 09-Апр-25, 16:51	+1 +/–
Криптоком, не?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #32

30. Сообщение от Аноним (30), 09-Апр-25, 19:22	+/–
Зачем в криптобиблиотеку тащить реализацию QUIC? Лучше бы уязвимости фиксили.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #38, #39

31. Сообщение от Аноним (31), 09-Апр-25, 19:47	+2 +/–
Лучше бы добавили CMakeLists.txt
Ответить \| Правка \| Наверх \| Cообщить модератору

32. Сообщение от User (??), 10-Апр-25, 07:34	+2 +/–
> Криптоком, не? Ага. Уж на что openssl штука спессфисская - но их собственный api и тулинг это нечто прям за гранью - а уж когда к этому rutoken добавляется - тушите свет, пишите письма...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29

33. Сообщение от Аноним (34), 10-Апр-25, 08:28	+/–
> https://github.com/gost-engine/engine Оно старое https://www.opennet.me/openforum/vsluhforumID10/5680.html gnutls & gnupg в новых версиях должны поддерживать ГОСТ без патчей. Вопрос только к дистрибутивам Linux чтоб собрали пакет с поддержкой ГОСТ. А с libressl-3.9.0 поддержку ГОСТ выкинули: https://www.opennet.me/opennews/art.shtml?num=60765
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

34. Сообщение от Аноним (34), 10-Апр-25, 09:04	+/–
Смотри пример: https://en.wikipedia.org/wiki/Comparison_of_cryptography_lib... Сертифицируется по определенному критерию, конкретная версия крыптобиблиотеки некой организацией которая собрала бинарьный пакет. Именно свой бинарь сертифицирует поставщик ПО. While OpenSSL is not FIPS 140-2 validated by OpenSSL.org, validations exist for versions from: Amazon Web Services Inc., Aqua Security Software Ltd., Broadcom Inc., Canonical Ltd., Cisco Systems Inc., Cohesity Inc., ControlUp Technologies Inc., Crestron Electronics Inc., Dell Inc., Gallagher Group, Hewlett Packard Enterprise, IBM Corporation, ICU Medical Inc., Intelligent Waves, Ixia, KeyPair Consulting Inc., Koninklijke Philips N.V., Lenovo Group Limited, LG Electronics Inc., LogRhythm, McAfee LLC, Metaswitch Networks Ltd, NetBrain Technologies Inc., Nutanix Inc., Onclave Networks Inc., Oracle Corporation, REDCOM Laboratories Inc., Red Hat Inc., SafeLogic Inc., Super Micro Computer Inc., SUSE LLC, Tanium Inc., Trend Micro Inc., Unisys Corporation, Verizon, VMware Inc. and Wickr Inc. То есть в нашем случае сертификацию ГОСТ проходят бинарные пакеты openssl от: Astra, ALT, Rossa, RedOS, Calculate, ...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #35

35. Сообщение от User (??), 10-Апр-25, 10:52	+/–
>[оверквотинг удален] > Inc., Canonical Ltd., Cisco Systems Inc., Cohesity Inc., ControlUp Technologies Inc., > Crestron Electronics Inc., Dell Inc., Gallagher Group, Hewlett Packard Enterprise, IBM > Corporation, ICU Medical Inc., Intelligent Waves, Ixia, KeyPair Consulting Inc., Koninklijke > Philips N.V., Lenovo Group Limited, LG Electronics Inc., LogRhythm, McAfee LLC, > Metaswitch Networks Ltd, NetBrain Technologies Inc., Nutanix Inc., Onclave Networks Inc., > Oracle Corporation, REDCOM Laboratories Inc., Red Hat Inc., SafeLogic Inc., Super > Micro Computer Inc., SUSE LLC, Tanium Inc., Trend Micro Inc., Unisys > Corporation, Verizon, VMware Inc. and Wickr Inc. > То есть в нашем случае сертификацию ГОСТ проходят бинарные пакеты openssl от: > Astra, ALT, Rossa, RedOS, Calculate, ... Не-а. Это прям разные сертификаты - условно "об отсутствии НДВ" в, если не путаю, ФСТЭК получают примерно все "производители" отечественных ОС, а вот сертификат на "криптографические средства защиты информации" (Корректность реализации алгоритма, соответствия требованиям к классу изделий и та дэ) проходят в ФСБ - и вот хрена лысого этот самый openssl эту самую сертификацию за не самые малые деньги получит...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #34 Ответы: #36

36. Сообщение от Аноним (36), 10-Апр-25, 14:05	+/–
> сертификат на "криптографические средства защиты информации" (Корректность реализации алгоритма, соответствия требованиям к классу изделий и та дэ) проходят в ФСБ - и вот хрена лысого этот самый openssl эту самую сертификацию за не самые малые деньги получит... Мне кажется, что если организация уже имеет лицензию ФСБ "на разработку криптографическиэх средств защиты информации", то при желании может проверить и сертифицированть в ФСБ: gnutls и libgcrypt (gnupg) в которых ГОСТ уже есть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35

37. Сообщение от Аноним (37), 10-Апр-25, 15:28	+/–
хотя бы один минусатор, пройдись по ссылке.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

38. Сообщение от Аноним (8), 10-Апр-25, 17:54	+/–
Потому что quic без криптографии не бывает, там криптографические шаги прямо в state machine есть. Если предполагается коннект без СА, то клиенты генерят одноразовые самоподписанные сертификаты.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30