Lelik13a May 17 2016 at 09:58

Взаимодействие с ГИС ЖКХ с помощью stunnel и openssl по ГОСТу

11 min

38K

Open source*Cryptography*

+10

Comments 16

arandomic May 17 2016 at 10:59

А разве сервисы ГИС ЖКХ доступны где-либо кроме СМЭВ?
Насколько я помню к самой СМЭВ на бюрократическом уровне подключение ограничено крипто-маршрутизаторами одной компании…

Lelik13a May 17 2016 at 11:05

В методических рекомендациях есть только требования к сертификату, алгоритмам подписи (ГОСТ) и протоколу HTTPS с шифрованием по ГОСТ, для реализации которого предлагают использовать МагПро Криптопакет. Ту же функциональность можно получить способом описанным в статье. Для соединения до серверов ГИС ЖКХ используются общие интернет-каналы.
Возможно далее и вылезут какие-либо бюрократические грабли, но пока всё тихо.

garex May 17 2016 at 11:12

Этот уровень описан в списке сертифицированных ФСБ решений. В нём в том числе есть и линукс-версия, доступная бесплатно.

slavam May 17 2016 at 11:16

В ГИС ЖКХ только кредитные организации подключаются через СМЭВ.

cooper051 May 17 2016 at 15:22

А в требованиях значится просто использование ГОСТ алгоритмов или же сертифицированных СКЗИ? Можно увидеть выдержку из ТЗ?

Lelik13a May 17 2016 at 15:34

Как такого ТЗ нет. Есть методические рекомендации по работе, ссылка на которые приведена в статье. В рекомендациях не делается акцента на обязательную сертификацию СКЗИ, только на ГОСТ алгоритмы и требования к сертификату. Но там вообще не рассматривается каких-либо вариантов, кроме КриптоПРО :). Судя по тому, что клиенту предлагается реализовать ПО для взаимодействия самим, речь об общей сертификации комплекса не идёт, а требования на ГОСТ мы соблюли.

LukaSafonov May 17 2016 at 15:42

Символ Heartbleed намекает?

Lelik13a May 17 2016 at 15:45

Намекает на пережитые боль и страдания и грядущую неопределённость.

iMiKED May 17 2016 at 18:24

Интересная статья, спасибо, надо будет подкинуть разрабам. 13-го мая прошли сертификацию интеграционного взаимодействия с ГИС ЖКХ, теперь можем работать на продакшене спокойно. Ну как спокойно, все неспокойства только начинаются, чую, ох, чую, спокойной эта работа с ними не будет.

Lelik13a May 17 2016 at 18:27

Да, у нас тоже будущее туманно, но процесс идёт, а там порешаем. Держите в курсе, если что интересное.

nachit May 18 2016 at 04:15

На сколько я помню, 63-ФЗ требует использовать не только «кошерные» алгоритмы, но и СКЗИ, имеющие сертификацию…

slavam May 18 2016 at 05:38

openssl входит в состав МагПро КриптоТуннель — сертифицированное СКЗИ, можно его использовать и для подписывания. Если не ошибаюсь, они и сделали поддержку ГОСТ в openssl.

nachit May 18 2016 at 07:52

Так сертифицируются то бинарные сборки…

Lelik13a May 18 2016 at 07:54

Учитывая рекомендации к взаимодействию, это не грозит.

slavam May 18 2016 at 11:07

Ну вот, в этой СКЗИ есть утилита openssl (бинарная сборка) мы ее и используем для вычисления дайджестов и подписания. Иначе каждому оператору придется сертифицировать свою ИС как СКЗИ…

ersh Aug 21 2019 at 09:40

На днях на ППАК заменили ключи (ГОСТ 2012), соответственно, так как использовался системный openssl 1.0.2 — все пропало.
Поэтому я просто оставлю это здесь.
На фре пришлось собрать из портов /usr/ports/security/openssl111, собрать к нему /usr/ports/security/gost-engine (и в конфиге openssl на него поправить ссылку), добавить в /etc/make.conf DEFAULT_VERSIONS+=ssl=openssl111 и пересобрать stunnel.
И в конфиге stunnel добавить ciphers = GOST2012-GOST8912-GOST8912.