Pull to refresh

Comments 16

А разве сервисы ГИС ЖКХ доступны где-либо кроме СМЭВ?
Насколько я помню к самой СМЭВ на бюрократическом уровне подключение ограничено крипто-маршрутизаторами одной компании…
В методических рекомендациях есть только требования к сертификату, алгоритмам подписи (ГОСТ) и протоколу HTTPS с шифрованием по ГОСТ, для реализации которого предлагают использовать МагПро Криптопакет. Ту же функциональность можно получить способом описанным в статье. Для соединения до серверов ГИС ЖКХ используются общие интернет-каналы.
Возможно далее и вылезут какие-либо бюрократические грабли, но пока всё тихо.

Этот уровень описан в списке сертифицированных ФСБ решений. В нём в том числе есть и линукс-версия, доступная бесплатно.

В ГИС ЖКХ только кредитные организации подключаются через СМЭВ.
А в требованиях значится просто использование ГОСТ алгоритмов или же сертифицированных СКЗИ? Можно увидеть выдержку из ТЗ?
Как такого ТЗ нет. Есть методические рекомендации по работе, ссылка на которые приведена в статье. В рекомендациях не делается акцента на обязательную сертификацию СКЗИ, только на ГОСТ алгоритмы и требования к сертификату. Но там вообще не рассматривается каких-либо вариантов, кроме КриптоПРО :). Судя по тому, что клиенту предлагается реализовать ПО для взаимодействия самим, речь об общей сертификации комплекса не идёт, а требования на ГОСТ мы соблюли.
Намекает на пережитые боль и страдания и грядущую неопределённость.
Интересная статья, спасибо, надо будет подкинуть разрабам. 13-го мая прошли сертификацию интеграционного взаимодействия с ГИС ЖКХ, теперь можем работать на продакшене спокойно. Ну как спокойно, все неспокойства только начинаются, чую, ох, чую, спокойной эта работа с ними не будет.
Да, у нас тоже будущее туманно, но процесс идёт, а там порешаем. Держите в курсе, если что интересное.
На сколько я помню, 63-ФЗ требует использовать не только «кошерные» алгоритмы, но и СКЗИ, имеющие сертификацию…
openssl входит в состав МагПро КриптоТуннель — сертифицированное СКЗИ, можно его использовать и для подписывания. Если не ошибаюсь, они и сделали поддержку ГОСТ в openssl.
Так сертифицируются то бинарные сборки…
Учитывая рекомендации к взаимодействию, это не грозит.
Ну вот, в этой СКЗИ есть утилита openssl (бинарная сборка) мы ее и используем для вычисления дайджестов и подписания. Иначе каждому оператору придется сертифицировать свою ИС как СКЗИ…
На днях на ППАК заменили ключи (ГОСТ 2012), соответственно, так как использовался системный openssl 1.0.2 — все пропало.
Поэтому я просто оставлю это здесь.
На фре пришлось собрать из портов /usr/ports/security/openssl111, собрать к нему /usr/ports/security/gost-engine (и в конфиге openssl на него поправить ссылку), добавить в /etc/make.conf DEFAULT_VERSIONS+=ssl=openssl111 и пересобрать stunnel.
И в конфиге stunnel добавить ciphers = GOST2012-GOST8912-GOST8912.
Sign up to leave a comment.

Articles