Релиз OpenSSL 1.0.0 с поддержкой ГОСТ

[bondbig]

Наконец-то релиз! Ура, товарищи!

[norguhtar]

А почему нет самого важного? В этом релизе есть реализация российских алгортимов шифрования. Тех самых что ГОСТ.

[alizar]

Добавил в заголовок.

[Softovick]

Урааа… Наконец-то ГОСТ поддерживает…

[mardy_bum]

Поразительная скромность в именовании версий, учитывая что ровно 10 лет назад уже был номер 0.9.5a

[siasia]

В таких случаях говорят: Marketing not involved. Вы думаете, что в том же интернет эксплорере между версиями 7 и 8 было намного больше изменений.

[rshadow]

ГОСТ как и любые правительственные системы шифрования имеют предопределенные дыры для спецслужб. Не рекомендавал бы я вам ими пользоваться.

[rshadow]

Пользуйтесь открытыми алгоритмами и реализациями!

[intnzy]

какие есть ваши доказательства? (с)

[intnzy]

а на досуге — прочитайте про историю AES. уж правительственней некуда. и поразмыслите о подходе, дырах и прочем

[norguhtar]

ГОСТ имеет дыры в совсем другом месте. Если вы хотите использовать данную систему шифрования официально вам надо получить ключи. Так что дыра есть, но ввиде ваших ключей у нужных людей ;)

[kyookineko]

ГОСТ — всего лишь алгоритм. Схемы выработки ключей и получения сертификата остаются стандартные — PKI'шные. Никаких ключей официально получать не надо!

[norguhtar]

Ну здрастье. Как раз таки надо для шифрования их получать, если вам требуется сертифицированое шифрование дря работы.

[kyookineko]

Я, в общем-то, имею некоторое представление о деятельности удостоверяющих центров.

Действительно, 99.9% пользователей приходят в УЦ «получить ключи», особенно не заботясь о том, кто их (ключи) вырабатывает и как. Но ничто не мешает вам самостоятельно сгенерировать ключевую пару, сформировать запрос на сертификат, и отправить его в УЦ. При этом ваш закрытый ключ никуда за пределы вашего компьютера (или даже токена) не уйдёт.

[norguhtar]

Да такое возможно, но раньше такого делать не давали. Так что никто не мешает делать это и сейчас.

[BaBL]

Предлагаете вообще ничего не шифровать, как при коммунизме? У нас, вообще-то, запрещены любые не гостированные методы шифрования. Если изымут сервачок и за шифрованный раздел придется отвечать еще по одной статье (правда если докажут что он шифрованный, но чтоб не доказали надо довольно серьезно извратиться, чего обычно никто не делает).

[norguhtar]

Бобер выдыхай, шифровать можно.

[vlad_v]

Для использования в гос. органах, АC в защищенном исполнении и т.д. требуются СКЗИ c сертификатом соответствия. Там где нет необходимости использовать сертифиц. СКЗИ можно применять уже отработанные годами зарубежные алгоритмы.
А так спасибо конечно, наконец то можно юзать PKCS#7, TLS используя сертификаты наших уц.

В авторах draft-ов GOST для OpenSSL упоминается КриптоПРО и Victor B. Wagner <vitus@cryptocom.ru>]
спасибо, молодцы!!!

[davaeron]

О, ECC допилили, надо глянуть будет.

[FTM]

отличная новость, как раз пишу сейчас защищенное клиент-серверное приложение. правда, на КриптоПро. openssl останавливал в момент начинания этой писанины тем, что не поддерживал российские ГОСТы.

[kyookineko]

Если ещё не поздно, переходите на OpenSSL, потом замените библиотеку на сертифицированный аналог (они теперь скоро появятся). КриптоПро под линуксом больше не нужен.

[FTM]

спасибо за совет. думаю, еще не поздно.

[kyookineko]

Только учтите, что «скоро» — в наших условиях очень относительно. Советую плотно пообщаться с КриптоКом'ом и Лисси по перспективам сертификации их аналогов OpenSSL.