search

gost-engine / engine

A reference implementation of the Russian GOST crypto algorithms for OpenSSL
Apache License 2.0
370 stars 170 forks source link

GOST Engine не работает на OpenSSL 1.1.1k (Centos Stream 8) #425

Open arpsyapathy opened 1 year ago

arpsyapathy commented 1 year ago

Добрый день!

Есть 2 сервера, на обоих нужен openssl с поддержкой ГОСТ. Используемый мануал: https://sysos.ru/?p=589

Ubuntu 18.04 Использую уже установленный openssl из репозитория (openssl 1.1.1). Успешно собираю gost-engine. openssl engine выдает:

(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine

openssl ciphers|tr ':' '\n'|grep GOST выдает:

GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89

Все успешно. Серт по url читается успешно

Centos Stream 8 Использую уже установленный openssl из репозитория (openssl 1.1.1k) Успешно собираю gost-engine. openssl engineвыдает:

(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine

openssl ciphers|tr ':' '\n'|grep GOST выдает пустоту. Не работает =\ Серт по url не выдается. Подскажите пожалуйста в чем может быть загвоздка?

beldmit commented 1 year ago

Скорее всего в том, что CentOS stream использует crypto policies, которые про ГОСТ ничего не знают.

hmaximh commented 1 year ago

Оставлю тут как решение. Закомментируйте настройки по умолчанию в openssl.cnf:

 #openssl_conf = default_modules 
 #[ default_modules ] 
 #ssl_conf = ssl_module 

 #[ ssl_module ] 
 #system_default = crypto_policy 

 #[ crypto_policy ] 
 #.include = /etc/crypto-policies/back-ends/opensslcnf.config

Затем необходимо явно указать Cipher Strings в файле конфигурации /etc/crypto-policies/back-ends/openssl.config:

@SECLEVEL=1:aGOST:aGOST01:kGOST:GOST94:GOST89MAC:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8