Настройка ГОСТ в OpenSSL в РЕД ОС 7.3

Установка пакетов
Включение поддержки алгоритмов шифрования ГОСТ
Проверка поддержки ГОСТ в OpenSSL
Пример генерации ключей
Возврат настроек по умолчанию

Окружение

• Версия ОС: 7.3
• Конфигурация ОС: Рабочая станция
• Редакция ОС: Стандартная
• Архитектура: x86_64
• Версия ПО: openssl-gost-engine-1.1.1.0-0.13, crypto-policies-20200619-5.git781bbd4

В состав дистрибутива РЕД ОС входит пакет библиотек, поддерживающих методы защитного преобразования по алгоритмам ГОСТ, openssl-gost-engine.

Пакет openssl-gost-engine включает в себя реализацию следующих алгоритмов ГОСТ:

• ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 — алгоритмы электронной цифровой подписи.

• ГОСТ Р 34.11-2012 — криптографический алгоритм вычисления хеш-функции “Стрибог” с размером блока входных данных 512 бит и размером хеш-кода 256 или 512 бит.

• ГОСТ 28147-89 — симметричное шифрование с 256-битным ключом. Доступны режимы CBC, CFB и CNT. Для усложнения статистического анализа поддерживается «key meshing» (подробнее см. RFC 4357).

• VKO ГОСТ Р 34.10 2012 – алгоритмы согласования ключей.

Методы шифрования ГОСТ применяются к используемой в системе политике шифрования.

Общесистемные политики шифрования — это системный компонент, который настраивает основные криптографические подсистемы, включая протоколы TLS, IPsec, SSH, DNSSec и Kerberos. Он предоставляет небольшой набор политик, которые может выбрать администратор.

При использовании в системе общесистемных политик программы следуют настроенным правилам и не используют в своей работе алгоритмы и протоколы, которые не соответствуют настроенной политике (за исключением случаев, когда администратор явно указывает программе выполнить данное действие). Это значит, что политика применяется к поведению программ по умолчанию при работе с предоставленной системой конфигурацией, но при необходимости ее можно переопределить.

В системе поддерживаются следующие предопределенные политики:

• DEFAULT – уровень общесистемной криптографической политики по умолчанию предлагает безопасные настройки для текущих моделей угроз. Он поддерживает протоколы TLS 1.2 и 1.3, а также протоколы IKEv2 и SSH2. Ключи RSA и параметры Диффи-Хеллмана принимаются, если их длина не менее 2048 бит.

• LEGACY – совместим с более ранними системами и менее безопасен из-за увеличенной поверхности атаки. Помимо алгоритмов и протоколов уровня DEFAULT, он включает поддержку протоколов TLS 1.0 и 1.1. Алгоритмы DSA, 3DES и RC4 разрешены, а ключи RSA и параметры Диффи-Хеллмана принимаются, если их длина не менее 1023 бит.

• FUTURE – более строгий уровень безопасности, предназначенный для тестирования возможной будущей политики. Политика не позволяет использовать SHA-1 в алгоритмах подписи. Он поддерживает протоколы TLS 1.2 и 1.3, а также протоколы IKEv2 и SSH2. Ключи RSA и параметры Диффи-Хеллмана принимаются, если их длина не менее 3072 бит. Если система имеет доступ в Интернет, есть вероятность столкнуться с проблемами совместимости.

Подробную информацию о криптографических политиках системы см. в нашей статье «Общесистемные криптографические политики».

Установка пакетов

Пакет openssl-gost-engine, обеспечивающий поддержку алгоритмов ГОСТ, по умолчанию предустановлен в РЕД ОС. Однако если по каким-либо причинам в вашей системе пакет отсутствует, для его установки перейдите в сеанс пользователя root:

su -

и выполните команду:

dnf install openssl-gost-engine

Здесь и далее команды будут выполняться с правами пользователя root, если не указано иное.

Включение поддержки алгоритмов шифрования ГОСТ

Для активации поддержки ГОСТ в openssl выполните:

openssl-switch-config gost

Для проверки используемой в системе политики шифрования выполните:

update-crypto-policies --show

Затем примените модуль политики, определяющий используемые методы шифрования ГОСТ для поддержки стандартных типов шифрования:

update-crypto-policies --set <политика_шифрования>:TLS-GOST

Модуль политики TLS-GOST, поддерживающий стандартные типы шифрования, добавляет поддержку:

• алгоритмов электронной цифровой подписи (ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012).

• алгоритмов вычисления хеш-функции “Стрибог” (ГОСТ Р 34.11-2012).

• алгоритмов симметричного шифрования (ГОСТ 28147-89).

• алгоритмов согласования ключей (VKO ГОСТ Р 34.10 2012).

Также данный модуль исключает способ обмена ключами DHE_DSS.

Проверка поддержки ГОСТ в OpenSSL

После проведения настройки проверьте, видит ли OpenSSL алгоритмы ГОСТ, командой:

 openssl ciphers | tr ":" "\n" | grep GOST 

 GOST2012-GOST8912-GOST8912
 GOST2001-GOST89-GOST89

Пример генерации ключей

Генерация закрытого ключа и создание сертификата с подписью ГОСТ производится следующей командой:

openssl req -x509 -newkey gost2012_256 -pkeyopt paramset:A -nodes -keyout key.pem -out cert.pem -md_gost12_256

Для проверки сертификата выполните команду:

openssl x509 -in cert.pem -text -noout 
 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            0f:eb:75:e3:a8:b0:15:5d:86:2d:f9:9b:ff:73:af:42:1c:d5:58:00
        Signature Algorithm: GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
        Issuer: C = ru, ST = Russia, L = Moscow, O = redsoft, OU = drsp, CN = root, emailAddress = root
        Validity
            Not Before: Jul  7 08:49:05 2025 GMT
            Not After : Aug  6 08:49:05 2025 GMT
        Subject: C = ru, ST = Russia, L = Moscow, O = redsoft, OU = drsp, CN = root, emailAddress = root
        Subject Public Key Info:
            Public Key Algorithm: GOST R 34.10-2012 with 256 bit modulus
                Public key:
                   X:4669C7D70E29DC1649269BB5449662042375FECDFBFA195A8F73A886EDF81C61
                   Y:21A6C1DB6F83026E3CD461B47989E49BCDB1F512028675F9970289A073546191
                Parameter set: id-GostR3410-2001-CryptoPro-A-ParamSet
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                DB:0B:2F:59:A2:DE:3B:64:E1:26:61:D7:7A:2C:4F:65:B0:44:6E:6F
            X509v3 Authority Key Identifier: 
                keyid:DB:0B:2F:59:A2:DE:3B:64:E1:26:61:D7:7A:2C:4F:65:B0:44:6E:6F

            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
         8b:05:29:35:c5:4f:1f:d6:7c:b2:04:17:63:95:25:4f:04:28:
         4d:8e:f4:a5:2d:0b:05:2d:43:e1:2e:b0:06:63:1a:14:c9:0d:
         d2:f2:d3:ac:ae:85:87:71:5b:c2:d1:a1:3e:3f:d9:3e:f8:36:
         48:75:b2:a6:8d:6d:b8:c5:cd:86

Возврат настроек по умолчанию

Для возврата к настройкам по умолчанию выключите поддержку ГОСТ в openssl командой:

openssl-switch-config default

и примените необходимую общесистемную политику шифрования:

update-crypto-policies --set <политика_шифрования>

Дата последнего изменения: 23.07.2025

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.