Ivan_83 Опубликовано 18 октября, 2014 · Жалоба А учитывая, что это всё ФСБ-шные заморочки, особо надеяться на улучшение ситуации не приходится. Акститесь! openssl без всякого фсб работает с этими крипто алгоритмами, сами алгоритмы свободно доступны в различных либах. ЭЦП ГОСТ это ECDSA с мелкими изменениями, очень мелкими, документации и либ с ECDSA куча. Есть даже реализации на питоне и джаве (там вроде нативно длинные числа существуют). стрибог - хэш, документация, исходники и тестовые векторы тоже есть. Просто кому надо не может/хочет сделать/заплатить, а кто может тому не надо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 18 октября, 2014 · Жалоба Чисто формально, подпись, сгенерированную openssl, могут посчитать недействительной (т.е. какой-нибудь суд пошлет) ибо нужной бумажки о том, что там тот самый алгоритм, нет. И это громадный повод задавать вопросы о здравости происходящего с криптухой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 октября, 2014 · Жалоба Если чисто формально - то подпись проходящая проверку на сайте гос.услуг действительна и для ЕИРЦ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 18 октября, 2014 · Жалоба А ключ из кряка подходит к программе. Но это не делает его законным. Это разные варианты понимания слов 'подпись действительна' Если захотеть, можно придраться. Да еще, поди, подделку собственной подписи в качестве правонарушения заработать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 октября, 2014 · Жалоба Да сказки все это. Действительность подписи удостоверяется не какой-то мифической бумажкой, а алгоритмом, который реализован в программном коде. Если алгоритм неправильный, то и отпечаток будет неправильный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 19 октября, 2014 · Жалоба Чисто формально, подпись, сгенерированную openssl, могут посчитать недействительной (т.е. какой-нибудь суд пошлет) ибо нужной бумажки о том, что там тот самый алгоритм, нет. И это громадный повод задавать вопросы о здравости происходящего с криптухой. 1. Вычисляется хэш от сообщения 2. Генерируется рандомное число 3. 1+2+секретный ключ+параметры алгоритма скармливаются в функцию которая считает и выдаёт подпись. Зная публичный ключ, параметры алгоритма и имея на руках подписанное сообщение можно проверить валидность подписи любым ПО которое умеет туже хэш функцию и знает эти же параметры. Параметры, хэш функция и алгоритм вычисления эцп общеизвестны. В опенссл они на тестовых векторах должны выдавать ровно тоже самое что и любой сертифицированный продукт, иначе подпись полученная с помощью опенссл не будет проходить проверок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nphs Опубликовано 19 октября, 2014 (изменено) · Жалоба Является ли блокировка всех IP адресов из реестра удовлетворением закона? Или как я понял из выше написанного, что проверяется кем-то доступность запрещенных сайтов в процентном соотношении. Таким образом при блокировке по IP будет доступно наверно 40% URL и Domain ресурсов. P.S. Ищется простой алгоритм блокировки для нищебродов, подходящий нам. Изменено 19 октября, 2014 пользователем nphs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 19 октября, 2014 · Жалоба Является ли блокировка всех IP адресов из реестра удовлетворением закона? Или как я понял из выше написанного, что проверяется кем-то доступность запрещенных сайтов в процентном соотношении. Таким образом при блокировке по IP будет доступно наверно 40% URL и Domain ресурсов. При блокировке по IP у меня 90% блочится. Но для прокуратуры даже один незаблоченный - уже нарушение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nphs Опубликовано 19 октября, 2014 · Жалоба Кто-то выше писал, что осуществляет блокировку только по URL. Но это ведь не правильно, т.к. сайт будет доступен по IP? Не говоря про то, что поле URL и domain не обязательное в списке запрещенных сайтов. И вот такой вопрос. Если допустим в реестре находится сайт cena-na-moloko.net, то провайдер должен самостоятельно не только заблокировать доступ к cena-na-moloko.net, но и на WWW.cena-na-moloko.net (хотя поддомена нет в списке). И наоборот, если в списке www.domain.ru, то блокировать самостоятельно domain.ru? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 19 октября, 2014 · Жалоба Не нужно самодеятельности. Что в реестре, то и блокируется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 21 октября, 2014 · Жалоба P.S. Ищется простой алгоритм блокировки для нищебродов, подходящий нам. днс на блэкхол. Чуть посложнее -- днс на прокси. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nphs Опубликовано 21 октября, 2014 · Жалоба P.S. Ищется простой алгоритм блокировки для нищебродов, подходящий нам. днс на блэкхол. Чуть посложнее -- днс на прокси. так и поступим, но мучает выше описанная ситуация - если в реестре www.domain.com нужно ли блокировать дополнительно domain.com? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 октября, 2014 · Жалоба если в реестре www.domain.com нужно ли блокировать дополнительно domain.com А абонентам и РКН что будете говорить? Что проявили гражданскую сознательность и решили сами заблокировать посторонний сайт? Почему бы не заблокировать .com? www.domain.com и domain.com могут быть разными сайтами на разных серверах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nphs Опубликовано 21 октября, 2014 (изменено) · Жалоба www.domain.com и domain.com могут быть разными сайтами на разных серверах. ни разу не встречал такое. Это только в теории. Мой домашний провайдер блокирует самостоятельно domain.com и www.domain.com. Изменено 21 октября, 2014 пользователем nphs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 21 октября, 2014 · Жалоба ни разу не встречал такое. Это только в теории. Это встречается нечасто, но встречается. И в любом случае, технически это разные ресурсы и самовольно их блокировать не стоит. Мой домашний провайдер блокирует самостоятельно domain.com и www.domain.com. Возможно он блокировку осуществляет по IP-адресу, а у обоих хостов IP-адрес один и тот же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
k104x Опубликовано 21 октября, 2014 · Жалоба Всем привет. Ну вот-такая закономерность вышла, https://www.evernote.com/shard/s185/sh/ceb0b021-47e7-4c61-ab43-bc6db27fe919/c535b6e5047ec69d304519fe81c2c9ac?noteKey=c535b6e5047ec69d304519fe81c2c9ac¬eGuid=ceb0b021-47e7-4c61-ab43-bc6db27fe919 работает ОК на старых версиях перловки. хз почему) сломал всю башку, причину не нашел. У меня работает ОК на v5.12.4 и работает 1 раз через 5 на версии v5.20.1 (как кто-то писал 3 страницы назад) Скачал https://github.com/ircop/zapret , пропатчил под несистемный openssl, выкинул парочку лишних строк - работает. Посмотрим насколько стабильнее) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MATPOC Опубликовано 21 октября, 2014 · Жалоба Всем привет. Ну вот-такая закономерность вышла, https://www.evernote...43-bc6db27fe919 работает ОК на старых версиях перловки. хз почему) сломал всю башку, причину не нашел. У меня работает ОК на v5.12.4 и работает 1 раз через 5 на версии v5.20.1 (как кто-то писал 3 страницы назад) Debian 7, perl v5.14.2, openssl 1.0.1e системный, чтобы не конфликтовал с named пришлось убрать из openssl.cnf упоминание о ГОСТ. Чтобы openssl мог использовать ГОСТ, добавил в командную строку подписывания /usr/bin/openssl smime -sign -engine gost -in ............ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
k104x Опубликовано 22 октября, 2014 · Жалоба тоже как вариант) но у меня гента гост просто так не хавает. Скрипт пашет как дизель в заполярье) т.е. отлично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nphs Опубликовано 22 октября, 2014 · Жалоба ни разу не встречал такое. Это только в теории. Это встречается нечасто, но встречается. И в любом случае, технически это разные ресурсы и самовольно их блокировать не стоит. Мой домашний провайдер блокирует самостоятельно domain.com и www.domain.com. Возможно он блокировку осуществляет по IP-адресу, а у обоих хостов IP-адрес один и тот же. При блокировке по домену, получается нужно блокировать ip адреса из реестра или не обязательно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 октября, 2014 · Жалоба Что в реестре указано, то и нужно блокировать. Но чтобы блокировать по URL, нужен DPI. Если у оператора такой возможности нет, он ресолвит имена доменов и блокирует по IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 22 октября, 2014 · Жалоба Что в реестре указано, то и нужно блокировать. Но чтобы блокировать по URL, нужен DPI. Если у оператора такой возможности нет, он ресолвит имена доменов и блокирует по IP. Зачем резолвить? IP предоставлены РКН в том же реестре Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 22 октября, 2014 · Жалоба Зачем резолвить? IP предоставлены РКН в том же реестре Ну ведь IP-адрес в реестре и текущий IP могут различаться. Кроме того мне в РКН говорили, что возможна ситуация, когда задан только домен или URL, без IP-адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 22 октября, 2014 · Жалоба ну сресолвится ваш заблокированный сайт в 195.208.24.95 195.208.24.91 195.208.24.94... ну или в 8.8.8.8 если kremlin.ru не жалко... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 22 октября, 2014 · Жалоба Зачем резолвить? IP предоставлены РКН в том же реестре Ну ведь IP-адрес в реестре и текущий IP могут различаться. Кроме того мне в РКН говорили, что возможна ситуация, когда задан только домен или URL, без IP-адреса. У них и ситуация бывает, когда требуют блокировать файл wave1, к примеру. И пофиг, что это невозможно. Тут выше кто-то отписывался, что РКН за свой резолв доменов по головке не гладит. И требует вносить те IP, которые в реестре Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 22 октября, 2014 · Жалоба Если у оператора такой возможности нет, он ресолвит имена доменов и блокирует по IP. нормотивочку можно улицезреть? и как быть с резолвом трэшака во чтото полезное как указали выше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...