[Ivan_83]

А учитывая, что это всё ФСБ-шные заморочки, особо надеяться на улучшение ситуации не приходится.

Акститесь!

openssl без всякого фсб работает с этими крипто алгоритмами, сами алгоритмы свободно доступны в различных либах.

 

ЭЦП ГОСТ это ECDSA с мелкими изменениями, очень мелкими, документации и либ с ECDSA куча. Есть даже реализации на питоне и джаве (там вроде нативно длинные числа существуют).

стрибог - хэш, документация, исходники и тестовые векторы тоже есть.

 

Просто кому надо не может/хочет сделать/заплатить, а кто может тому не надо :)

[Sergey Gilfanov]

Чисто формально, подпись, сгенерированную openssl, могут посчитать недействительной (т.е. какой-нибудь суд пошлет) ибо нужной бумажки о том, что там тот самый алгоритм, нет. И это громадный повод задавать вопросы о здравости происходящего с криптухой.

[alibek]

Если чисто формально - то подпись проходящая проверку на сайте гос.услуг действительна и для ЕИРЦ.

[Sergey Gilfanov]

А ключ из кряка подходит к программе. Но это не делает его законным. Это разные варианты понимания слов 'подпись действительна' Если захотеть, можно придраться. Да еще, поди, подделку собственной подписи в качестве правонарушения заработать.

[alibek]

Да сказки все это.

Действительность подписи удостоверяется не какой-то мифической бумажкой, а алгоритмом, который реализован в программном коде. Если алгоритм неправильный, то и отпечаток будет неправильный.

[Ivan_83]

Чисто формально, подпись, сгенерированную openssl, могут посчитать недействительной (т.е. какой-нибудь суд пошлет) ибо нужной бумажки о том, что там тот самый алгоритм, нет. И это громадный повод задавать вопросы о здравости происходящего с криптухой.

1. Вычисляется хэш от сообщения

2. Генерируется рандомное число

3. 1+2+секретный ключ+параметры алгоритма скармливаются в функцию которая считает и выдаёт подпись.

 

Зная публичный ключ, параметры алгоритма и имея на руках подписанное сообщение можно проверить валидность подписи любым ПО которое умеет туже хэш функцию и знает эти же параметры.

Параметры, хэш функция и алгоритм вычисления эцп общеизвестны.

В опенссл они на тестовых векторах должны выдавать ровно тоже самое что и любой сертифицированный продукт, иначе подпись полученная с помощью опенссл не будет проходить проверок.

[nphs]

Является ли блокировка всех IP адресов из реестра удовлетворением закона?

 

Или как я понял из выше написанного, что проверяется кем-то доступность запрещенных сайтов в процентном соотношении. Таким образом при блокировке по IP будет доступно наверно 40% URL и Domain ресурсов.

 

P.S. Ищется простой алгоритм блокировки для нищебродов, подходящий нам.

Изменено 19 октября, 2014 пользователем nphs

[YuryD]

Является ли блокировка всех IP адресов из реестра удовлетворением закона?

 

Или как я понял из выше написанного, что проверяется кем-то доступность запрещенных сайтов в процентном соотношении. Таким образом при блокировке по IP будет доступно наверно 40% URL и Domain ресурсов.

 

 

При блокировке по IP у меня 90% блочится. Но для прокуратуры даже один незаблоченный - уже нарушение.

[nphs]

Кто-то выше писал, что осуществляет блокировку только по URL. Но это ведь не правильно, т.к. сайт будет доступен по IP? Не говоря про то, что поле URL и domain не обязательное в списке запрещенных сайтов.

 

И вот такой вопрос. Если допустим в реестре находится сайт cena-na-moloko.net, то провайдер должен самостоятельно не только заблокировать доступ к cena-na-moloko.net, но и на WWW.cena-na-moloko.net (хотя поддомена нет в списке). И наоборот, если в списке www.domain.ru, то блокировать самостоятельно domain.ru?

[alibek]

Не нужно самодеятельности.

Что в реестре, то и блокируется.

[ixi]

P.S. Ищется простой алгоритм блокировки для нищебродов, подходящий нам.

днс на блэкхол. Чуть посложнее -- днс на прокси.

[nphs]

P.S. Ищется простой алгоритм блокировки для нищебродов, подходящий нам.

днс на блэкхол. Чуть посложнее -- днс на прокси.

так и поступим, но мучает выше описанная ситуация - если в реестре www.domain.com нужно ли блокировать дополнительно domain.com?

[alibek]

если в реестре www.domain.com нужно ли блокировать дополнительно domain.com

А абонентам и РКН что будете говорить?

Что проявили гражданскую сознательность и решили сами заблокировать посторонний сайт?

Почему бы не заблокировать .com?

www.domain.com и domain.com могут быть разными сайтами на разных серверах.

[nphs]

www.domain.com и domain.com могут быть разными сайтами на разных серверах.

ни разу не встречал такое. Это только в теории.

Мой домашний провайдер блокирует самостоятельно domain.com и www.domain.com.

Изменено 21 октября, 2014 пользователем nphs

[alibek]

ни разу не встречал такое. Это только в теории.

Это встречается нечасто, но встречается.

И в любом случае, технически это разные ресурсы и самовольно их блокировать не стоит.

 

Мой домашний провайдер блокирует самостоятельно domain.com и www.domain.com.

Возможно он блокировку осуществляет по IP-адресу, а у обоих хостов IP-адрес один и тот же.

[k104x]

Всем привет. Ну вот-такая закономерность вышла,

https://www.evernote.com/shard/s185/sh/ceb0b021-47e7-4c61-ab43-bc6db27fe919/c535b6e5047ec69d304519fe81c2c9ac?noteKey=c535b6e5047ec69d304519fe81c2c9ac&noteGuid=ceb0b021-47e7-4c61-ab43-bc6db27fe919

работает ОК на старых версиях перловки. хз почему) сломал всю башку, причину не нашел. У меня работает ОК на v5.12.4 и работает 1 раз через 5 на версии v5.20.1 (как кто-то писал 3 страницы назад)

 

Скачал https://github.com/ircop/zapret , пропатчил под несистемный openssl, выкинул парочку лишних строк - работает. Посмотрим насколько стабильнее)

[MATPOC]

Всем привет. Ну вот-такая закономерность вышла,

https://www.evernote...43-bc6db27fe919

работает ОК на старых версиях перловки. хз почему) сломал всю башку, причину не нашел. У меня работает ОК на v5.12.4 и работает 1 раз через 5 на версии v5.20.1 (как кто-то писал 3 страницы назад)

Debian 7, perl v5.14.2, openssl 1.0.1e системный, чтобы не конфликтовал с named пришлось убрать из openssl.cnf упоминание о ГОСТ. Чтобы openssl мог использовать ГОСТ, добавил в командную строку подписывания

/usr/bin/openssl smime -sign -engine gost -in ............

[k104x]

тоже как вариант) но у меня гента гост просто так не хавает. Скрипт пашет как дизель в заполярье) т.е. отлично.

[nphs]

ни разу не встречал такое. Это только в теории.

Это встречается нечасто, но встречается.

И в любом случае, технически это разные ресурсы и самовольно их блокировать не стоит.

 

Мой домашний провайдер блокирует самостоятельно domain.com и www.domain.com.

Возможно он блокировку осуществляет по IP-адресу, а у обоих хостов IP-адрес один и тот же.

 

При блокировке по домену, получается нужно блокировать ip адреса из реестра или не обязательно?

[alibek]

Что в реестре указано, то и нужно блокировать.

Но чтобы блокировать по URL, нужен DPI.

Если у оператора такой возможности нет, он ресолвит имена доменов и блокирует по IP.

[ayf]

Что в реестре указано, то и нужно блокировать.

Но чтобы блокировать по URL, нужен DPI.

Если у оператора такой возможности нет, он ресолвит имена доменов и блокирует по IP.

 

Зачем резолвить? IP предоставлены РКН в том же реестре

[alibek]

Зачем резолвить? IP предоставлены РКН в том же реестре

Ну ведь IP-адрес в реестре и текущий IP могут различаться.

Кроме того мне в РКН говорили, что возможна ситуация, когда задан только домен или URL, без IP-адреса.

[st_re]

ну сресолвится ваш заблокированный сайт в 195.208.24.95 195.208.24.91 195.208.24.94... ну или в 8.8.8.8 если kremlin.ru не жалко...

[ayf]

Зачем резолвить? IP предоставлены РКН в том же реестре

Ну ведь IP-адрес в реестре и текущий IP могут различаться.

Кроме того мне в РКН говорили, что возможна ситуация, когда задан только домен или URL, без IP-адреса.

 

У них и ситуация бывает, когда требуют блокировать файл wave1, к примеру. И пофиг, что это невозможно. Тут выше кто-то отписывался, что РКН за свой резолв доменов по головке не гладит. И требует вносить те IP, которые в реестре

[karpa13a]

Если у оператора такой возможности нет, он ресолвит имена доменов и блокирует по IP.

нормотивочку можно улицезреть?

и как быть с резолвом трэшака во чтото полезное как указали выше?