Всем привет!
Не так давно, возникла задача в обновление openssl на CentOS. Информации о репозиториях, откуда можно обновиться до последней стабильной версии, я не нашел и решил сделать все вручную. Но вот одна загвоздка, после успешного обновления я чуть не потерял удаленный доступ к серверу — ssh перестал работать. Данный материал, посвящен тем, кто планирует обновиться в ручную, как я.
Читать полностью »
Рубрика «openssl» - 8
Обновление OpenSSL на CentOS — последствия
2012-07-11 в 15:15, admin, рубрики: CentOS, centos 6, linux, openssh, openssl, ssh, sshd, update, метки: CentOS, centos 6, openssh, openssl, ssh, sshd, updateРазработка и применение модуля PAM для аутентификации в Astra Linux с использованием Рутокен ЭЦП и Рутокен S
2012-05-28 в 10:35, admin, рубрики: linux, open source, openssl, pam, rsa, Блог компании Компания «Актив», информационная безопасность, рутокен, рутокен эцп, эцп, метки: linux, open source, openssl, pam, rsa, рутокен, рутокен эцп, эцп 
В этой статье мне бы хотелось рассказать о том, как приложения в Linux могут использовать систему Подключаемых Модулей Безопасности (Pluggable Authentication Modules) для прозрачной аутентификации пользователей. Мы немного покопаемся в истории развития механизмов аутентификации в Linux, разберемся с системой настроек PAM и разберем исходный код модуля аутентификации pam_p11, который позволяет проводить аутентификацию пользователей по смарт-картам.
В конце статьи мы рассмотрим на практике настройку и работу модуля аутентификации в сертифицированном по 3 классу защищенности СВТ и 2 уровню контроля отсутствия недекларированных возможностей дистрибутиве Astra Linux для аутентификации по USB-токенам Рутокен ЭЦП и Рутокен S. Учитывая то, что Рутокен S имеет сертификаты ФСТЭК по НДВ 3, а Рутокен ЭЦП по НДВ 4, это решение может применяться в информационных системах, обрабатывающих конфиденциальную информацию, вплоть до информации с грифом «С».
Читать полностью »
Работа с SSL/TLS в СУБД Caché
2012-05-25 в 14:27, admin, рубрики: .net, Apache, cache, intersystems cache, java, odbc, openssl, SSL, web-разработка, Блог компании InterSystems, Веб-разработка, информационная безопасность, субд Caché, метки: .net, apache, cache, InterSystems cache, java, odbc, openssl, SSL, web-разработка, субд Caché 
В данной статье будут рассмотрены лишь некоторые примеры установки безопасного соединения c СУБД Caché на основе SSL, а именно:
- настройка и включение SSL на стороне СУБД Caché;
- настройка SSL в Apache, встроенном в СУБД Caché;
- чтение данных из клиентского сертификата в веб-приложениях CSP/ZEN;
- подключение из .NET, используя SSL;
- подключение из .Java, используя SSL;
- настройка SSL в CSP-Шлюзе для установки безопасного соединения между веб-сервером и СУБД Caché;
- настройка SSL в ODBC.
Примечание: Другие примеры использования SSL совместно с СУБД Caché — зеркалирование, Telnet, TCP/IP (сокеты), веб-сервисы, Caché Studio и т.д. — вы можете найти в документации или техподдержке.
Для начала давайте сгенерируем собственно сами сертификаты: корневой (CA:Certificate Authority), серверный и клиентский.
Читать полностью »
Использование возможностей CPU в PHP для ускорения производительности
2012-04-25 в 19:18, admin, рубрики: c plus plus, c++, mcrypt, openssl, php, Веб-разработка, метки: c plus plus, mcrypt, openssl, PHPПри построении крупных PHP-проектов многие сталкивались с нехваткой производительности, даже на мощных серверах. Даже небольшой участок кода может ощутимо повлиять на весь ресурс в целом: в плане прибыли, и в плане затрат на поддержку и обслуживание данного ресурса.
У нашей кампании был проект, построенный на Drupal, которому не хватало производительности под нагрузкой примерно в «25K Daily Page Views».
На протяжении года, мы постоянно добавляли новый функционал: писали больше кода, создавали больше модулей, модули из модулей, больше таблиц с миллионами записями, которые участвовали в перекрестной выборке. Проект рос с большой скоростью. Состав разработчиков не раз менялся, а это хоть и несущественно, но, все же, отрицательно сказывалось на проекте, что также добавляло лишних проблем. В общем, достаточно большой проект, как это бывает у крупных кампаний.
Уже когда все написано, работает, и продолжает дальше разрабатываться, и ни времени, ни бюджета переделывать что-либо – дабы улучшить производительность – нет, а двигаться нужно только вперед, причем как можно быстрее, я получаю очередное задание. Сначала я посмотрел на него как на обычный тикет: вся личная информация пользователя: фамилия, адрес, телефон, идентификационный код – должна храниться в базе в зашифрованном виде, и быть доступна только при запросе с ключами для расшифровки. Так как это мой первый серьезный опыт, связанный с шифрованием данных, я начал искать в гугле возможные пути решения задачи средствами PHP, и, естественно, наткнулся на всем известную библиотеку mcrypt. Не нужно особо много времени, чтобы разобраться, как с ней работать. Библиотека работала – на форумах можно найти много примеров, комментариев, обсуждений. Она показалась мне идеальным вариантом для решения моей задачи, особенно учитывая, что времени было совсем немного.
Читать полностью »
Использование дополнительных инструкций CPU в PHP для ускорения производительности
2012-04-25 в 19:18, admin, рубрики: c plus plus, c++, mcrypt, openssl, php, Веб-разработка, метки: c plus plus, mcrypt, openssl, PHPПри построении крупных PHP-проектов многие сталкивались с нехваткой производительности, даже на мощных серверах. Даже небольшой участок кода может ощутимо повлиять на весь ресурс в целом: в плане прибыли, и в плане затрат на поддержку и обслуживание данного ресурса.
У нашей кампании был проект, построенный на Drupal, которому не хватало производительности под нагрузкой примерно в «25K Daily Page Views».
На протяжении года, мы постоянно добавляли новый функционал: писали больше кода, создавали больше модулей, модули из модулей, больше таблиц с миллионами записями, которые участвовали в перекрестной выборке. Проект рос с большой скоростью. Состав разработчиков не раз менялся, а это хоть и несущественно, но, все же, отрицательно сказывалось на проекте, что также добавляло лишних проблем. В общем, достаточно большой проект, как это бывает у крупных кампаний.
Уже когда все написано, работает, и продолжает дальше разрабатываться, и ни времени, ни бюджета переделывать что-либо – дабы улучшить производительность – нет, а двигаться нужно только вперед, причем как можно быстрее, я получаю очередное задание. Сначала я посмотрел на него как на обычный тикет: вся личная информация пользователя: фамилия, адрес, телефон, идентификационный код – должна храниться в базе в зашифрованном виде, и быть доступна только при запросе с ключами для расшифровки. Так как это мой первый серьезный опыт, связанный с шифрованием данных, я начал искать в гугле возможные пути решения задачи средствами PHP, и, естественно, наткнулся на всем известную библиотеку mcrypt. Не нужно особо много времени, чтобы разобраться, как с ней работать. Библиотека работала – на форумах можно найти много примеров, комментариев, обсуждений. Она показалась мне идеальным вариантом для решения моей задачи, особенно учитывая, что времени было совсем немного.
Читать полностью »
ЭЦП в браузере: проблемы, решения, личный опыт
2012-04-23 в 10:56, admin, рубрики: crypto, java, openssl, stunnel, web-разработка, гост, информационная безопасность, криптография, Песочница, плагины, электронная подпись, эцп, метки: crypto, java, openssl, stunnel, web-разработка, гост, информационная безопасность, криптография, плагины, электронная подпись, эцп 
Те, кто хоть раз сталкивался с необходимостью реализовать электронную цифровую подпись в браузере, хорошо знают, какая это головная боль для разработчика, и особенно для веб-разработчика, который успел привыкнуть к открытым стандартам, правилу, что его ПО одинаково хорошо работает во всех браузерах и ему все равно, какая ось стоит у пользователя, ну и прочим прелестям веба.
На самом деле сегодня ситуация с ЭЦП в браузере все же не так печальна как еще несколько лет назад, но она все же далека от идеала. Тема эта также несколько раз поднималась на хабре, например, здесь и здесь.
Под катом рассказ о самой проблеме, о том, как эту проблему можно решить, о том, как я ее решал, а также личные впечатления о том, как обстоят дела с ЭЦП в Беларуси.
Читать полностью »
OpenSSL: архитектура, приложения, ГОСТы, USB-токены
2012-04-20 в 14:00, admin, рубрики: cms, openssl, pkcs10, pkcs7, SSL, TLS, информационная безопасность, рутокен, рутокен эцп, эцп, метки: cms, openssl, pkcs10, pkcs7, SSL, TLS, гост, рутокен, рутокен эцп, эцп 
OpenSSL — мощный и современный криптографический пакет с открытым исходным кодом. В пакете реализованы различные криптографические алгоритмы, форматы и протоколы, что позволяет использовать OpenSSL для широкого круга прикладных задач.
OpenSSL является основным криптопровайдером — «поставщиком» криптографических функций — для приложений Open Source. VPN, электронная подпись, HTTPS, Удостоверяющий центр, защищенная почта и многое другое реализовано на базе OpenSSL и его приложений.
Архитектура OpenSSL позволяет расширять его возможности с помощью написания специальных библиотек — ENGINE. Именно таким способом в OpenSSL была добавлена поддержка российских криптографических алгоритмов ГОСТ, подключены USB-токены с аппаратной реализацией криптоалгоритмов.
Обзор возможностей и архитектуры OpenSSL, поддержки в нем ГОСТов и токенов под катом.
Блог компании Компания «Актив» / Рутокен ЭЦП и Open Source
2012-03-01 в 9:40, admin, рубрики: cryptonit, linux, mozilla, open source, openssl, openvpn, pam, putty, rdesktop, rsa, vpn, рутокен, рутокен эцп, эцп 
Мне нравится современный Open Source. Нравится не как идея, а с вполне прагматической точки зрения. Фактом является то, что компания любого масштаба может использовать Open Source приложения в своей информационной системе и получить в результате кроссплатформенные, удобные и бесплатные решения практически любых проблем.
Мы прилагаем много усилий, чтобы «подружить» Рутокен ЭЦП и различные приложения Open Source. Для этой цели мы добавили поддержку российских криптоалгоритмов (ГОСТ 28147-89, ГОСТ Р 34-11.94 и ГОСТ Р 34-10.2001) и устройств Рутокен и Рутокен ЭЦП в проект OpenSC, а также разработали свою собственнуюЧитать полностью »
Информационная безопасность / Практическое применение DNSSEC
2012-02-21 в 16:18, admin, рубрики: BIND, DNS, DNSSEC, HTTPS, openssl, rsa, TLS, X.509, метки: BIND, dns, DNSSEC, HTTPS, openssl, rsa, TLS, X.509 
В статье описываются недостатки существующей структуры DNS, полный процесс внедрения DNSSEC на примере доменов .com и .org, процедура создания валидного самоподписанного ssl-сертификата подписанного с помощью DNSSEC.
Чем плох DNS
Система DNS в нынешнем виде была разработана более 20 лет назад, когда о защите информации не особенно задумывались. Она имеет несколько фундаментальных уязвимостей.
Достоверность ответа DNS-сервера никак не проверяется Это позволяет отправить пользователя, обратившегося к доменному имени, на произвольный IP-адрес,Читать полностью »
Информационная безопасность / Защита RDP по ГОСТ с помощью Рутокен ЭЦП. Двухуровневый TLS
2012-02-20 в 10:05, admin, рубрики: openssl, pkcs11, rdp, remote desktop, SSL, stunnel, TLS, гост, рутокен, рутокен эцп, метки: openssl, pkcs11, rdp, remote desktop, SSL, stunnel, TLS, гост, рутокен, рутокен эцп
Протокол RDP является протоколом прикладного уровня и поэтому для его защиты идеально подходит TLS, который работает над транспортным уровнем.
В данном топике с помощью open source приложений OpenSSL и sTunnel мы защитим RDP-соединения по протоколу TLS c поддержкой российских шифрсьютов (GOST2001-GOST89-GOST89), клиентская аутентификация по ГОСТ-вым сертификатам будет проводиться аппаратно на борту USB-токена Рутокен ЭЦП с выработкой ключа согласования по схеме VKO GOST 34-10.2001. При этом ключ аутентификации является неизвлекаемым и его невозможно украсть. Так же Рутокен ЭЦП будет использоваться в качестве аппаратного ДСЧ.
Для случая аутентификацииЧитать полностью »