[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [openssl-gost] PKI + ГОСТ

В Tue, 7 Mar 2023 17:11:05 +0300
Александр Поволоцкий <tarkhil@over.ru> пишет:

> Добрый вечер!
> 
> Вот встала передо мной задача - PKI на ГОСТовских алгоритмах.
> 
> Эту задачу можно решить с существующим OpenSSL (если да, то какой 
> версии?), или нужно допиливать, или проще свое сделать?
> 

Можно. Любой версии, в которой есть ГОСТ-овская engine. Хоть открытая,
хоть чья-нибудь проприетарная (их штуки три я знал десять лет назад, с
тех пор может еще какие появились).

Там есть ряд несколько необычных расширений сертификата, которые надо
не забывать прописывать для соответсвия стандартам, но возможности
openssl описанных в man x509v3_config для этого вполне хватает.

По моему опыту openssl ca, которая хранит базу сертификатов в файловой
системе, а индекс - в текстовом файле, способна на более-менее
современных машинах потянуть ну как минимум десятки тысяч сертификатов 
(более 65536 у нас точно скапливалось в ходе автатизированных тестов,
serial-ы которые не влезали в два байта точно были).


-- 
                                   Victor Wagner <vitus@wagner.pp.ru>