GnuPG-GOST: различия между версиями

Материал из ALT Linux Wiki
(+ Порядок настройки и работы)
(→‎Порядок настройки и работы: Подготовительный этап)
Строка 24: Строка 24:


== Порядок настройки и работы ==
== Порядок настройки и работы ==
=== Подготовительный этап ===


Прежде всего необходимо настроить {{prg|gnupg-pkcs11-scd}} следуя странице руководства {{term|gnupg-pkcs11-scd(1)}}. В частности, в конфигурации агента ({{path|~/.gnupg/gpg-agent.conf}}) его нужно обозначить как демон смарт-карт ({{term|scdaemon-program}}).
Прежде всего необходимо настроить {{prg|gnupg-pkcs11-scd}} следуя странице руководства {{term|gnupg-pkcs11-scd(1)}}. В частности, в конфигурации агента ({{path|~/.gnupg/gpg-agent.conf}}) его нужно обозначить как демон смарт-карт ({{term|scdaemon-program}}).


Если на токене (смарт-карте) отсутствуют ключи, нужно создать их. Если планируется использование совместно с {{prg|gpgsm}}, то необходимо создать и пользовательский сертификат.
Далее, следуя той же странице руководства, нужно импортировать ключи в GnuPG. Для собственно {{prg|gpg}} это делается несколько нетривиальным способом, в два подхода: сперва {{prg|gnupg-pkcs11-scd}} напрямую даётся команда {{term|LEARN}}, а затем номер (отпечаток) «выученного» таким образом ключа используется в экспертном режиме генерации ключа в {{prg|gpg}}.
В случае использования {{prg|gpgsm}} процедура импорта выполняется штатно. Однако, для успешной проверки сертификатов, подписанных отечественными УЦ может понадобиться использовать новую спецнастройку в файле {{path|~/.gnupg/dirmngr_issuers.conf}}. Например:
<code>(issuer "CN=УЦ ФГУП \\\"ГРЧЦ\\\"" single-crl)</code>.


[[Категория:Криптография]]
[[Категория:Криптография]]

Версия от 14:42, 5 октября 2018

Добавление поддержки ГОСТ в GnuPG

Добавление поддержки ГОСТ в GnuPG ведётся с целью предоставить пользователям возможность использовать алгоритмы шифрования и цифровой подписи ГОСТ в широком спектре пользовательских программ уже работающих с GnuPG, среди которых видное место занимает интеграция шифрования и подписи в менеджеры файлов (например, Kleopatra в KDE) и программы для чтения и отправки электронной почты (например, Enigmail для Thunderbird).

В настоящее время все изменения производятся прежде всего с целью обеспечить работу на базе аппаратных токенов и смарт-карт с поддержкой ГОСТ, совместимых с PKCS#11.

Состав изменений

Описание изменения Затронутые программы и модули
Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата OpenPGP gpg
Специфика ГОСТ при распаковке, упаковке и разборе сообщений формата S/MIME gpgsm, libksba
Реализация алгоритма вычисления общего ключа (ВКО) libgcrypt, libpkcs11-helper
Специфика ГОСТ при разборе информации о ключах на токене и их передачи GnuPG gnupg-pkcs11-scd
Дополнительные опции настройки обработки информации о списках отзыва сертификатов dirmngr

Как только изменения окажутся в Сизифе, здесь будут указаны ссылки на соответствующие патчи.

Порядок настройки и работы

Подготовительный этап

Прежде всего необходимо настроить gnupg-pkcs11-scd следуя странице руководства gnupg-pkcs11-scd(1). В частности, в конфигурации агента (~/.gnupg/gpg-agent.conf) его нужно обозначить как демон смарт-карт (scdaemon-program).

Если на токене (смарт-карте) отсутствуют ключи, нужно создать их. Если планируется использование совместно с gpgsm, то необходимо создать и пользовательский сертификат.

Далее, следуя той же странице руководства, нужно импортировать ключи в GnuPG. Для собственно gpg это делается несколько нетривиальным способом, в два подхода: сперва gnupg-pkcs11-scd напрямую даётся команда LEARN, а затем номер (отпечаток) «выученного» таким образом ключа используется в экспертном режиме генерации ключа в gpg.

В случае использования gpgsm процедура импорта выполняется штатно. Однако, для успешной проверки сертификатов, подписанных отечественными УЦ может понадобиться использовать новую спецнастройку в файле ~/.gnupg/dirmngr_issuers.conf. Например: (issuer "CN=УЦ ФГУП \\\"ГРЧЦ\\\"" single-crl).