Взаимодействие с OpenSSL

konev nginx-forum at nginx.us
Wed Apr 22 12:21:14 UTC 2015


Добрый день.

При реализации проекта заказчик попросил ответить на следующие вопросы
относительно взаимодействия Nginx c сертифицированной ФСБ версией OpenSSL
(обычная openSSL только с бумажкой от ФСБ):
1. Выполнение рекомендаций, изложенных в руководстве программиста
соответствующего СКЗИ, т.е. используется ли при взаимодействии с openSSL
только документированное высокоуровневое API?
2. Осуществляется ли очистка памяти после выполнения криптографических
операций (удаление из памяти ключевой информации, контекстов хэша,
криптопровайдера и т.д.)?
3. Правильно ли производится обработка Nginx ошибочных ситуаций при
взаимодействии с СКЗИ? 
4. Осуществляются ли следующие проверки перед выполнением криптографической
операции: 
- сроков действия используемых сертификатов, списка отозванных
сертификатов;
- отсутствия используемых сертификатов в списке отозванных сертификатов;
- соответствия используемых сертификатов области применения (должна быть
исключена возможность использования сертификата, предназначенного только для
шифрования, при формировании ЭП);
- правильности построения цепочки используемых сертификатов, списка
отозванных сертификатов (если цепочка заключается в связке «сертификат –
корневой сертификат», «СОС - корневой сертификат», то проверка цепочки
заключается в проверке подписи сертификата, СОС на корневом сертификате).

Можете, пожалуйста, что-то подсказать?

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,258298,258298#msg-258298



Подробная информация о списке рассылки nginx-ru