> Я на прямую не занимаюсь информационной безопасностью, из-за чего, честно сказать,
> не понимаю, почему не найдётся ни одной "конторы", которая взялась бы за попытки
> добиться сертификации конкретной версии OpenSSL.OpenSSL как таковой не является законченным криптосредством, которое имело
бы смысл сертифицировать. Для набора данного библиотек можно максимум
чего "насертифицировать" - это отсутствие незадекларированных возможностей
и достаточный уровень стойкости алгоритмов ЭЦП и шифрования. Причем
действует ряд "отягощающих факторов":
1. Сертифицироваться придётся отдельно для каждого системного окружения
и набора настроек сборки. Переносимость библиотеки не означает переносимости
сертификатов :)
2. Из всего обилия вариантов применения столь мощной библиотеки, как
OpenSSL, сертифицировать можно лишь некое подмножество, базирующееся
на разрешенных к применению алгоритмов. Весь прочий функционал будет
"мешаться", и не исключено даже, что конкретный орган сертификации
потребует удаления из библиотеки всего неиспользуемого в сертифицируемой
версии функционала.
3. Для обеспечения соответствия рекомендациям некоторых регулирующих
органов может потребоваться дополнительно "плясать с бубном". Например,
сейчас действует требование, что в продуктах начиная с некоего класса
защищённости одним ключем нельзя шифровать последовательность длиной
более 1 килобайта.
4. В большой и сложной библиотеке крайне сложно (сиречь дорого) проверить
отсутствие недекларированных возможностей.
Существующие игроки на российском рынке криптосредств необходимую алгоритмику
уже написали, им OpenSSL не нужен.
> В любом случае, лично мне видится вполне конкретная польза от добавления поддержки
> ГОСТов. Не только как шанс всё-таки перейти на удовлетворимую реализацию
> советских/русских алгоритмов шифрования, но и как просто возможность использовать
> при желании весьма криптостойкие алгоритмы.
Тут уже главный вопрос - вам ехать или шашечки. Для юридической значимости применения
средств защиты информации нужно пользоваться сертифицированными средствами, строго
соблюдая условия, при которых действует сертификация. Если кому-то кажется, что
уровень защиты сертифицированного криптосредства недостаточен, то этот "кто-то" может
вполне легально использовать любые дополнительные средства и методы кодирования
информации "поверх" сертифицированного средства, но позиционировать эти дополнительные
средства и методы как СЗИ - нельзя.