Не получается включить GOST ENGINE в openssl (3.6.0).

[kaperusov]

Приветствую.

Подскажите, почему у меня не получается включить движок в openssl (3.6.0).

root@a95203518eec:/usr/local/src# openssl version -a
OpenSSL 3.6.0 1 Oct 2025 (Library: OpenSSL 3.6.0 1 Oct 2025)
built on: Mon Oct 20 13:19:05 2025 UTC
platform: linux-x86_64
options:  bn(64,64)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_BUILDING_OPENSSL -DNDEBUG
OPENSSLDIR: "/usr/local/ssl"
ENGINESDIR: "/usr/local/lib64/engines-3"
MODULESDIR: "/usr/local/lib64/ossl-modules"
Seeding source: os-specific
CPUINFO: OPENSSL_ia32cap=0x7ffaf3ffffebffff:0x40000000029c6fbf:0x00000000bc000e00:0x0000000000000000:0x0000000000000000

Выполняю сборку engine из тега 3.0.3:

export OPENSSL_ROOT_DIR="/usr/local"
export OPENSSL_ENGINES_DIR="${OPENSSL_ROOT_DIR}/lib64/engines-3"
export GOST_ENGINE_VERSION=3.0.3
git clone --branch v${GOST_ENGINE_VERSION} --single-branch https://github.com/gost-engine/engine.git \
  && cd engine \
  && git submodule update --init \
  && mkdir build \
  && cd build \
  && cmake \
        -DCMAKE_BUILD_TYPE=Release \
        -DOPENSSL_ROOT_DIR=${OPENSSL_ROOT_DIR} \
        -DOPENSSL_LIBRARIES=${OPENSSL_ROOT_DIR}/lib64 \
        -DOPENSSL_ENGINES_DIR=${OPENSSL_ENGINES_DIR} \
        .. \
  && cmake --build . --target install --config Release \
  && cd bin \
  && cp gostsum gost12sum /usr/local/bin

По примеру из файла https://github.com/gost-engine/engine/blob/master/example.conf
добавил конфигурацию в /etc/ssl/openssl.cnf:

root@a95203518eec:/usr/local/src# tail -n 15 /etc/ssl/openssl.cnf

# OpenSSL default section
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

# Engine section
[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = /usr/local/lib64/engines-3/gost.so
default_algorithms = ALL

С виду, всё хорошо:

root@a95203518eec:/usr/local/src#
root@a95203518eec:/usr/local/src# ls -l /usr/local/lib64/engines-3/gost.so
-rw-r--r-- 1 root root 848888 Oct 20 13:33 /usr/local/lib64/engines-3/gost.so
root@a95203518eec:/usr/local/src#
root@a95203518eec:/usr/local/src# ldd /usr/local/lib64/engines-3/gost.so
        linux-vdso.so.1 (0x00007ffeffea7000)
        libcrypto.so.3 => /usr/local/lib64/libcrypto.so.3 (0x00007f85ad856000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f85ad660000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f85adf51000)
root@a95203518eec:/usr/local/src#
root@a95203518eec:/usr/local/src# openssl engine -vvvv -t gost
(gost) Reference implementation of GOST engine
     [ available ]
     CRYPT_PARAMS: OID of default GOST 28147-89 parameters
          (input flags): STRING
     PBE_PARAMS: Shortname of default digest alg for PBE
          (input flags): STRING
     GOST_PK_FORMAT: Private key format params
          (input flags): STRING

Тем ни менее, в списке шифров openssl, я не вижу ни одного GOST алгоритма.

root@a95203518eec:/usr/local/src# openssl ciphers | tr ':' '\n' | grep -i gost

Когда-то я уже делал подобным образом сборку движка под openssl 1.1.1g и там, вроде бы, этих действий хватало,
чтобы всё работало.

Дополнительная информация:

root@a95203518eec:/usr/local/src# cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 13 (trixie)"
NAME="Debian GNU/Linux"
VERSION_ID="13"
VERSION="13 (trixie)"
VERSION_CODENAME=trixie
DEBIAN_VERSION_FULL=13.1
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"
root@a95203518eec:/usr/local/src# uname -a
Linux a95203518eec 6.1.0-40-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.153-1 (2025-09-20) x86_64 GNU/Linux

openssl, я также собирал из исходников. Может там чего нужно было указать? Делал всё по-простому: ./Configure && make -j$(nproc) all && make install.

[chipitsine]

из простого, что приходит в голову, при сборке из исходников, openssl.cnf ожидается где-то в /usr/local (если не задать при сборке). вы точно в том openssl.cnf, который читается пакетом, добавили секцию ?

как будто бы openssl engine говорит, что в правильном

[kaperusov]

Хорошая идея, но увы.

Поискал какие у меня там ещё конфиги есть и обнаружил целый арсенал на все случаи жизни:

># find / -name openssl.cnf
/etc/ssl/openssl.cnf
/usr/lib/ssl/openssl.cnf
/usr/local/src/openssl/apps/openssl.cnf
/usr/local/ssl/openssl.cnf

В оригинале все эти файлы одинаковые, как 33 богатыря, надежду на моё спасение внушал /usr/local/ssl/openssl.cnf (это если смотреть на OPENSSLDIR: "/usr/local/ssl" из вывода openssl version -a), но по итогу, я их все отредактировал последовательно, а результат всё тот же... :-(

Вообще, я это всё в докере пытаюсь собрать, поэтому могу поделиться полным Dockerfile для воспроизведения, если что.

[kaperusov]

Dockerfile

FROM debian:trixie

RUN apt-get update \
  && apt-get install build-essential wget git make cmake \
    unzip gcc libssl3 -y

WORKDIR /usr/local/src

# Build openssl
ARG OPENSSL_VERSION="openssl-3.6.0"
RUN git clone --branch "${OPENSSL_VERSION}" --single-branch https://github.com/openssl/openssl.git \
  && cd openssl \
  && git submodule update --init \
  && ./Configure \
  && make -j$(nproc) all \
  && make test \
  && make install \ 
  && ldconfig /usr/local/lib64/


ARG OPENSSL_ROOT_DIR="/usr/local"
ARG OPENSSL_ENGINES_DIR="${OPENSSL_ROOT_DIR}/lib64/engines-3"

# Build GOST-engine for OpenSSL
ARG GOST_ENGINE_VERSION=3.0.3
RUN git clone --branch v${GOST_ENGINE_VERSION} --single-branch https://github.com/gost-engine/engine.git \
  && cd engine \
  && git submodule update --init \
  && mkdir build \
  && cd build \
  && cmake -DCMAKE_BUILD_TYPE=Release \
      -DOPENSSL_ROOT_DIR=${OPENSSL_ROOT_DIR} \
      -DOPENSSL_LIBRARIES=${OPENSSL_ROOT_DIR}/lib64 \
      -DOPENSSL_ENGINES_DIR=${OPENSSL_ENGINES_DIR} \
      .. \
  && cmake --build . --target install --config Release \
  && cd bin \
  && cp gostsum gost12sum /usr/local/bin \
  && cd .. \
  && rm -rf "/usr/local/src/engine"


# Enable engine (from https://github.com/gost-engine/engine/blob/master/example.conf)
RUN cat <<EOF >> /etc/ssl/openssl.cnf

# OpenSSL default section
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

# Engine section
[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = ${OPENSSL_ENGINES_DIR}/gost.so
default_algorithms = ALL
EOF

CMD ["bash"]

Build and run

docker build -t openssl-engine-3 .
docker run --rm -it openssl-engine-3 bash -c "openssl ciphers | grep -i 'GOST' && echo :\) || echo :\("

[chipitsine]

я навряд ли скоро доберусь. из простого, что приходит на ум - попробовать разные аерсии openssl. это может натолкнуть либо на какое-то изменение в openssl, либо вопросы к процессу сборки

[kaperusov]

Вроде бы разобрался.

Несколько моментов.

1. Чтобы собрать openssl из исходников, я использую git, которому для работы нужен openssl :)
   В своём docker образе я делаю установку git и он тянет по зависимости, openssl 3.5.1. В итоге у меня получается некоторая каша: в системе работают обе версии, одна в /usr/bin/openssl (из deb пакета), вторая /usr/local/bin/openssl (новая). При этом конфиги смешиваются и /usr/bin/openssl version -d говорит, что ещё дом в /usr/local/ssl (врёт, в оригинале он в /usr/lib/ssl или в /etc/ssl).

Но в общем и целом, это не так уж и страшно. В итоге обе версии остаются рабочими, в PATH первым идёт /usr/local/bin, поэтому 3.6.0 версия работает по умолчанию.

2. Но из первого пункта, становится понятно, что путь /etc/ssl/openssl.cnf неправильный. 3.6.0 читает файл /usr/local/ssl/openssl.cnf .

3. Последнее, но самое важное! Я не правильно cnf файл редактировал. Я то просто дописывал в конец всё содержимое из example.conf. Но нужно, чтобы строка

openssl_conf = openssl_def

находилась в секции [default], а если дописывать в конец, то она оказывается в секции

[rr]
# Certificate revocation
... 

Всё логично, но сходу не очевидно. В итоге, я просто создал отдельный файл /usr/local/ssl/gost.conf и через .include включил его в общим конфиг.

В итоге всё работает!

root@4671f6dcf613:/usr/local/src# openssl version    
OpenSSL 3.6.0 1 Oct 2025 (Library: OpenSSL 3.6.0 1 Oct 2025)
root@4671f6dcf613:/usr/local/src# openssl ciphers | tr ':' '\n' | grep -i gost 
GOST2012-MAGMA-MAGMAOMAC
GOST2012-KUZNYECHIK-KUZNYECHIKOMAC
LEGACY-GOST2012-GOST8912-GOST8912
IANA-GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89
root@4671f6dcf613:/usr/local/src# 

[AlexSabur]

Привет, у меня в моем Dockerfile получилось решить проблему не добавляя openssl_conf = openssl_def, а выполнив замену openssl_conf = openssl_init на openssl_conf = openssl_def

# Собираем GOST provider для OpenSSL 3
# Источник: https://github.com/gost-engine/engine
# Используем совместимую версию для OpenSSL 3.x
ARG OPENSSL_ROOT_DIR="/usr/local"
ARG OPENSSL_ENGINES_DIR="${OPENSSL_ROOT_DIR}/lib64/engines-3"

# Build GOST-engine for OpenSSL
ARG GOST_ENGINE_VERSION=3.0.3
RUN git clone --branch v${GOST_ENGINE_VERSION} --single-branch https://github.com/gost-engine/engine.git \
  && cd engine \
  && git submodule update --init \
  && mkdir build \
  && cd build \
  && cmake -DCMAKE_BUILD_TYPE=Release \
      -DOPENSSL_ROOT_DIR=${OPENSSL_ROOT_DIR} \
      -DOPENSSL_LIBRARIES=${OPENSSL_ROOT_DIR}/lib64 \
      -DOPENSSL_ENGINES_DIR=${OPENSSL_ENGINES_DIR} \
      .. \
  && cmake --build . --config Release \
  && cmake --build . --target install --config Release \
  && cd bin \
  && cp gostsum gost12sum /usr/local/bin \
  && cd .. \
  && rm -rf "/usr/local/src/engine"

RUN cat <<EOF >> /etc/ssl/openssl.cnf
[openssl_def]
engines = engine_section

# Engine section
[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = ${OPENSSL_ENGINES_DIR}/gost.so
default_algorithms = ALL
EOF

# replace openssl_conf = openssl_init to openssl_conf = openssl_def
RUN sed -i 's/^\(openssl_conf = \).*/\1openssl_def/' /etc/ssl/openssl.cnf

[kaperusov]

Да, я тоже думал, что можно заменить, но не уверен, что это правильно. Секция openssl_init выглядит довольно важной. Но это к вопрос к знатокам.

Мой финальный вариант Dockerfile:

# FROM debian:stretch-slim
FROM debian:trixie

RUN apt-get update && apt-get install -y \
    build-essential \
    git \
    make \
    cmake \
    gcc \
    && apt-get clean \
    && rm -rf /var/lib/apt/lists/* 

WORKDIR /usr/local/src

# Build openssl
ARG OPENSSL_VERSION="openssl-3.6.0"
RUN git clone --branch "${OPENSSL_VERSION}" --single-branch https://github.com/openssl/openssl.git \
  && cd openssl \
  && ./Configure --prefix="/usr/local" shared \
  && make -j$(nproc) all \
  && make install \ 
  && echo "/usr/local/lib64" | tee /etc/ld.so.conf.d/local-lib64.conf \
  && ldconfig \
  && rm -rf "/usr/local/src/openssl"

ARG OPENSSL_ROOT_DIR="/usr/local"
ARG OPENSSL_ENGINES_DIR="${OPENSSL_ROOT_DIR}/lib64/engines-3"

# # Build GOST-engine for OpenSSL
ARG GOST_ENGINE_VERSION=3.0.3
RUN git clone --branch "v${GOST_ENGINE_VERSION}" --single-branch https://github.com/gost-engine/engine.git \
  && cd engine \
  && git submodule update --init \
  && mkdir build \
  && cd build \
  && cmake \
      -DOPENSSL_ENGINES_DIR=${OPENSSL_ENGINES_DIR} \
      -DCMAKE_BUILD_TYPE=Release .. \
  && cmake --build . --target install --config Release \
  && cd bin \
  && cp gostsum gost12sum /usr/local/bin \
  && cd .. \
  && rm -rf "/usr/local/src/engine"


# Enable engine (from https://github.com/gost-engine/engine/blob/master/example.conf)
COPY <<-EOF /usr/local/ssl/gost.conf

# OpenSSL default section
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

# Engine section
[engine_section]
gost = gost_section

[gost_section]
engine_id = gost
dynamic_path = ${OPENSSL_ENGINES_DIR}/gost.so
default_algorithms = ALL
EOF

RUN sed -i '10i .include /usr/local/ssl/gost.conf' /usr/local/ssl/openssl.cnf 

[chipitsine]

господа, а аы не хотите законтрибутить докерфайл. есть в этом какой-то смысл?

[kaperusov]

Раз пошла такая пьянка, то, пожалуйста:
#487

Ещё маленькое замечание, пока я там ковырялся.
В файле INSTALL.md описывается включение движка:

And section which describes configuration of the engine should contain

    [gost_section]
    engine_id = gost
    dynamic_path = /usr/lib/ssl/engines/libgost.so <<<---- мне кажется, здесь ошибка 
    default_algorithms = ALL

В том же example.conf в качестве примера указана библиотека gost.so, а при сборке libgost.so тоже строится, но лежит в другом месте:

># find / -name '*gost.so'
/usr/lib/x86_64-linux-gnu/engines-3/gost.so
/usr/local/lib/libgost.so

Это может вызывать путаницу.

[chipitsine]

там не ошибка. путь до engines конфигурируется. но, наверное что-то стоит сделать с этим примером, если он вас сбил с толку

[kaperusov]

Ну, похоже, не только меня с толку это сбило:
#461

Ладно. Что делать с примером - вам решать. Я думаю этот ишью можно закрыть.
Спасибо за советы и принятый PR.