Как TLS соединенить с ГОСТ?

Question

[mish1703]

Занимаюсь созданием TLS соединения к сайту госзакупки на java используя библиотеку bouncy castle. С помощью провайдера BCJSSE создаю SSL context. Но в списке поддерживаемых шифр-сюитов нет гостовских. Есть ли возможность добавить например TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC в список поддерживаемых.

Comments

[shurshur]

Самое простое решение - поставить по дороге прокси, который сделает всё что надо. Например, форк stunnel от КриптоПро.

[Сергей Горностаев]

Тут ещё вопрос, а можно ли вашему приложению использовать bouncy castle. Нам органы прям запретили применять не сертифицированные ФСТЭК средства шифрования при операциях с ними. Понятно, что аудит кодовой базы для большинства проектов маловероятен, но вменяемое руководство всё равно предпочтёт купить лицензию КриптоПро и избавиться от этого риска.

[mish1703]

Я тоже понимаю, что КриптоПро это единственный выход, или прокси. Но это же просто TLS, на них тоже должны распространяться сертифицированные ФСТЭК средства шифрования?

[AKimovd]

Мы делаем сначала tls, потом оборачиваем это все в гост. Так меньше заморочек.
Это позволило не переписывать существующие приложения.