Андрей

Обычно Диффи-Хеллман как раз и генерирует сессионный ключ, на котором будет зашифровано сообщение каким-нибудь блочным шифром, например, ГОСТ 2015.

Но если Вам принципиально, чтобы программа сначала сгенерировала случайный ключ и провела шифрование блочным алгоритмом, а только потом провела обмен по Диффи-Хеллману, то такое тоже возможно, хотя и несколько избыточно:
1) согласуйте по Диффи-Хеллману обычным порядком сессионный ключ;
2) зашифруйте этим ключ Ваш ключ блочного шифрования и отправьте по каналу абоненту Б.

P.S. А они точно "оппоненты" а не "абоненты" ?

Официально - быть юр.лицом - лицензиатом ФСБ (ГТ) или ФСТЭК (ТЗКИ) и иметь основание для запроса.

Вот такой вариант Вам не подойдет ?
www.cryptopro.ru/forum2/default.aspx?g=posts&t=1721

(На всякий случай) - с этой подсистемой ГОСТов Вы знакомы ?
ru.wikipedia.org/wiki/%D0%95%D0%B4%D0%B8%D0%BD%D0%...

Не являясь Python-программистом все таки предположу, что нужно явно указать SSL-модулю, какой криптопровайдер (а именно - КриптоПроCSP) следует использовать при попытке установить соединение.

Беглый взгляд в Google выдает вот такие шаблоны :

context = ssl.SSLContext(ssl.PROTOCOL_TLSv1)
дальше
context.set_ciphers(указать ГОСТ) либо что менее вероятно context.load_cert_chain(указать свой приватный ключ)
а затем
h = client.HTTPSConnection('aaa.ru', 443, context=context)