Установка и использование платформы

Общая настройка платформы: настройка криптографии

Тип и параметры используемого в блокчейне криптографического алгоритма задаются в разделе crypto конфигурационного файла ноды. Раздел crypto считывается для инициализации криптографии, которая происходит до чтения полного конфигурационного файла ноды.

crypto {
  # Possible values: [WAVES, GOST]
  type = WAVES
  pki {
     # Possible values: [OFF, ON, TEST]
     # Could be enabled with GOST crypto type only
     mode = OFF
     required-oids = []
     crl-checks-enabled = false
  }
}
  • type – тип криптографии; доступны значения WAVES для использования алгоритмов криптографии Waves и GOST для использования алгоритмов ГОСТ криптографии с PKI.

Если в конфигурационном файле присутствует параметр waves-crypto, и он имеет значение yes, то параметру type присваивается значение WAVES; если параметр waves-crypto имеет значение no, то параметру type присваивается значение GOST;

  • pki – группа полей настройки PKI:

    • mode – допустимые значения: on, off, test; значения on и test допустимы только в случае, если параметр waves-crypto отсутствует или имеет значение no, а параметр type имеет значение GOST. Если параметру mode задано значение on, то выполняется проверка того, что TLS включён на сетевом уровне, то есть параметр node.network.tls имеет значение true.

    • required-oids – для дополнительного разграничения доступа возможно применять OID. Для этого в поле required-oids укажите список значений (whitelist-список идентификаторов OID), наличие которых нода будет проверять в расширении (поле) ExtendedKeyUsage сертификата. Этот список позволяет выделить из множества пользователей, выпустивших сертификат на одном и том же удостоверяющем центре (УЦ), тех пользователей, которым этот УЦ выдал OID специально для работы с блокчейн платформой. Список может быть пустым. Если список не пуст, то он должен представлять собой массив строк, состоящих из цифр, разделенных точками, и соответствовать стандартному формату OID. Например:

    required-oids = ["1.3.6.1.4.1.8.1.1","1.3.6.1.4.1.9.2.2"]
    

    Поле не является обязательным и может отсутствовать в конфигурационном файле ноды.

    • crl-checks-enabled – включение или отключение проверки списка отозванных сертификатов (CRL) при валидации сертификатов. Если параметру задано значение true, то криптопровайдер проверяет в удостоверяющем центре (УЦ), отозван сертификат или нет. Нода, которая синхронизируется с сетью, проверяет весь леджер, чтобы удостовериться в его целостности, то есть в корректности ЭП каждого блока. При проверке сертификатов нода использует списки CRL, валидные на момент подписания блока. Если нода находилась вне сети какое-то время, или новая нода подключается к сети, то она запрашивает у других нод скачанные ранее CRL.

    Важно

    Группа полей pki используется только с ГОСТ криптографией (то есть когда полю type присвоено значение GOST). При использовании waves криптографии (то есть когда полю type присвоено значение WAVES) этой группы полей не должно быть в конфигурационном файле ноды. Если параметры PKI не указаны, то PKI отключен.

Примечание

Поле node.waves-crypto со значениями yes и no по-прежнему поддерживается, но в следующих версиях платформы планируется отказаться от его использования. Вместо него будет использоваться поле type в разделе crypto.

Смотрите также