From: "Alexey V. Vissarionov" <gremlin@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] X509v3: CRL Distribution Points: help is needed
Date: Fri, 10 Aug 2018 17:51:50 +0300
Message-ID: <20180810145150.GE6301@altlinux.org> (raw)
In-Reply-To: <4dc9df5d-c0f3-39d4-e287-9af074f2f446@altlinux.org>
On 2018-08-10 15:52:26 +0300, Paul Wolneykien wrote:
>>> А это значит, что издатель подписи (сертификата) рассчитывал
>>> на то, что оба указанных им адреса будут расценены как
>>> альтернативные и, при недоступности первого, проверяющий
>>> перейдёт по второму.
>> Именно так. Локальное зеркало - best practice, ибо недоступность
>> CRL может привести к тому, что отозванный сертификат будет
>> принят как рабочий.
>>> Но dirmngr (из пакета gnupg2) считает иначе: он расценивает
>>> указанную информацию как список из двух различных CRL, которые,
>>> следовательно, оба требуются для проверки подписи.
>> Идея здравая, но реализована, мягко говоря, per rectum.
>> ...
>> Проверять, действительно, нужно все источники (на случай, если
>> какое-то свежее изменение в апстриме не доехало до зеркала), но
>> отваливаться по UTV (unable to verify|validate) следует только
>> когда недоступны _все_ источники.
> А вот теперь вопрос, чья это идея (последний абзац выше): это
> твоё личное представление о том, как должно быть или всё таки
> нечто общепринятое?
Это мое личное мнение, основанное на моих же представлениях о том,
как можно злоупотребить некорректной реализацией :-)
> Допустим, ты сомневаешься насчёт верности реализации в GnuPG.
> Но как тебе такое:
> [...]
> Это я обнаружил в OpenSSL. И там, как видно, внутри цикла выход
> по return на _первой_ же непустой DistributionPoint.
То, что эти реализации различаются между собой, свидетельствует о
том, что как минимум одна из них некорректна. Я же придерживаюсь
мнения о том, что некорректны обе :-)
> Получаем тот же результат, что и через GnuPG. С той лишь разницей,
> что в GnuPG заложен перебор нескольких альтернативных URI для
> одной DistributionPoint, а вот OpenSSL даже не предполагает
> альтернатив --- все должны быть доступны.
Дурь. Ибо кладем один источник - и вся система огребает DoS.
> Получается, что предположение о том, что в разбираемом
> сертификате оба URI нужно расценивать как альтернативные, не
> подтверждается ни теорией (структурой в ASN.1), ни практикой
> (openssl verify). Или скажешь, что OpenSSL тоже не аргумент?
> А кто же тогда у них главный?
Да как всегда: каждый суслик сам себе агроном... Я, конечно, не
собираюсь писать свою реализацию, но вполне способен видеть явные
ошибки в существующих. А такое поведение софта, которым можно
злоупотребить, я считаю ошибкой :-/
--
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
prev parent reply other threads:[~2018-08-10 14:51 UTC|newest]
Thread overview: 16+ messages / expand[flat|nested] mbox.gz Atom feed top
2018-08-08 15:43 manowar
2018-08-08 16:33 ` Alexey V. Vissarionov
2018-08-08 16:52 ` Paul Wolneykien
2018-08-10 12:52 ` Paul Wolneykien
2018-08-10 13:21 ` [devel] wiki altlinux.org внутренняя ошибка Александр Антонов
2018-08-10 13:46 ` Dmitry V. Levin
2018-08-10 14:03 ` Grigory Ustinov
2018-08-10 14:07 ` Alexey V. Vissarionov
2018-08-15 13:37 ` Sergey V Turchin
2018-08-10 14:29 ` Paul Wolneykien
2018-08-10 14:56 ` Leonid Krivoshein
2018-08-10 14:57 ` Anton Farygin
2018-08-10 15:09 ` Leonid Krivoshein
2018-08-10 15:29 ` Dmitry V. Levin
2018-08-10 16:26 ` Anton Farygin
2018-08-10 14:51 ` Alexey V. Vissarionov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20180810145150.GE6301@altlinux.org \
--to=gremlin@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git