From: "Alexey V. Vissarionov" <gremlin@altlinux.org> To: ALT Linux Team development discussions <devel@lists.altlinux.org> Subject: Re: [devel] X509v3: CRL Distribution Points: help is needed Date: Fri, 10 Aug 2018 17:51:50 +0300 Message-ID: <20180810145150.GE6301@altlinux.org> (raw) In-Reply-To: <4dc9df5d-c0f3-39d4-e287-9af074f2f446@altlinux.org> On 2018-08-10 15:52:26 +0300, Paul Wolneykien wrote: >>> А это значит, что издатель подписи (сертификата) рассчитывал >>> на то, что оба указанных им адреса будут расценены как >>> альтернативные и, при недоступности первого, проверяющий >>> перейдёт по второму. >> Именно так. Локальное зеркало - best practice, ибо недоступность >> CRL может привести к тому, что отозванный сертификат будет >> принят как рабочий. >>> Но dirmngr (из пакета gnupg2) считает иначе: он расценивает >>> указанную информацию как список из двух различных CRL, которые, >>> следовательно, оба требуются для проверки подписи. >> Идея здравая, но реализована, мягко говоря, per rectum. >> ... >> Проверять, действительно, нужно все источники (на случай, если >> какое-то свежее изменение в апстриме не доехало до зеркала), но >> отваливаться по UTV (unable to verify|validate) следует только >> когда недоступны _все_ источники. > А вот теперь вопрос, чья это идея (последний абзац выше): это > твоё личное представление о том, как должно быть или всё таки > нечто общепринятое? Это мое личное мнение, основанное на моих же представлениях о том, как можно злоупотребить некорректной реализацией :-) > Допустим, ты сомневаешься насчёт верности реализации в GnuPG. > Но как тебе такое: > [...] > Это я обнаружил в OpenSSL. И там, как видно, внутри цикла выход > по return на _первой_ же непустой DistributionPoint. То, что эти реализации различаются между собой, свидетельствует о том, что как минимум одна из них некорректна. Я же придерживаюсь мнения о том, что некорректны обе :-) > Получаем тот же результат, что и через GnuPG. С той лишь разницей, > что в GnuPG заложен перебор нескольких альтернативных URI для > одной DistributionPoint, а вот OpenSSL даже не предполагает > альтернатив --- все должны быть доступны. Дурь. Ибо кладем один источник - и вся система огребает DoS. > Получается, что предположение о том, что в разбираемом > сертификате оба URI нужно расценивать как альтернативные, не > подтверждается ни теорией (структурой в ASN.1), ни практикой > (openssl verify). Или скажешь, что OpenSSL тоже не аргумент? > А кто же тогда у них главный? Да как всегда: каждый суслик сам себе агроном... Я, конечно, не собираюсь писать свою реализацию, но вполне способен видеть явные ошибки в существующих. А такое поведение софта, которым можно злоупотребить, я считаю ошибкой :-/ -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net
prev parent reply other threads:[~2018-08-10 14:51 UTC|newest] Thread overview: 16+ messages / expand[flat|nested] mbox.gz Atom feed top 2018-08-08 15:43 manowar 2018-08-08 16:33 ` Alexey V. Vissarionov 2018-08-08 16:52 ` Paul Wolneykien 2018-08-10 12:52 ` Paul Wolneykien 2018-08-10 13:21 ` [devel] wiki altlinux.org внутренняя ошибка Александр Антонов 2018-08-10 13:46 ` Dmitry V. Levin 2018-08-10 14:03 ` Grigory Ustinov 2018-08-10 14:07 ` Alexey V. Vissarionov 2018-08-15 13:37 ` Sergey V Turchin 2018-08-10 14:29 ` Paul Wolneykien 2018-08-10 14:56 ` Leonid Krivoshein 2018-08-10 14:57 ` Anton Farygin 2018-08-10 15:09 ` Leonid Krivoshein 2018-08-10 15:29 ` Dmitry V. Levin 2018-08-10 16:26 ` Anton Farygin 2018-08-10 14:51 ` Alexey V. Vissarionov [this message]
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20180810145150.GE6301@altlinux.org \ --to=gremlin@altlinux.org \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git