From: "Victor B. Wagner" <vitus@altlinux.org> To: devel@lists.altlinux.org Subject: [devel] Вопросы новичка Date: Mon, 4 May 2009 19:00:25 +0400 Message-ID: <20090504150025.GA1100@cryptocom.ru> (raw) Я тут недавно, хотя, наверное многие из присуствующих меня знают давно. Присоединиться к разработке Alt я собрался с одной конкретной целью - сделать так, чтобы в дистрибутиве из коробки работала российская криптография, а переход на использование сертифицированной российской криптографии был бы совершенно безболезненен для пользователя/админа. Поэтому первая задача, которую я перед собой ставлю - сборка OpenSSL 1.0 beta последняя. В связи с этим у меня возник ряд вопросов по поводу того, почему OpenSSL запакетирван в Alt так, как это сделано. Первый вопрос вообще глобального плана и к OpenSSL отношения не имеет: 1. Почему в Alt у rpm нет ключа --import. У всех rpm-based дистрибутивов есть, а у Alt нет. Решать эту задачу - импортировать ключ стороннего репозитория в кейринг RPM предлагается посредством 1. посмотреть значение макроса %_gpg_path 2. Ручками запустить gpg --import выставив ему этот путь в качестве GPG_PATH Судя по спектру дистрибутивов в которых rpm умеет --import, эту фунциональность в Alt специально отрывали. Зачем? Теперь вопросы по собственно OpenSSL 2. У OpenSSL есть такой параметр openssldir . Задается при конфигурировании и в умолчательной сборке там ищутся 1. Конфигурационный файл 2. Сертификаты доверенных удостоверяющих центров (certification authority, CA) 3. Подгружаемые модули альтернативных реализаций криптоалгоритмов (engines). 4. Туда же при инсталляции складвывается ряд скриптов, которым вообще место где нибудь в /usr/share/doc/openssl/examples. В Alt зачем-то openssldir указывает в /var. При этом конфигурационный файл, как и положено, лежит в /etc, engines посредством более менее глубокого хака в исходниках перетащены в /usr/lib, каталог сертификатов пустой, даже при установленном пакете ca-certificates, а вот скрипты - остались. Исполняемые файлы радостно инсталлируются в /var. Зачем? 3. Библиотеки libcrypto и libssl помещены в /lib. То есть надо полагать, что в дистрибутиве, близко к базовой системе существуют приложения, которые используют эти библиотеки до монтирования /usr. То что там есть какие-то другие библиотеки, которые зависят от openssl, вопрос, конечно интересный, но меня интересует как зовут тот процесс в который все это хозяйство может быть подгружено до монтирования /usr. А также - читает ли этот процесс конфигурационный файл openssl.cnf (благо тот в /etc, хотя на первый взгляд дотягиваться до него процесс будет через симлинк в /var, но это можно и поправить), и как он отнесется к тому, что в этом файле будут упомянуты engines, лежащие в еще не смонтированном /usr. 4. Зачем-то у libcrypto SONAME libcrypto.so.6 (и у libssl - libssl.so.6). Понятно, что любовью к переопределению soname отличается не только alt. Но только в alt ставится файл libssl.so.0.9.8g, на который делается симлинк libssl.so.6. Существует ли где-нибудь внятное описание этой политики именования разделяемых библиотек? 5. Почему в пакете ca-certificates используется один большой файл с катенированными сертификатами? OpenSSL умеет работать как с таким файлом (загружая его в память целиком), так и с директорией где каждый сертификат и CRL лежит в отдельном файлике, кэшируя в памяти только те сертификаты, которые понадобились при выстраивании цепочки доверия. По этому вопросу интересно также мнение людей поддерживающих более другие криптобиблиотеки - libnss, libgcrypt - как эти библиотеки доступаются к trusted CA store (потому что очевидно, что пакет ca-certificates должен удовлетоврять потребности всех трех библиотек). Во всяком случае лично мне, когда потребовалось втащить сертификат альтовского удостоверяющего центра в свою мозиллу на более другом дистрибутиве, пришлось лезть текстовым редактором в этот самый ca-bundle.pem, искать там нужный сертификат, выгрызать его в отдельный файл и импортировать. Были бы отдельные файлики, да с интуитивно понятными названиями было бы проще. Аналога дебиановского update-cacertificates я тоже что-то не увидел. --- ----- End forwarded message -----
next reply other threads:[~2009-05-04 15:00 UTC|newest] Thread overview: 43+ messages / expand[flat|nested] mbox.gz Atom feed top 2009-05-04 15:00 Victor B. Wagner [this message] 2009-05-04 15:06 ` Andrey Rahmatullin 2009-05-04 15:22 ` Victor B. Wagner 2009-05-04 15:24 ` Mikhail Gusarov 2009-05-04 15:27 ` Andrey Rahmatullin 2009-05-04 15:27 ` Alexey I. Froloff 2009-05-04 15:51 ` Victor B. Wagner 2009-05-04 16:51 ` Max Ivanov 2009-05-04 17:31 ` Alexey I. Froloff 2009-05-05 8:10 ` Victor B. Wagner 2009-05-05 13:06 ` Alexey I. Froloff 2009-05-05 13:25 ` Victor B. Wagner 2009-05-05 15:06 ` Max Ivanov 2009-05-04 17:44 ` Alexander Bokovoy 2009-05-05 8:39 ` Victor B. Wagner 2009-05-05 9:43 ` Alexander Bokovoy 2009-05-05 10:36 ` Victor B. Wagner 2009-05-05 11:47 ` Alexander Bokovoy 2009-05-05 12:16 ` Victor B. Wagner 2009-05-05 12:44 ` Alexander Bokovoy 2009-05-05 12:57 ` Victor B. Wagner 2009-05-05 13:26 ` Alexander Bokovoy 2009-05-05 14:11 ` Victor B. Wagner 2009-05-07 6:13 ` Afanasov Dmitry 2009-05-07 21:26 ` Денис Смирнов 2009-05-08 7:41 ` Victor B. Wagner 2009-05-08 16:38 ` Денис Смирнов 2009-05-09 5:48 ` Alexander Bokovoy 2009-05-09 5:50 ` Andrey Rahmatullin 2009-05-09 6:04 ` Alexander Bokovoy 2009-05-09 6:06 ` Andrey Rahmatullin 2009-05-09 6:04 ` Alexander Bokovoy 2009-05-06 21:26 ` Dmitry V. Levin 2009-05-06 21:35 ` [devel] alt-rpm signature verification Dmitry V. Levin 2009-05-07 7:35 ` Afanasov Dmitry 2009-05-07 8:47 ` Victor B. Wagner 2009-05-07 15:37 ` Dmitry V. Levin 2009-05-07 17:17 ` Evgeny Sinelnikov 2009-05-07 17:21 ` Dmitry V. Levin 2009-05-07 17:22 ` Mikhail Gusarov 2009-05-07 17:31 ` Evgeny Sinelnikov 2009-05-07 18:23 ` Evgeny Sinelnikov 2009-05-07 15:36 ` Dmitry V. Levin
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20090504150025.GA1100@cryptocom.ru \ --to=vitus@altlinux.org \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git