ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] Вопросы новичка
@ 2009-05-04 15:00 Victor B. Wagner
  2009-05-04 15:06 ` Andrey Rahmatullin
                   ` (3 more replies)
  0 siblings, 4 replies; 43+ messages in thread
From: Victor B. Wagner @ 2009-05-04 15:00 UTC (permalink / raw)
  To: devel

Я тут недавно, хотя, наверное многие из присуствующих меня знают давно.
Присоединиться к разработке Alt я собрался с одной конкретной целью -
сделать так, чтобы в дистрибутиве из коробки работала российская
криптография, а переход на использование сертифицированной российской
криптографии был бы совершенно безболезненен для пользователя/админа.

Поэтому первая задача, которую я перед собой ставлю - сборка OpenSSL 1.0
beta последняя.

В связи с этим у меня возник ряд вопросов по поводу того, почему OpenSSL
запакетирван в Alt так, как это сделано.

Первый вопрос вообще глобального плана и к OpenSSL отношения не имеет:

1. Почему в Alt у rpm нет ключа --import. У всех rpm-based дистрибутивов
есть, а у Alt нет. Решать эту задачу - импортировать ключ стороннего
репозитория в кейринг RPM предлагается посредством
   1. посмотреть значение макроса %_gpg_path
   2. Ручками запустить gpg --import выставив ему этот путь в качестве
   GPG_PATH
 
Судя по спектру дистрибутивов в которых rpm умеет --import, эту
фунциональность в Alt специально отрывали. Зачем?

Теперь вопросы по собственно OpenSSL

2. У OpenSSL есть такой параметр openssldir . Задается при
конфигурировании и в умолчательной сборке там ищутся 
   1. Конфигурационный файл
   2. Сертификаты доверенных удостоверяющих центров (certification
   authority, CA)
   3. Подгружаемые модули альтернативных реализаций криптоалгоритмов
   (engines).
   4. Туда же при инсталляции складвывается ряд скриптов, которым вообще
   место где нибудь в /usr/share/doc/openssl/examples.

  В Alt зачем-то openssldir указывает в /var. При этом конфигурационный
  файл, как и положено, лежит в /etc, engines посредством более менее
  глубокого хака в исходниках перетащены в /usr/lib, каталог
  сертификатов пустой, даже при установленном пакете ca-certificates,
  а вот скрипты - остались. Исполняемые файлы радостно инсталлируются в
  /var. Зачем?

3. Библиотеки libcrypto и libssl помещены в /lib.
   То есть надо полагать, что в дистрибутиве, близко к базовой системе
   существуют приложения, которые используют эти библиотеки до
   монтирования /usr. То что там есть какие-то другие библиотеки,
   которые зависят от openssl, вопрос, конечно интересный, но меня
   интересует как зовут тот процесс в который все это хозяйство может
   быть подгружено до монтирования /usr. А также - читает ли этот
   процесс конфигурационный файл openssl.cnf (благо тот в /etc, хотя на
   первый взгляд дотягиваться до него процесс будет через симлинк в
   /var, но это можно и поправить), и как он отнесется к тому, что в
   этом файле будут упомянуты engines, лежащие в еще не смонтированном
   /usr.

4. Зачем-то у libcrypto SONAME libcrypto.so.6 (и у libssl - libssl.so.6).
   Понятно, что любовью к
   переопределению soname отличается не только alt. Но только в alt
   ставится файл libssl.so.0.9.8g, на который делается симлинк
   libssl.so.6. Существует ли где-нибудь внятное описание этой политики
   именования разделяемых библиотек?

5. Почему в пакете ca-certificates используется один большой файл с
   катенированными сертификатами? 
   OpenSSL умеет работать как с таким файлом (загружая его в память
   целиком), так и с директорией где каждый сертификат и CRL лежит в
   отдельном файлике, кэшируя в памяти только те сертификаты, которые
   понадобились при выстраивании цепочки доверия.

   По этому вопросу интересно также
   мнение людей поддерживающих более другие криптобиблиотеки  - libnss,
   libgcrypt - как эти библиотеки доступаются к trusted CA store (потому
   что очевидно, что пакет ca-certificates должен удовлетоврять
   потребности всех трех библиотек).

   Во всяком случае лично мне, когда потребовалось втащить сертификат
   альтовского удостоверяющего центра в свою мозиллу на более другом
   дистрибутиве, пришлось лезть текстовым редактором в этот самый
   ca-bundle.pem, искать там нужный сертификат, выгрызать его в
   отдельный файл и импортировать. Были бы отдельные файлики, да с
   интуитивно понятными названиями было бы проще.

   Аналога дебиановского update-cacertificates я тоже что-то не увидел.

---
		
			





----- End forwarded message -----


^ permalink raw reply	[flat|nested] 43+ messages in thread

end of thread, other threads:[~2009-05-09  6:06 UTC | newest]

Thread overview: 43+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-05-04 15:00 [devel] Вопросы новичка Victor B. Wagner
2009-05-04 15:06 ` Andrey Rahmatullin
2009-05-04 15:22   ` Victor B. Wagner
2009-05-04 15:24     ` Mikhail Gusarov
2009-05-04 15:27       ` Andrey Rahmatullin
2009-05-04 15:27 ` Alexey I. Froloff
2009-05-04 15:51   ` Victor B. Wagner
2009-05-04 16:51     ` Max Ivanov
2009-05-04 17:31     ` Alexey I. Froloff
2009-05-05  8:10       ` Victor B. Wagner
2009-05-05 13:06         ` Alexey I. Froloff
2009-05-05 13:25           ` Victor B. Wagner
2009-05-05 15:06             ` Max Ivanov
2009-05-04 17:44   ` Alexander Bokovoy
2009-05-05  8:39     ` Victor B. Wagner
2009-05-05  9:43       ` Alexander Bokovoy
2009-05-05 10:36         ` Victor B. Wagner
2009-05-05 11:47           ` Alexander Bokovoy
2009-05-05 12:16             ` Victor B. Wagner
2009-05-05 12:44               ` Alexander Bokovoy
2009-05-05 12:57                 ` Victor B. Wagner
2009-05-05 13:26                   ` Alexander Bokovoy
2009-05-05 14:11                     ` Victor B. Wagner
2009-05-07  6:13                       ` Afanasov Dmitry
2009-05-07 21:26             ` Денис Смирнов
2009-05-08  7:41               ` Victor B. Wagner
2009-05-08 16:38                 ` Денис Смирнов
2009-05-09  5:48                   ` Alexander Bokovoy
2009-05-09  5:50                     ` Andrey Rahmatullin
2009-05-09  6:04                       ` Alexander Bokovoy
2009-05-09  6:06                         ` Andrey Rahmatullin
2009-05-09  6:04                       ` Alexander Bokovoy
2009-05-06 21:26 ` Dmitry V. Levin
2009-05-06 21:35 ` [devel] alt-rpm signature verification Dmitry V. Levin
2009-05-07  7:35   ` Afanasov Dmitry
2009-05-07  8:47     ` Victor B. Wagner
2009-05-07 15:37       ` Dmitry V. Levin
2009-05-07 17:17         ` Evgeny Sinelnikov
2009-05-07 17:21           ` Dmitry V. Levin
2009-05-07 17:22             ` Mikhail Gusarov
2009-05-07 17:31               ` Evgeny Sinelnikov
2009-05-07 18:23                 ` Evgeny Sinelnikov
2009-05-07 15:36     ` Dmitry V. Levin

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git