* Re: [devel] Вопросы новичка
@ 2009-05-05 8:14 Victor B. Wagner
2009-05-05 10:37 ` Anton Farygin
0 siblings, 1 reply; 5+ messages in thread
From: Victor B. Wagner @ 2009-05-05 8:14 UTC (permalink / raw)
To: devel
On 2009.05.04 at 21:31:48 +0400, Alexey I. Froloff wrote:
> * Victor B. Wagner <vitus@> [090504 19:53]:
> > > > По этому вопросу интересно также мнение людей поддерживающих
> > > > более другие криптобиблиотеки - libnss,
> > > Раскалённой кочергой вкомпилено в либу. Централизованного
> > > хранилища сертификатов не существует.
> > Существует как минимум диалоговое окно в Mozilla Firefox, которое
> > позволяет импортировать сертификаты доверенных УЦ.
> В какое-то место, которое известно только Mozilla Firefox и
> только для конкретного пользователя.
Не только Mozilla Firefox. Этим хранилищем умеет пользоваться как
минимум еще и Thunderbird. В Debian тем же самым хранилищем (причем не
только доверенных УЦ, но и сертификатов и секретных ключей пользователя)
прекрасно пользуется OpenOffice Writer.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Вопросы новичка 2009-05-05 8:14 [devel] Вопросы новичка Victor B. Wagner @ 2009-05-05 10:37 ` Anton Farygin 2009-05-05 11:09 ` Victor B. Wagner 2009-05-05 11:17 ` Шакиров Ленар 0 siblings, 2 replies; 5+ messages in thread From: Anton Farygin @ 2009-05-05 10:37 UTC (permalink / raw) To: ALT Linux Team development discussions Victor B. Wagner пишет: > On 2009.05.04 at 21:31:48 +0400, Alexey I. Froloff wrote: > >> * Victor B. Wagner <vitus@> [090504 19:53]: >>>>> По этому вопросу интересно также мнение людей поддерживающих >>>>> более другие криптобиблиотеки - libnss, >>>> Раскалённой кочергой вкомпилено в либу. Централизованного >>>> хранилища сертификатов не существует. >>> Существует как минимум диалоговое окно в Mozilla Firefox, которое >>> позволяет импортировать сертификаты доверенных УЦ. >> В какое-то место, которое известно только Mozilla Firefox и >> только для конкретного пользователя. > > Не только Mozilla Firefox. Этим хранилищем умеет пользоваться как > минимум еще и Thunderbird. В Debian тем же самым хранилищем (причем не > только доверенных УЦ, но и сертификатов и секретных ключей пользователя) > прекрасно пользуется OpenOffice Writer. Вот, по этому поводу не мешало бы чего-нить в bugzilla завесить. Хотя, впрочем, thunderbird и firefox в любом случае не умеют пользоваться токенами с ГОСТ'ом. По крайней мере, ruToken у нас заработал только с RSA. ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Вопросы новичка 2009-05-05 10:37 ` Anton Farygin @ 2009-05-05 11:09 ` Victor B. Wagner 2009-05-05 11:15 ` Anton Farygin 2009-05-05 11:17 ` Шакиров Ленар 1 sibling, 1 reply; 5+ messages in thread From: Victor B. Wagner @ 2009-05-05 11:09 UTC (permalink / raw) To: devel On 2009.05.05 at 14:37:09 +0400, Anton Farygin wrote: > Victor B. Wagner пишет: > > Хотя, впрочем, thunderbird и firefox в любом случае не умеют > пользоваться токенами с ГОСТ'ом. > > По крайней мере, ruToken у нас заработал только с RSA. А что ж вы хотели? Мистического чуда? Там PKCS#11 - это очень развесистый стандарт, который никем не реализован в полном объеме. И естественно, те куски которые необходимы для работы ГОСТ, в libnss положить забыли. Более того, единого профайла PKCS#11 для ГОСТ-ов пока нет. Есть несколько альтернативных вариантов. Кроме того, реализации алгоритмов - мало. Нужно еще поддержать более высокоуровневые форматы и протоколы (RFC 4490, RFC4491, русские шифрсьюты TLS). Это можно сделать ТОЛЬКО на уровне самой криптобиблиотеки. Потому что токены такими высокоуровневыми вещами не занимаются. И если в RFC 4490 можно "обманом" запихать всю обработку структуры key exchange внутрь токена, притворившись что это "такой RSA" то с TLS этот номер не проходит. В OpenSSL 1.0 российские шифрсьюты поддерживаются только потому что там в libssl явным образом включен код их поддержки. К сожалению, пропихнуть туда идею подгрузки шифрсьютов из динамически подгружаемых модулей, которая была у нас реализована в патче к 0.9.8, не удалось. Увы, для полноценной поддержки разнообразных криптоалгоритмов, требуется понимание того, что алгоритм с открытым ключом бывает не только RSA на всех уровнях - от приложения до реализации алгоритмов. Самый анекдотичный случай - это, конечно, stunnel 4.x. Если ему сказать при сборке ./configure --disable-rsa, то RSA работать не перестает. Зато начинают работать DSA, ECDSA и ГОСТ. ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Вопросы новичка 2009-05-05 11:09 ` Victor B. Wagner @ 2009-05-05 11:15 ` Anton Farygin 0 siblings, 0 replies; 5+ messages in thread From: Anton Farygin @ 2009-05-05 11:15 UTC (permalink / raw) To: ALT Linux Team development discussions Victor B. Wagner пишет: > On 2009.05.05 at 14:37:09 +0400, Anton Farygin wrote: > >> Victor B. Wagner пишет: >> >> Хотя, впрочем, thunderbird и firefox в любом случае не умеют >> пользоваться токенами с ГОСТ'ом. >> >> По крайней мере, ruToken у нас заработал только с RSA. > > А что ж вы хотели? Мистического чуда? Чуда хочется всегда... я тут писал про людей, которые хотят одну большую кнопку "Работай". Понятно, что с поддержкой российских криптоалгоритмов очень большая проблема... я так понял, что возражающих против их внедрение и приведения этого хозяйства в порядок - нет (судя по письмам)... ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Вопросы новичка 2009-05-05 10:37 ` Anton Farygin 2009-05-05 11:09 ` Victor B. Wagner @ 2009-05-05 11:17 ` Шакиров Ленар 1 sibling, 0 replies; 5+ messages in thread From: Шакиров Ленар @ 2009-05-05 11:17 UTC (permalink / raw) To: ALT Linux Team development discussions В сообщении от Tuesday 05 May 2009 14:37:09 Anton Farygin написал(а): > Вот, по этому поводу не мешало бы чего-нить в bugzilla завесить. > > Хотя, впрочем, thunderbird и firefox в любом случае не умеют > пользоваться токенами с ГОСТ'ом. > > По крайней мере, ruToken у нас заработал только с RSA. Спотыкался на похожую проблему, когда юзал rdesktop+etoken. С ГОСТом не работает, с RSA все норм. Собрал из архива pcsc-lite-1.3.1-alt1, с ним заработало. В результате копания выяснилось, что улучшили (сломали) механизм лока считывателей в (ЕМНИП) 1.4.2. Бэкпорт старого механизма на 1.4.4 решает проблему. Руки не доходят как то оформить в багзиллу. С уважением, инженер отдела ИИС ООО «Центр» Шакиров Ленар Наилевич shakirov@cg.ru (843) 533-88-14 Российская Федерация Казань, ул. Зинина, 3а 420029, а/я 81 http://www.cg.ru/ ^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2009-05-05 11:17 UTC | newest] Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2009-05-05 8:14 [devel] Вопросы новичка Victor B. Wagner 2009-05-05 10:37 ` Anton Farygin 2009-05-05 11:09 ` Victor B. Wagner 2009-05-05 11:15 ` Anton Farygin 2009-05-05 11:17 ` Шакиров Ленар
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git