From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham version=3.2.5 X-Virus-Scanned: Debian amavisd-new at cryptocom.ru Date: Tue, 5 May 2009 12:39:18 +0400 From: "Victor B. Wagner" To: devel@lists.altlinux.org Message-ID: <20090505083918.GE2101@cryptocom.ru> Mail-Followup-To: devel@lists.altlinux.org References: <20090504150025.GA1100@cryptocom.ru> <20090504152716.GD6444@altlinux.org> <6062a6e60905041044pd43de21k572c732eae5bbd2a@mail.gmail.com> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <6062a6e60905041044pd43de21k572c732eae5bbd2a@mail.gmail.com> User-Agent: Mutt/1.5.13 (2006-08-11) Subject: Re: [devel] =?koi8-r?b?98/Q0s/T2SDOz9fJ3svB?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 05 May 2009 08:39:33 -0000 Archived-At: List-Archive: List-Post: On 2009.05.04 at 20:44:11 +0300, Alexander Bokovoy wrote: > Существует ряд проектов по созданию такого централизованного хранилища > в рамках Федоры и OpenSUSE, Maemo. > > http://en.opensuse.org/SharedCertStore > http://fedoraproject.org/wiki/FedoraCryptoConsolidation > http://fedoraproject.org/wiki/CryptoConsolidationEval > http://fedoraproject.org/wiki/CryptoConsolidationScorecard > http://maemo.org/api_refs/4.1/libcst-1.7.16/modules.html > > Тема довольно неплохо изучена. Очень прошу пройтись по этим ссылкам, > прежде чем делать выводы. Тут дело какое - мы в России. Дистрибутив ориентирован преимущественно на российский рынок. Поэтому волнует в первую очередь не сертификация FIPS, а сертификация в ФСБ, а также совместимость с сертифицированными решениями, которые продавливаются на рынок интернет-банкинга и тому подобных областей применения всей мощью административного ресурса правительства РФ. Федора и Сусе делают ставку на libnss. Сертифицированных решений с российскими алгоритмами на базе libnss пока не существует. Не существует даже работающих, хотя и не сертифицированных. Мы в свое время несколько раз начинали переговоры и с Novell и с Mozilla Foundation на предмет встраивания российских алгоритмов в libnss/Mozilla Suite, но пока что это все кончилось ничем. То есть на уровне менеджмента какой-то энтузиазм был, но до уровня контактов между разработчиками дело не доходило. Другие российские криптографические фирмы (например Топ-Кросс) что-то с мозиллой делали, но даже коммерческих (закрытых) решений готовых к употреблению на рынке пока нет. Поэтому я оцениваю сроки появления поддержки российской криптографии в libnss не менее чем в два года. Плюс еще не менее года на сертификацию появившегося решения. А решение на базе OpenSSL уже сертифицировано (пока на базе патченной 0.9.8). В OpenSSL 1.0 beta уже имеется работающее решение upstream. И сроки на сертификацию этого решения мы оцениваем куда более оптимистично (поскольку сертификаторы эту codebase уже видели) Поэтому, подозреваю, что допинать какой-нибудь браузер на базе webkit до корректной работы с https и подписью web-форм с использованием OpenSSL будет намного быстрее, чем добиваться работы российской криптографии в Mozilla.