* Re: [devel] Вопросы новичка
@ 2009-05-05 8:14 Victor B. Wagner
2009-05-05 10:37 ` Anton Farygin
0 siblings, 1 reply; 5+ messages in thread
From: Victor B. Wagner @ 2009-05-05 8:14 UTC (permalink / raw)
To: devel
On 2009.05.04 at 21:31:48 +0400, Alexey I. Froloff wrote:
> * Victor B. Wagner <vitus@> [090504 19:53]:
> > > > По этому вопросу интересно также мнение людей поддерживающих
> > > > более другие криптобиблиотеки - libnss,
> > > Раскалённой кочергой вкомпилено в либу. Централизованного
> > > хранилища сертификатов не существует.
> > Существует как минимум диалоговое окно в Mozilla Firefox, которое
> > позволяет импортировать сертификаты доверенных УЦ.
> В какое-то место, которое известно только Mozilla Firefox и
> только для конкретного пользователя.
Не только Mozilla Firefox. Этим хранилищем умеет пользоваться как
минимум еще и Thunderbird. В Debian тем же самым хранилищем (причем не
только доверенных УЦ, но и сертификатов и секретных ключей пользователя)
прекрасно пользуется OpenOffice Writer.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Вопросы новичка
2009-05-05 8:14 [devel] Вопросы новичка Victor B. Wagner
@ 2009-05-05 10:37 ` Anton Farygin
2009-05-05 11:09 ` Victor B. Wagner
2009-05-05 11:17 ` Шакиров Ленар
0 siblings, 2 replies; 5+ messages in thread
From: Anton Farygin @ 2009-05-05 10:37 UTC (permalink / raw)
To: ALT Linux Team development discussions
Victor B. Wagner пишет:
> On 2009.05.04 at 21:31:48 +0400, Alexey I. Froloff wrote:
>
>> * Victor B. Wagner <vitus@> [090504 19:53]:
>>>>> По этому вопросу интересно также мнение людей поддерживающих
>>>>> более другие криптобиблиотеки - libnss,
>>>> Раскалённой кочергой вкомпилено в либу. Централизованного
>>>> хранилища сертификатов не существует.
>>> Существует как минимум диалоговое окно в Mozilla Firefox, которое
>>> позволяет импортировать сертификаты доверенных УЦ.
>> В какое-то место, которое известно только Mozilla Firefox и
>> только для конкретного пользователя.
>
> Не только Mozilla Firefox. Этим хранилищем умеет пользоваться как
> минимум еще и Thunderbird. В Debian тем же самым хранилищем (причем не
> только доверенных УЦ, но и сертификатов и секретных ключей пользователя)
> прекрасно пользуется OpenOffice Writer.
Вот, по этому поводу не мешало бы чего-нить в bugzilla завесить.
Хотя, впрочем, thunderbird и firefox в любом случае не умеют
пользоваться токенами с ГОСТ'ом.
По крайней мере, ruToken у нас заработал только с RSA.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Вопросы новичка
2009-05-05 10:37 ` Anton Farygin
@ 2009-05-05 11:09 ` Victor B. Wagner
2009-05-05 11:15 ` Anton Farygin
2009-05-05 11:17 ` Шакиров Ленар
1 sibling, 1 reply; 5+ messages in thread
From: Victor B. Wagner @ 2009-05-05 11:09 UTC (permalink / raw)
To: devel
On 2009.05.05 at 14:37:09 +0400, Anton Farygin wrote:
> Victor B. Wagner пишет:
>
> Хотя, впрочем, thunderbird и firefox в любом случае не умеют
> пользоваться токенами с ГОСТ'ом.
>
> По крайней мере, ruToken у нас заработал только с RSA.
А что ж вы хотели? Мистического чуда?
Там PKCS#11 - это очень развесистый стандарт, который никем не
реализован в полном объеме. И естественно, те куски которые необходимы
для работы ГОСТ, в libnss положить забыли.
Более того, единого профайла PKCS#11 для ГОСТ-ов пока нет. Есть несколько
альтернативных вариантов.
Кроме того, реализации алгоритмов - мало. Нужно еще поддержать
более высокоуровневые форматы и протоколы (RFC 4490, RFC4491, русские
шифрсьюты TLS). Это можно сделать ТОЛЬКО на уровне самой
криптобиблиотеки. Потому что токены такими высокоуровневыми вещами не
занимаются. И если в RFC 4490 можно "обманом" запихать всю обработку
структуры key exchange внутрь токена, притворившись что это "такой RSA"
то с TLS этот номер не проходит.
В OpenSSL 1.0 российские шифрсьюты поддерживаются только потому что там
в libssl явным образом включен код их поддержки. К сожалению, пропихнуть
туда идею подгрузки шифрсьютов из динамически подгружаемых модулей,
которая была у нас реализована в патче к 0.9.8, не удалось.
Увы, для полноценной поддержки разнообразных криптоалгоритмов, требуется
понимание того, что алгоритм с открытым ключом бывает не только RSA на
всех уровнях - от приложения до реализации алгоритмов.
Самый анекдотичный случай - это, конечно, stunnel 4.x.
Если ему сказать при сборке ./configure --disable-rsa, то RSA работать
не перестает. Зато начинают работать DSA, ECDSA и ГОСТ.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Вопросы новичка
2009-05-05 11:09 ` Victor B. Wagner
@ 2009-05-05 11:15 ` Anton Farygin
0 siblings, 0 replies; 5+ messages in thread
From: Anton Farygin @ 2009-05-05 11:15 UTC (permalink / raw)
To: ALT Linux Team development discussions
Victor B. Wagner пишет:
> On 2009.05.05 at 14:37:09 +0400, Anton Farygin wrote:
>
>> Victor B. Wagner пишет:
>>
>> Хотя, впрочем, thunderbird и firefox в любом случае не умеют
>> пользоваться токенами с ГОСТ'ом.
>>
>> По крайней мере, ruToken у нас заработал только с RSA.
>
> А что ж вы хотели? Мистического чуда?
Чуда хочется всегда... я тут писал про людей, которые хотят одну большую
кнопку "Работай".
Понятно, что с поддержкой российских криптоалгоритмов очень большая
проблема... я так понял, что возражающих против их внедрение и
приведения этого хозяйства в порядок - нет (судя по письмам)...
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Вопросы новичка
2009-05-05 10:37 ` Anton Farygin
2009-05-05 11:09 ` Victor B. Wagner
@ 2009-05-05 11:17 ` Шакиров Ленар
1 sibling, 0 replies; 5+ messages in thread
From: Шакиров Ленар @ 2009-05-05 11:17 UTC (permalink / raw)
To: ALT Linux Team development discussions
В сообщении от Tuesday 05 May 2009 14:37:09 Anton Farygin написал(а):
> Вот, по этому поводу не мешало бы чего-нить в bugzilla завесить.
>
> Хотя, впрочем, thunderbird и firefox в любом случае не умеют
> пользоваться токенами с ГОСТ'ом.
>
> По крайней мере, ruToken у нас заработал только с RSA.
Спотыкался на похожую проблему, когда юзал rdesktop+etoken. С ГОСТом не
работает, с RSA все норм. Собрал из архива pcsc-lite-1.3.1-alt1, с ним
заработало. В результате копания выяснилось, что улучшили (сломали) механизм
лока считывателей в (ЕМНИП) 1.4.2. Бэкпорт старого механизма на 1.4.4 решает
проблему. Руки не доходят как то оформить в багзиллу.
С уважением, инженер отдела ИИС ООО «Центр»
Шакиров Ленар Наилевич
shakirov@cg.ru
(843) 533-88-14
Российская Федерация
Казань, ул. Зинина, 3а
420029, а/я 81
http://www.cg.ru/
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2009-05-05 11:17 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-05-05 8:14 [devel] Вопросы новичка Victor B. Wagner
2009-05-05 10:37 ` Anton Farygin
2009-05-05 11:09 ` Victor B. Wagner
2009-05-05 11:15 ` Anton Farygin
2009-05-05 11:17 ` Шакиров Ленар
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git