From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vitus@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
	version=3.2.5
X-Virus-Scanned: Debian amavisd-new at cryptocom.ru
Date: Tue, 5 May 2009 15:09:50 +0400
From: "Victor B. Wagner" <vitus@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20090505110950.GI2101@cryptocom.ru>
Mail-Followup-To: devel@lists.altlinux.org
References: <20090505081409.GD2101@cryptocom.ru>
	<4A0016D5.3070100@altlinux.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <4A0016D5.3070100@altlinux.com>
User-Agent: Mutt/1.5.13 (2006-08-11)
Subject: Re: [devel] =?koi8-r?b?98/Q0s/T2SDOz9fJ3svB?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 05 May 2009 11:10:15 -0000
Archived-At: <http://lore.altlinux.org/devel/20090505110950.GI2101@cryptocom.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 2009.05.05 at 14:37:09 +0400, Anton Farygin wrote:

> Victor B. Wagner пишет:
> 
> Хотя, впрочем, thunderbird и firefox в любом случае не умеют 
> пользоваться токенами с ГОСТ'ом.
> 
> По крайней мере, ruToken у нас заработал только с RSA.

А что ж вы хотели? Мистического чуда?
Там PKCS#11 - это очень развесистый стандарт, который никем не
реализован в полном объеме. И естественно, те куски которые необходимы
для работы ГОСТ, в libnss положить забыли.

Более того, единого профайла PKCS#11 для ГОСТ-ов пока нет. Есть несколько
альтернативных вариантов.

Кроме того, реализации алгоритмов - мало. Нужно еще поддержать 
более высокоуровневые форматы и протоколы (RFC 4490, RFC4491, русские
шифрсьюты TLS). Это можно сделать ТОЛЬКО на уровне самой
криптобиблиотеки. Потому что токены такими высокоуровневыми вещами не
занимаются. И если в RFC 4490 можно "обманом" запихать всю обработку 
структуры key exchange внутрь токена, притворившись что это "такой RSA"
то с TLS этот номер не проходит.

В OpenSSL 1.0 российские шифрсьюты поддерживаются только потому что там
в libssl явным образом включен код их поддержки. К сожалению, пропихнуть
туда идею подгрузки шифрсьютов из динамически подгружаемых модулей,
которая была у нас реализована в патче к 0.9.8, не удалось. 

Увы, для полноценной поддержки разнообразных криптоалгоритмов, требуется
понимание того, что алгоритм с открытым ключом бывает не только RSA на
всех уровнях - от приложения до реализации алгоритмов.

Самый анекдотичный случай - это, конечно, stunnel 4.x.
Если ему сказать при сборке ./configure --disable-rsa, то RSA работать
не перестает. Зато начинают работать DSA, ECDSA и ГОСТ.