From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vitus@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
	version=3.2.5
X-Virus-Scanned: Debian amavisd-new at cryptocom.ru
Date: Tue, 5 May 2009 16:16:08 +0400
From: "Victor B. Wagner" <vitus@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20090505121608.GB11802@cryptocom.ru>
Mail-Followup-To: devel@lists.altlinux.org
References: <20090504150025.GA1100@cryptocom.ru>
	<20090504152716.GD6444@altlinux.org>
	<6062a6e60905041044pd43de21k572c732eae5bbd2a@mail.gmail.com>
	<20090505083918.GE2101@cryptocom.ru>
	<6062a6e60905050243u4642085ap7abe66a302b1d96e@mail.gmail.com>
	<20090505103649.GH2101@cryptocom.ru>
	<6062a6e60905050447r365ac6c7kd318102ad453c9f8@mail.gmail.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <6062a6e60905050447r365ac6c7kd318102ad453c9f8@mail.gmail.com>
User-Agent: Mutt/1.5.13 (2006-08-11)
Subject: Re: [devel] =?koi8-r?b?98/Q0s/T2SDOz9fJ3svB?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 05 May 2009 12:16:24 -0000
Archived-At: <http://lore.altlinux.org/devel/20090505121608.GB11802@cryptocom.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 2009.05.05 at 14:47:33 +0300, Alexander Bokovoy wrote:

> http://fedoraproject.org/wiki/CryptoConsolidationScorecard имеет
> практический смысл, поскольку позволяет оценить объем требуемых
> изменений пакетной базы,  а также оценить последствия таких изменений
> или их неисполнения. Всю эту работу пришлось бы делать самостоятельно.
 
Неужели пакетная база Alt настолько близка к пакетной базе федоры?
Если бы речь шла об ASP то было бы понятно. Alt, насколько я понимаю,
гораздо сильнее отличается.

> То есть, на самом деле можно реализовать некоторое подмножество
> "централизованного" взгляда, для которого будет предложен типовой код
> взаимодействия для некоторых библиотек и рекомендации по его
> использованию в приложениях.
 
> Я не говорю о sql. Термин "база" выше не связан с конкретной

Но слышащий - слышит. В основном я о типичных ассоциациях, которые 
бывают у разработчиков.

> > Вообще, на мой взгляд, правильно стандартизировать формат хранилища и
> > его расположение в файловой системе. Но ни в коем случае не
> > стандартизировать код для доступа к этому хранилищу. Во всяком случае на
> > начальном этапе
> >
> > Формат должен быть такой, чтобы код для доступа умещался в экран.
> Это нефункциональное требование.

Функциональное требование "код должен быть удобным для security аудита".


> > Вообще-то  Maemo не многопользовательская система и не особенно
> > рассчитана на поддержку интернет-серверов, у которых совершенно свои
> > требования к тому, кому доверять, а кому нет. Поэтому там задача проще.
> Я бы вот так и отделил задачи -- клиентскую и серверную сторону.

Вот так отделить очень непросто. Например, postfix - с одной стороны 
сервер протокола SMTP, с другой - клиент протокола LDAP или даже
PostgreSQL/MySQL.

> > Из приложений, которые используют обычный tls, единственное на сей
> > момент найденное приложение, которому требуется нетривиальный патч - это
> > Apache (насколько понимаю, в случае Maemo - не шибко интересно).
> Поэтому я и отделяю централизацию и поддержку российской криптографии.

Вообще говоря, надо говорить не о "поддержке российской криптографии", а
о "поддержке возможностей современной OpenSSL". Мы старательно делали
поддержку российской криптографии так, чтобы она ничего специфического
не требовала.

Тот патч для Apache, о котором идет речь, обеспечивает поддержку
не только российских алгоритмов, но и ECDSA. 

Чтение приложениями конфига OpenSSL обеспечивает подгрузку не только
engine, обеспечивающей реализацию российских алгоритмов, но и любой
другой engine, обеспечивающей работу с каким-нибудь eToken-ом.

> Первое полезно всем пользователям ALT, второе имеет смысл для
> некоторого специфического круга бизнесов и лиц внутри РФ. ALT
> используется не только в РФ.

Отказ от замшелого RSA, который скоро будет можно ломать на N800,
или хотя бы наличие работспособных альтернатив ему (ECDSA, например),
полезен не только российским пользователям.