From: "Victor B. Wagner" <vitus@altlinux.org>
To: devel@lists.altlinux.org
Subject: Re: [devel] Вопросы новичка
Date: Tue, 5 May 2009 18:11:13 +0400
Message-ID: <20090505141113.GB14733@cryptocom.ru> (raw)
In-Reply-To: <6062a6e60905050626t7da74aakb56db74e4763b1a2@mail.gmail.com>
On 2009.05.05 at 16:26:09 +0300, Alexander Bokovoy wrote:
> "Список, сестра!". Возвращаемся к тому же вопросу -- нужен список
> задач/сценариев, которые можно приоритезировать и определить
> необходимые шаги. Если тебе интересна серверная сторона, составь такой
> список для серверной стороны.
Лично у меня план действий такой:
1. Запакетировать openssl-1.0. С тем чтобы она максимально
соответстовала текущей полиси дистрибутива и перевод приложений на неё
был возможно более безболезненным.
Собственно, все вопросы которые я здесь задаю, относятся к этому первому
пункту.
Сейчас, в связи с этим первым пунктом уже возникли вопросы, из которых,
возможно выкристаллизуются какие-то следующие пункты. Это
- пакет ca-certificates, который надо обвесить какими-то утилитами для
поддержки в актуальном (для пользователя) состоянии списка сертификатов,
актуализации crl-ей и интероперабельности с другими библиотеками, дабы
добро зря не пропадало.
- пакет cert-sh-functions, который в данный момент направляет
пользователя по кривой дорожке создания небезопасных сертификатов.
С реализацией этих пунктов можно пока не торопиться.
2. Взаимодействие с мейнтейнерами тех приложений, которые вот прямо
сейчас могут получить расширение функциональности от перехода на
openssl-1.0, возможно, с применением каких-то патчей. Расширение
функциональности - это не обязательно поддержка новых (российских)
крипоалгоритмов. В OpenSSL 1.0 и другие вкусонсти есть, вроде
tls-extensions (которые частично бэкпортированы в 0.9.8f и выше) или
более полной поддержки CMS.
3. Все остальное, что может способствовать более правильному
использованию криптографии в рамках дистрибутива. В том числе и те,
выявившиеся в рамках дискуссии выше пункта.
Есть одно но - в какой-то, не очень далекий момент времени (порядка пары
месяцев) нужно будет
зафиксировать бинарники libcrypto и libssl от OpenSSL 1.0.
Все изменения, внесенные в них после этого момента будут недоступны для
желающих использовать СЕРТИФИЦИРОВАННУЮ российскую криптографию.
То есть в принципе, дистрибутив может включать и какие-то более новые
обновления и модификации. Но если потом на этот дистрибутив поставить
сертифицированный криптографический продукт, сделанный на базе OpenSSL
1.0, он принесет с собой зафиксированные на момент сертификации
бинарники.
То есть, мы, конечно будем пытаться вывести libcrypto и libssl из числа
сертифицированных бинарников, но не факт, что получится.
next prev parent reply other threads:[~2009-05-05 14:11 UTC|newest]
Thread overview: 43+ messages / expand[flat|nested] mbox.gz Atom feed top
2009-05-04 15:00 Victor B. Wagner
2009-05-04 15:06 ` Andrey Rahmatullin
2009-05-04 15:22 ` Victor B. Wagner
2009-05-04 15:24 ` Mikhail Gusarov
2009-05-04 15:27 ` Andrey Rahmatullin
2009-05-04 15:27 ` Alexey I. Froloff
2009-05-04 15:51 ` Victor B. Wagner
2009-05-04 16:51 ` Max Ivanov
2009-05-04 17:31 ` Alexey I. Froloff
2009-05-05 8:10 ` Victor B. Wagner
2009-05-05 13:06 ` Alexey I. Froloff
2009-05-05 13:25 ` Victor B. Wagner
2009-05-05 15:06 ` Max Ivanov
2009-05-04 17:44 ` Alexander Bokovoy
2009-05-05 8:39 ` Victor B. Wagner
2009-05-05 9:43 ` Alexander Bokovoy
2009-05-05 10:36 ` Victor B. Wagner
2009-05-05 11:47 ` Alexander Bokovoy
2009-05-05 12:16 ` Victor B. Wagner
2009-05-05 12:44 ` Alexander Bokovoy
2009-05-05 12:57 ` Victor B. Wagner
2009-05-05 13:26 ` Alexander Bokovoy
2009-05-05 14:11 ` Victor B. Wagner [this message]
2009-05-07 6:13 ` Afanasov Dmitry
2009-05-07 21:26 ` Денис Смирнов
2009-05-08 7:41 ` Victor B. Wagner
2009-05-08 16:38 ` Денис Смирнов
2009-05-09 5:48 ` Alexander Bokovoy
2009-05-09 5:50 ` Andrey Rahmatullin
2009-05-09 6:04 ` Alexander Bokovoy
2009-05-09 6:06 ` Andrey Rahmatullin
2009-05-09 6:04 ` Alexander Bokovoy
2009-05-06 21:26 ` Dmitry V. Levin
2009-05-06 21:35 ` [devel] alt-rpm signature verification Dmitry V. Levin
2009-05-07 7:35 ` Afanasov Dmitry
2009-05-07 8:47 ` Victor B. Wagner
2009-05-07 15:37 ` Dmitry V. Levin
2009-05-07 17:17 ` Evgeny Sinelnikov
2009-05-07 17:21 ` Dmitry V. Levin
2009-05-07 17:22 ` Mikhail Gusarov
2009-05-07 17:31 ` Evgeny Sinelnikov
2009-05-07 18:23 ` Evgeny Sinelnikov
2009-05-07 15:36 ` Dmitry V. Levin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20090505141113.GB14733@cryptocom.ru \
--to=vitus@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git