From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham version=3.2.5 X-Virus-Scanned: Debian amavisd-new at cryptocom.ru Date: Thu, 7 May 2009 13:12:05 +0400 From: "Victor B. Wagner" To: devel@lists.altlinux.org Message-ID: <20090507091205.GE7433@cryptocom.ru> Mail-Followup-To: devel@lists.altlinux.org References: <20090507083836.GB7433@cryptocom.ru> <4A029FA9.5060404@solin.spb.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <4A029FA9.5060404@solin.spb.ru> User-Agent: Mutt/1.5.13 (2006-08-11) Subject: Re: [devel] =?koi8-r?b?98/Q0s/T2SDOz9fJ3svB?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 07 May 2009 09:12:21 -0000 Archived-At: List-Archive: List-Post: On 2009.05.07 at 12:45:29 +0400, Aleksey Avdeev wrote: > >приложений которые я уже тестировал на работу с российской криптографией > >и точно знаю что нужно, чтобы оно работало. > > Что надо сделать в apache и apache2 чтобы оно взлетело? 1. Использовать OpenSSL в которой есть поддержка российских алгоритмов, то есть либо модифицированную 0.9.8, которую можно скачать с www.cryptocom.ru как триальную версию MagPro CryptoPack 1.0, либо OpenSSL 1.0. 2. Apache очень хитрым образом работает с ключами и подгружаемыми модулями, он их внутри себя обратно сериализует, а потом опять разбирает. При этом в код, который этим занимается, забито гвоздями что криптоалгоритмов кроме RSA и DSA не бывает. Поэтому требуется патчик. Патчи для mod_ssl для apache1.3 для работы с MagPro CryptoPack и для apache 2.2 и для MagPro CryptoPack и для OpenSSL 1.0 можно взять на www.cryptocom.ru/OpenSource/OpenSSL_rus.html. Обращаю ваше внимание на то, что патчи для работы с расширенным списокм алгоритмов в OpenSSL 1.0 и в модифицированной 0.9.8 - разные. mod_ssl для Apache 1.3 я с OpenSSL 1.0 пересобирать не пробовал. Теоретически, патчи к Apache 2.2 для работы с OpenSSL 1.0 должны обеспечить работу не только с ГОСТ, но и с ECDSA/EECDH, но я не проверял. В принципе, патч к Apache 2.2 для OpenSSL 1.0 я года полтора назад постил в apache-dev, но там он энтузиазма почему-то не вызвал. 3. Сосуществование двух версий OpenSSL в одном процессе невозможно. Даже если у них разный soname. Поэтому требуется чтобы все библиотеки с которыми линкуется apache, а также libaprutil и libapr были пересобраны с той же самой версией OpenSSL. То есть для того, чтобы заставить apache 2.2 из Alt 4.0 работать с ГОСТ мне потребовалось пересобрать openldap, postgresql и mysql. Собственно libaprutil, что самое смешное, пересобирать не потребовалось.