Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[@ 2019-11-30 21:47 UTC (permalink / raw)]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[@ 2019-11-30 22:53 UTC (permalink / raw)]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[@ 2019-12-01 7:30 UTC (permalink / raw)]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[@ 2019-12-01 9:25 UTC (permalink / raw)]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[@ 2019-12-01 11:25 UTC (permalink / raw)]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[@ 2019-12-01 11:46 UTC (permalink / raw)]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[@ 2019-12-01 22:10 UTC (permalink / raw)]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[@ 2019-12-01 22:31 UTC (permalink / raw)]

[devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727))

[@ 2019-12-02 0:21 UTC (permalink / raw)]

Re: [devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727))

[@ 2019-12-02 1:22 UTC (permalink / raw)]

Re: [devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727))

[@ 2019-12-02 3:57 UTC (permalink / raw)]

Re: [devel] Поддержка libnss-gost

[Michael Shigorin]

On Mon, Dec 02, 2019 at 04:22:25AM +0300, Aleksey Novodvorsky wrote:
> 1. Поддерживать этот патч синхронно с апстримом сложно,
> а включить что-либо в апстрим nss еще сложнее.

Именно по крипто?  Потому что вот здесь вышло несложно:
https://bugzilla.mozilla.org/show_bug.cgi?id=1554616
(хотя и с неожиданным побочным эффектом, но уже залечили)

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727))

[Paul Wolneykien]

В Mon, 2 Dec 2019 03:21:05 +0300
Andrey Savchenko <bircoph@altlinux.org> пишет:

> On Mon, 2 Dec 2019 01:31:51 +0300 Dmitry V. Levin wrote:
> > On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:  
> > > В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:  
> > > > On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org
> > > > wrote:  
> > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:    
> > > > > > On Sun, Dec 01, 2019 at 07:30:51AM +0000,
> > > > > > manowar@altlinux.org wrote:    
> > > > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V.
> > > > > > > Levin:    
> > > > > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V.
> > > > > > > > Levin wrote:    
> > > > > > > > > Hi,
> > > > > > > > > 
> > > > > > > > > Кто сломал сборку всех этих пакетов?    
> > > > > > > > 
> > > > > > > > Очевидно, это был пакет nss-gost:
> > > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > > > > |sort) |wc -l 124
> > > > > > > > 
> > > > > > > > Альтернативные провайдеры являются источником ошибок, и
> > > > > > > > пакет nss-gost - очередное тому напоминание.    
> > > > > > > 
> > > > > > > Я убрал явное дублирование Provides. Полегчало?    
> > > > > > 
> > > > > > В libnss-gost ничего не изменилось:    
> > > > > 
> > > > > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > > > > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?
> > > > >   
> > > > 
> > > > Все они ломают сборку, там же библиотека, это пересечение
> > > > должно быть пустым. То, что находится в libnss-gost, не должно
> > > > быть libnss.
> > > > 
> > > > Это даже не вопрос сборки, достаточно попробовать установить
> > > > пакеты, которые нужны для сборочной среды.  
> > > 
> > >   Да, в самом деле, установка среды спотыкается на выборе
> > > libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
> > > обойти соответствующим изменением *.pc внутри libnss-gost-devel.
> > > Может быть проблема имеет больше одного решения, и не нужно
> > > избавляться от всех пересечений между libnss и libnss-gost?  
> > 
> > Вы делаете пакет с альтернативной реализацией той же самой
> > библиотеки, которая уже реализована в пакете libnss, с тем же
> > soname, которое в libnss, и всё ещё надеетесь, что это может
> > работать?  Нет, конечно, это не может работать.  Альтернативные
> > реализации soname не работают, apt выберет не ту библиотеку,
> > которую надо пользователю. По сути выбор из двух вариантов:
> > поменять soname либо удалить.  
> 
> На самом деле есть ещё два варианта:
> 
> 3) Линковать libnss-gost статически там, где это нужно. (При этом
> нужно следить, чтоб зависимости нигде с libnss не пересекались.)
> 4) Использовать libnss-gost по-умолчанию вместо libnss.

  Я там выше ответил, что по сути, логичнее всего была бы простота
п. 4, но *не* по умолчанию, а после замены одной реализации либы на
другую.


> Последний вариант мне нравится больше всего: если бы наши
> дистрибутивы поддерживали gost из коробки, то это было бы просто
> киллер-фичей — как на рынке, так и в сообществе. И это касается не
> только libnss, а всего остального, где добавлена поддержка gost.
> 
> Но, несмотря на проделанную нами огромную работу, gost из коробки
> есть только в ядре (спасибо vt!). Нужно и остальные проекты
> подтягивать.
> 
> Best regards,
> Andrew Savchenko

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 01:31:51 +0300
"Dmitry V. Levin" <ldv@altlinux.org> пишет:

> On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:
> > В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:  
> > > On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org
> > > wrote:  
> > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:    
> > > > > On Sun, Dec 01, 2019 at 07:30:51AM +0000,
> > > > > manowar@altlinux.org wrote:    
> > > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > > > > >   
> > > > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> > > > > > > wrote:    
> > > > > > > > Hi,
> > > > > > > > 
> > > > > > > > Кто сломал сборку всех этих пакетов?    
> > > > > > > 
> > > > > > > Очевидно, это был пакет nss-gost:
> > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > > > |sort) |wc -l 124
> > > > > > > 
> > > > > > > Альтернативные провайдеры являются источником ошибок, и
> > > > > > > пакет nss-gost - очередное тому напоминание.    
> > > > > > 
> > > > > > Я убрал явное дублирование Provides. Полегчало?    
> > > > > 
> > > > > В libnss-gost ничего не изменилось:    
> > > > 
> > > > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > > > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?    
> > > 
> > > Все они ломают сборку, там же библиотека, это пересечение должно
> > > быть пустым. То, что находится в libnss-gost, не должно быть
> > > libnss.
> > > 
> > > Это даже не вопрос сборки, достаточно попробовать установить
> > > пакеты, которые нужны для сборочной среды.  
> > 
> >   Да, в самом деле, установка среды спотыкается на выборе
> > libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
> > обойти соответствующим изменением *.pc внутри libnss-gost-devel.
> > Может быть проблема имеет больше одного решения, и не нужно
> > избавляться от всех пересечений между libnss и libnss-gost?  
> 
> Вы делаете пакет с альтернативной реализацией той же самой библиотеки,
> которая уже реализована в пакете libnss, с тем же soname, которое в
> libnss, и всё ещё надеетесь, что это может работать?  Нет, конечно,
> это не может работать.  Альтернативные реализации soname не работают,
> apt выберет не ту библиотеку, которую надо пользователю.

  Подожди, у меня вот не сходятся как раз эти два факта:

    а) альтернативные реализации soname не работают и
    б) apt выберет не ту библиотеку.

  Это же разные вещи. Я исходил из того, чтобы поддержка ГОСТ
появлялась бы в Firefox (и других браузерах и программах, работающих
через NSS) очень простым способом: пользователь устанавливает вместо
штатной libnss пакет libnss-gost. (Сейчас патч для firefox просто
микроскопический и я думаю что вполне можно включить его в основную
версию пакета firefox.) Согласись, что это было бы проще и для
пользователя, и для поддержки пакетов.

  И тут выясняется, что заменить одну библиотеку на другую можно --
слинкованнная с ней программа продолжит работать, --- но нет гарантии,
что apt выберет по умолчанию libnss, а не libnss-gost, так? Т.е.
альтернативные реализации soname работают с программами, которые
используют данные библиотеки, но "не работают" с apt. Неужели
действительно нет способа объяснить apt, что от него требуется?


> По сути выбор из двух вариантов: поменять soname либо удалить.
> 
> > > Полные логи доступны в обычном месте:
> > > http://git.altlinux.org/beehive/logs/Sisyphus-x86_64/latest/error/
> > >   
> > > > > $ comm -12 <(rpmquery --provides -p
> > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > |sort) <(rpmquery --provides -p
> > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm
> > > > > |sort) |wc -l 124    
> 

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Антон Мидюков]

02.12.2019 14:20, Paul Wolneykien пишет:
> В Mon, 2 Dec 2019 01:31:51 +0300
> "Dmitry V. Levin" <ldv@altlinux.org> пишет:
>
>> On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:
>>> В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:
>>>> On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org
>>>> wrote:
>>>>> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
>>>>>> On Sun, Dec 01, 2019 at 07:30:51AM +0000,
>>>>>> manowar@altlinux.org wrote:
>>>>>>> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
>>>>>>>    
>>>>>>>> On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
>>>>>>>> wrote:
>>>>>>>>> Hi,
>>>>>>>>>
>>>>>>>>> Кто сломал сборку всех этих пакетов?
>>>>>>>> Очевидно, это был пакет nss-gost:
>>>>>>>> $ comm -12 <(rpmquery --provides -p
>>>>>>>> Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
>>>>>>>> |sort) <(rpmquery --provides -p
>>>>>>>> Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
>>>>>>>> |sort) |wc -l 124
>>>>>>>>
>>>>>>>> Альтернативные провайдеры являются источником ошибок, и
>>>>>>>> пакет nss-gost - очередное тому напоминание.
>>>>>>> Я убрал явное дублирование Provides. Полегчало?
>>>>>> В libnss-gost ничего не изменилось:
>>>>> Тогда я не понимаю, какой именно Provides ломает сборку. Можно
>>>>> где-нибудь посмотреть полный лог сборки сломавшихся пакетов?
>>>> Все они ломают сборку, там же библиотека, это пересечение должно
>>>> быть пустым. То, что находится в libnss-gost, не должно быть
>>>> libnss.
>>>>
>>>> Это даже не вопрос сборки, достаточно попробовать установить
>>>> пакеты, которые нужны для сборочной среды.
>>>    Да, в самом деле, установка среды спотыкается на выборе
>>> libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
>>> обойти соответствующим изменением *.pc внутри libnss-gost-devel.
>>> Может быть проблема имеет больше одного решения, и не нужно
>>> избавляться от всех пересечений между libnss и libnss-gost?
>> Вы делаете пакет с альтернативной реализацией той же самой библиотеки,
>> которая уже реализована в пакете libnss, с тем же soname, которое в
>> libnss, и всё ещё надеетесь, что это может работать?  Нет, конечно,
>> это не может работать.  Альтернативные реализации soname не работают,
>> apt выберет не ту библиотеку, которую надо пользователю.
>    Подожди, у меня вот не сходятся как раз эти два факта:
>
>      а) альтернативные реализации soname не работают и
>      б) apt выберет не ту библиотеку.
>
>    Это же разные вещи. Я исходил из того, чтобы поддержка ГОСТ
> появлялась бы в Firefox (и других браузерах и программах, работающих
> через NSS) очень простым способом: пользователь устанавливает вместо
> штатной libnss пакет libnss-gost. (Сейчас патч для firefox просто
> микроскопический и я думаю что вполне можно включить его в основную
> версию пакета firefox.) Согласись, что это было бы проще и для
> пользователя, и для поддержки пакетов.
>
>    И тут выясняется, что заменить одну библиотеку на другую можно --
> слинкованнная с ней программа продолжит работать, --- но нет гарантии,
> что apt выберет по умолчанию libnss, а не libnss-gost, так? Т.е.
> альтернативные реализации soname работают с программами, которые
> используют данные библиотеки, но "не работают" с apt. Неужели
> действительно нет способа объяснить apt, что от него требуется?

А что, если собирать libnss-gost вместе с libnss из одного srpm? 
Библиотеки класть в %_libdir/libnss/ и %_libdir/libnss-gost

А уже симлинки на библиотеки в %_libdir переключать через альтернативы.

Правда не уверен, что так с библиотеками возможно.

>> По сути выбор из двух вариантов: поменять soname либо удалить.
>>
>>>> Полные логи доступны в обычном месте:
>>>> http://git.altlinux.org/beehive/logs/Sisyphus-x86_64/latest/error/
>>>>    
>>>>>> $ comm -12 <(rpmquery --provides -p
>>>>>> Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
>>>>>> |sort) <(rpmquery --provides -p
>>>>>> Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm
>>>>>> |sort) |wc -l 124
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

-- 
С уважением, Антон Мидюков <antohami@altlinux.org>

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 14:34:34 +0700
Антон Мидюков <midyukov-anton@ya.ru> пишет:

> 02.12.2019 14:20, Paul Wolneykien пишет:
> > В Mon, 2 Dec 2019 01:31:51 +0300
> > "Dmitry V. Levin" <ldv@altlinux.org> пишет:
> >  
> >> On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:  
> >>> В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:  
> >>>> On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org
> >>>> wrote:  
> >>>>> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:  
> >>>>>> On Sun, Dec 01, 2019 at 07:30:51AM +0000,
> >>>>>> manowar@altlinux.org wrote:  
> >>>>>>> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> >>>>>>>      
> >>>>>>>> On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> >>>>>>>> wrote:  
> >>>>>>>>> Hi,
> >>>>>>>>>
> >>>>>>>>> Кто сломал сборку всех этих пакетов?  
> >>>>>>>> Очевидно, это был пакет nss-gost:
> >>>>>>>> $ comm -12 <(rpmquery --provides -p
> >>>>>>>> Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> >>>>>>>> |sort) <(rpmquery --provides -p
> >>>>>>>> Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> >>>>>>>> |sort) |wc -l 124
> >>>>>>>>
> >>>>>>>> Альтернативные провайдеры являются источником ошибок, и
> >>>>>>>> пакет nss-gost - очередное тому напоминание.  
> >>>>>>> Я убрал явное дублирование Provides. Полегчало?  
> >>>>>> В libnss-gost ничего не изменилось:  
> >>>>> Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> >>>>> где-нибудь посмотреть полный лог сборки сломавшихся пакетов?  
> >>>> Все они ломают сборку, там же библиотека, это пересечение должно
> >>>> быть пустым. То, что находится в libnss-gost, не должно быть
> >>>> libnss.
> >>>>
> >>>> Это даже не вопрос сборки, достаточно попробовать установить
> >>>> пакеты, которые нужны для сборочной среды.  
> >>>    Да, в самом деле, установка среды спотыкается на выборе
> >>> libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
> >>> обойти соответствующим изменением *.pc внутри libnss-gost-devel.
> >>> Может быть проблема имеет больше одного решения, и не нужно
> >>> избавляться от всех пересечений между libnss и libnss-gost?  
> >> Вы делаете пакет с альтернативной реализацией той же самой
> >> библиотеки, которая уже реализована в пакете libnss, с тем же
> >> soname, которое в libnss, и всё ещё надеетесь, что это может
> >> работать?  Нет, конечно, это не может работать.  Альтернативные
> >> реализации soname не работают, apt выберет не ту библиотеку,
> >> которую надо пользователю.  
> >    Подожди, у меня вот не сходятся как раз эти два факта:
> >
> >      а) альтернативные реализации soname не работают и
> >      б) apt выберет не ту библиотеку.
> >
> >    Это же разные вещи. Я исходил из того, чтобы поддержка ГОСТ
> > появлялась бы в Firefox (и других браузерах и программах, работающих
> > через NSS) очень простым способом: пользователь устанавливает вместо
> > штатной libnss пакет libnss-gost. (Сейчас патч для firefox просто
> > микроскопический и я думаю что вполне можно включить его в основную
> > версию пакета firefox.) Согласись, что это было бы проще и для
> > пользователя, и для поддержки пакетов.
> >
> >    И тут выясняется, что заменить одну библиотеку на другую можно --
> > слинкованнная с ней программа продолжит работать, --- но нет
> > гарантии, что apt выберет по умолчанию libnss, а не libnss-gost,
> > так? Т.е. альтернативные реализации soname работают с программами,
> > которые используют данные библиотеки, но "не работают" с apt.
> > Неужели действительно нет способа объяснить apt, что от него
> > требуется?  
> 
> А что, если собирать libnss-gost вместе с libnss из одного srpm? 
> Библиотеки класть в %_libdir/libnss/ и %_libdir/libnss-gost
> 
> А уже симлинки на библиотеки в %_libdir переключать через
> альтернативы.
> 
> Правда не уверен, что так с библиотеками возможно.

  Может быть и можно, но у меня сейчас возникла вот какая гипотеза:
а нельзя ли собирать libnss-gost с каким-то таким disttag, чтобы
apt не выбирал его для установки *без ведома пользователя*?


> >> По сути выбор из двух вариантов: поменять soname либо удалить.
> >>  
> >>>> Полные логи доступны в обычном месте:
> >>>> http://git.altlinux.org/beehive/logs/Sisyphus-x86_64/latest/error/
> >>>>      
> >>>>>> $ comm -12 <(rpmquery --provides -p
> >>>>>> Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> >>>>>> |sort) <(rpmquery --provides -p
> >>>>>> Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm
> >>>>>> |sort) |wc -l 124  
> > _______________________________________________
> > Devel mailing list
> > Devel@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/devel  
> 

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Michael Shigorin]

On Mon, Dec 02, 2019 at 10:43:23AM +0300, Paul Wolneykien wrote:
> > > И тут выясняется, что заменить одну библиотеку на другую можно --
> > > слинкованнная с ней программа продолжит работать, --- но нет
> > > гарантии, что apt выберет по умолчанию libnss, а не libnss-gost
> > А что, если собирать libnss-gost вместе с libnss из одного srpm? 
> Может быть и можно, но у меня сейчас возникла вот какая гипотеза:
> а нельзя ли собирать libnss-gost с каким-то таким disttag, чтобы
> apt не выбирал его для установки *без ведома пользователя*?

Насколько понимаю, загвоздка не столько в апте, сколько
в возможности (вполне реальной, не теоретической) разъезда
ABI библиотек в случае необходимости сборки новой апстримной
версии и невозможности оперативно обновить gost patch.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 10:47:53 +0300
Michael Shigorin <mike@altlinux.org> пишет:

> On Mon, Dec 02, 2019 at 10:43:23AM +0300, Paul Wolneykien wrote:
> > > > И тут выясняется, что заменить одну библиотеку на другую можно
> > > > -- слинкованнная с ней программа продолжит работать, --- но нет
> > > > гарантии, что apt выберет по умолчанию libnss, а не libnss-gost
> > > >  
> > > А что, если собирать libnss-gost вместе с libnss из одного srpm?
> > >  
> > Может быть и можно, но у меня сейчас возникла вот какая гипотеза:
> > а нельзя ли собирать libnss-gost с каким-то таким disttag, чтобы
> > apt не выбирал его для установки *без ведома пользователя*?  
> 
> Насколько понимаю, загвоздка не столько в апте, сколько
> в возможности (вполне реальной, не теоретической) разъезда
> ABI библиотек в случае необходимости сборки новой апстримной
> версии и невозможности оперативно обновить gost patch.

  а) Там не так сложно обновить.
  б) Если дело затянется, то вот тогда можно будет [временно] удалить
libnss-gost. Но сейчас-то разъезда по интерфейсу именно, что нет ---
реализации полностью совместимы в смысле одинакового интерфейса (но не
поведения) и поэтому имеют одинаковый soname.

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey Gladkov]

On Mon, Dec 02, 2019 at 10:54:16AM +0300, Paul Wolneykien wrote:
> В Mon, 2 Dec 2019 10:47:53 +0300
> Michael Shigorin <mike@altlinux.org> пишет:
> 
> > On Mon, Dec 02, 2019 at 10:43:23AM +0300, Paul Wolneykien wrote:
> > > > > И тут выясняется, что заменить одну библиотеку на другую можно
> > > > > -- слинкованнная с ней программа продолжит работать, --- но нет
> > > > > гарантии, что apt выберет по умолчанию libnss, а не libnss-gost
> > > > >  
> > > > А что, если собирать libnss-gost вместе с libnss из одного srpm?

Я так много раз отвечал на этот вопрос, что отвечу коротко.
Нет.

> > > >  
> > > Может быть и можно, но у меня сейчас возникла вот какая гипотеза:
> > > а нельзя ли собирать libnss-gost с каким-то таким disttag, чтобы
> > > apt не выбирал его для установки *без ведома пользователя*?  
> > 
> > Насколько понимаю, загвоздка не столько в апте, сколько
> > в возможности (вполне реальной, не теоретической) разъезда
> > ABI библиотек в случае необходимости сборки новой апстримной
> > версии и невозможности оперативно обновить gost patch.
> 
>   а) Там не так сложно обновить.

Когда, патч есть для текущей версии, то да, его можно "обновить" приложив
новую версию.

>   б) Если дело затянется, то вот тогда можно будет [временно] удалить
> libnss-gost. Но сейчас-то разъезда по интерфейсу именно, что нет ---
> реализации полностью совместимы в смысле одинакового интерфейса (но не
> поведения) и поэтому имеют одинаковый soname.

Нет, нельзя временно удалить. Это сломает пользователей, которые
пользуются этим gost. Единственный путь это не обновлять nss пока
кто-нибудь не соизволит сделать новую версию nss-gost патча.

Почему вы не рассматриваете вариант собрать firefox-gost с внутренней
версией nss c gost-патчем пока он не попал в апстрим ? 

-- 
Rgrds, legion

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 10:27:39 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> >   б) Если дело затянется, то вот тогда можно будет [временно]
> > удалить libnss-gost. Но сейчас-то разъезда по интерфейсу именно,
> > что нет --- реализации полностью совместимы в смысле одинакового
> > интерфейса (но не поведения) и поэтому имеют одинаковый soname.  
> 
> Нет, нельзя временно удалить. Это сломает пользователей, которые
> пользуются этим gost. Единственный путь это не обновлять nss пока
> кто-нибудь не соизволит сделать новую версию nss-gost патча.
> 
> Почему вы не рассматриваете вариант собрать firefox-gost с внутренней
> версией nss c gost-патчем пока он не попал в апстрим ? 

  Нет, почему же, я рассматриваю, но просто изучаю альтернативы,
которые казались мне более простыми. Выяснилось, что нет, они не
простые. Хотя вариант с отдельным компонентом мне пока нравится потому,
что на него можно перейти оперативно.

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey Gladkov]

On Mon, Dec 02, 2019 at 12:31:15PM +0300, Paul Wolneykien wrote:
> > >   б) Если дело затянется, то вот тогда можно будет [временно]
> > > удалить libnss-gost. Но сейчас-то разъезда по интерфейсу именно,
> > > что нет --- реализации полностью совместимы в смысле одинакового
> > > интерфейса (но не поведения) и поэтому имеют одинаковый soname.  
> > 
> > Нет, нельзя временно удалить. Это сломает пользователей, которые
> > пользуются этим gost. Единственный путь это не обновлять nss пока
> > кто-нибудь не соизволит сделать новую версию nss-gost патча.
> > 
> > Почему вы не рассматриваете вариант собрать firefox-gost с внутренней
> > версией nss c gost-патчем пока он не попал в апстрим ? 
> 
>   Нет, почему же, я рассматриваю, но просто изучаю альтернативы,
> которые казались мне более простыми. Выяснилось, что нет, они не
> простые. Хотя вариант с отдельным компонентом мне пока нравится потому,
> что на него можно перейти оперативно.

Отдельный компонент развяжет вам руки и вам не нужно будет плодить
суффиксы для пакетов. Странно, что это не было планом А :)

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Mon, 2 Dec 2019 11:13:00 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Mon, Dec 02, 2019 at 12:31:15PM +0300, Paul Wolneykien wrote:
> > > >   б) Если дело затянется, то вот тогда можно будет [временно]
> > > > удалить libnss-gost. Но сейчас-то разъезда по интерфейсу именно,
> > > > что нет --- реализации полностью совместимы в смысле одинакового
> > > > интерфейса (но не поведения) и поэтому имеют одинаковый soname.
> > > >    
> > > 
> > > Нет, нельзя временно удалить. Это сломает пользователей, которые
> > > пользуются этим gost. Единственный путь это не обновлять nss пока
> > > кто-нибудь не соизволит сделать новую версию nss-gost патча.
> > > 
> > > Почему вы не рассматриваете вариант собрать firefox-gost с
> > > внутренней версией nss c gost-патчем пока он не попал в апстрим ?
> > >   
> > 
> >   Нет, почему же, я рассматриваю, но просто изучаю альтернативы,
> > которые казались мне более простыми. Выяснилось, что нет, они не
> > простые. Хотя вариант с отдельным компонентом мне пока нравится
> > потому, что на него можно перейти оперативно.  
> 
> Отдельный компонент развяжет вам руки и вам не нужно будет плодить
> суффиксы для пакетов. Странно, что это не было планом А :)

  Всё же я вчера попробовал убрать все пересечения по --provides между
пакетами libnss и libnss-gost, получилось вот так:
  http://git.altlinux.org/tasks/242157/logs/events.4.1.log .

$ comm -12 <(rpmquery --provides -p /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm |sort) <(rpmquery --provides -p /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort) | wc -l
0

  Есть ли возражения против отправки в Сизиф?

  P.S. Я заметил, что в пакете firefox также есть некоторое количество
*.so и пересечения по соответствующим --provides между ним и
firefox-gost. Правильно ли я понимаю, что это библиотеки сугубо для
внутреннего использования самим firefox и в данном случае дубликаты
допустимы?

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:
>   Всё же я вчера попробовал убрать все пересечения по --provides между
> пакетами libnss и libnss-gost, получилось вот так:
>   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> 
> $ comm -12 <(rpmquery --provides -p /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm |sort) <(rpmquery --provides -p /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort) | wc -l
> 0
> 
>   Есть ли возражения против отправки в Сизиф?

Я ничего не могу добавить к объяснению Димы на этот счёт.

>   P.S. Я заметил, что в пакете firefox также есть некоторое количество
> *.so и пересечения по соответствующим --provides между ним и
> firefox-gost. Правильно ли я понимаю, что это библиотеки сугубо для
> внутреннего использования самим firefox и в данном случае дубликаты
> допустимы?

Они находятся в подкаталоге. С ними никто не должен линковаться.

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Tue, 3 Dec 2019 11:46:12 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:
> >   Всё же я вчера попробовал убрать все пересечения по --provides
> > между пакетами libnss и libnss-gost, получилось вот так:
> >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > 
> > $ comm -12 <(rpmquery --provides -p
> > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm |sort)
> > <(rpmquery --provides -p
> > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > | wc -l 0
> > 
> >   Есть ли возражения против отправки в Сизиф?  
> 
> Я ничего не могу добавить к объяснению Димы на этот счёт.

  Это которое из? Тут уже много всего было сказано и я мог что-то
упустить.

> 
> >   P.S. Я заметил, что в пакете firefox также есть некоторое
> > количество *.so и пересечения по соответствующим --provides между
> > ним и firefox-gost. Правильно ли я понимаю, что это библиотеки
> > сугубо для внутреннего использования самим firefox и в данном
> > случае дубликаты допустимы?  
> 
> Они находятся в подкаталоге. С ними никто не должен линковаться.

  Ок.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Tue, 3 Dec 2019 13:58:48 +0300
Paul Wolneykien <manowar@altlinux.org> пишет:

> В Tue, 3 Dec 2019 11:46:12 +0100
> Alexey Gladkov <legion@altlinux.ru> пишет:
> 
> > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:  
> > >   Всё же я вчера попробовал убрать все пересечения по --provides
> > > между пакетами libnss и libnss-gost, получилось вот так:
> > >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > 
> > > $ comm -12 <(rpmquery --provides -p
> > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > |sort) <(rpmquery --provides -p
> > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > | wc -l 0
> > > 
> > >   Есть ли возражения против отправки в Сизиф?    
> > 
> > Я ничего не могу добавить к объяснению Димы на этот счёт.  
> 
>   Это которое из? Тут уже много всего было сказано и я мог что-то
> упустить.

  Я ещё раз прочитал сообщения в данной теме: всё сводится к
дублированию --provides, которого теперь нет.
  И ещё, я попробовал собрать обычный firefox в присутствии
libnss-gost. Он собрался вполне обычно, результирующий пакет не требует
ничего, где было бы слово "gost".
  Поэтому я считаю, что на этот раз из-за появления libnss-gost
в Сизифе ничего сломаться не должно.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Vladimir D. Seleznev]

On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien wrote:
> В Tue, 3 Dec 2019 13:58:48 +0300
> Paul Wolneykien <manowar@altlinux.org> пишет:
> 
> > В Tue, 3 Dec 2019 11:46:12 +0100
> > Alexey Gladkov <legion@altlinux.ru> пишет:
> > 
> > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:  
> > > >   Всё же я вчера попробовал убрать все пересечения по --provides
> > > > между пакетами libnss и libnss-gost, получилось вот так:
> > > >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > > 
> > > > $ comm -12 <(rpmquery --provides -p
> > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > |sort) <(rpmquery --provides -p
> > > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > > | wc -l 0
> > > > 
> > > >   Есть ли возражения против отправки в Сизиф?    
> > > 
> > > Я ничего не могу добавить к объяснению Димы на этот счёт.  
> > 
> >   Это которое из? Тут уже много всего было сказано и я мог что-то
> > упустить.
> 
>   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> дублированию --provides, которого теперь нет.
>   И ещё, я попробовал собрать обычный firefox в присутствии
> libnss-gost. Он собрался вполне обычно, результирующий пакет не требует
> ничего, где было бы слово "gost".
>   Поэтому я считаю, что на этот раз из-за появления libnss-gost
> в Сизифе ничего сломаться не должно.

Firefox (и не только) при сборке может случайно слинковаться с libnss из
пакета libnss-gost, а вот это уже будет проблемой. Давайте не плодить
альтернативные soname'ы.

-- 
   С уважением,
   Владимир Селезнев

Re: [devel] nss-gost и firefox-gost в Сизифе

[manowar]

Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:
> On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien wrote:
> > В Tue, 3 Dec 2019 13:58:48 +0300
> > Paul Wolneykien <manowar@altlinux.org> пишет:
> > 
> > > В Tue, 3 Dec 2019 11:46:12 +0100
> > > Alexey Gladkov <legion@altlinux.ru> пишет:
> > > 
> > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:  
> > > > >   Всё же я вчера попробовал убрать все пересечения по --provides
> > > > > между пакетами libnss и libnss-gost, получилось вот так:
> > > > >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > > > 
> > > > > $ comm -12 <(rpmquery --provides -p
> > > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > > |sort) <(rpmquery --provides -p
> > > > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > > > | wc -l 0
> > > > > 
> > > > >   Есть ли возражения против отправки в Сизиф?    
> > > > 
> > > > Я ничего не могу добавить к объяснению Димы на этот счёт.  
> > > 
> > >   Это которое из? Тут уже много всего было сказано и я мог что-то
> > > упустить.
> > 
> >   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> > дублированию --provides, которого теперь нет.
> >   И ещё, я попробовал собрать обычный firefox в присутствии
> > libnss-gost. Он собрался вполне обычно, результирующий пакет не требует
> > ничего, где было бы слово "gost".
> >   Поэтому я считаю, что на этот раз из-за появления libnss-gost
> > в Сизифе ничего сломаться не должно.
> 
> Firefox (и не только) при сборке может случайно слинковаться с libnss из
> пакета libnss-gost, а вот это уже будет проблемой. Давайте не плодить
> альтернативные soname'ы.

Случайно уже не может.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Wed, Dec 04, 2019 at 04:05:23PM +0000, manowar@altlinux.org wrote:
> Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:
> > On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien wrote:
> > > В Tue, 3 Dec 2019 13:58:48 +0300
> > > Paul Wolneykien <manowar@altlinux.org> пишет:
> > > 
> > > > В Tue, 3 Dec 2019 11:46:12 +0100
> > > > Alexey Gladkov <legion@altlinux.ru> пишет:
> > > > 
> > > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:  
> > > > > >   Всё же я вчера попробовал убрать все пересечения по --provides
> > > > > > между пакетами libnss и libnss-gost, получилось вот так:
> > > > > >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > > > > 
> > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > > > |sort) <(rpmquery --provides -p
> > > > > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > > > > | wc -l 0
> > > > > > 
> > > > > >   Есть ли возражения против отправки в Сизиф?    
> > > > > 
> > > > > Я ничего не могу добавить к объяснению Димы на этот счёт.  
> > > > 
> > > >   Это которое из? Тут уже много всего было сказано и я мог что-то
> > > > упустить.
> > > 
> > >   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> > > дублированию --provides, которого теперь нет.
> > >   И ещё, я попробовал собрать обычный firefox в присутствии
> > > libnss-gost. Он собрался вполне обычно, результирующий пакет не требует
> > > ничего, где было бы слово "gost".
> > >   Поэтому я считаю, что на этот раз из-за появления libnss-gost
> > > в Сизифе ничего сломаться не должно.
> > 
> > Firefox (и не только) при сборке может случайно слинковаться с libnss из
> > пакета libnss-gost, а вот это уже будет проблемой. Давайте не плодить
> > альтернативные soname'ы.
> 
> Случайно уже не может.

Вот только у меня просьба. Если берёте существующий пакет и меняете таким
образом, то не пишите меня пакеджером. Это же неправда.

http://git.altlinux.org/people/manowar/packages/?p=nss.git;a=blob;f=nss.spec;h=0f4590ef5fbc4341daf58beeaf711acdec9c4186;hb=d7acdf997bee09bb9e9dbcbf0be1ae36446c6ad1#l20

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Thu, 5 Dec 2019 10:44:07 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Wed, Dec 04, 2019 at 04:05:23PM +0000, manowar@altlinux.org wrote:
> > Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:  
> > > On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien wrote:  
> > > > В Tue, 3 Dec 2019 13:58:48 +0300
> > > > Paul Wolneykien <manowar@altlinux.org> пишет:
> > > >   
> > > > > В Tue, 3 Dec 2019 11:46:12 +0100
> > > > > Alexey Gladkov <legion@altlinux.ru> пишет:
> > > > >   
> > > > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien
> > > > > > wrote:    
> > > > > > >   Всё же я вчера попробовал убрать все пересечения по
> > > > > > > --provides между пакетами libnss и libnss-gost,
> > > > > > > получилось вот так:
> > > > > > > http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > > > > > 
> > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > > > > > | wc -l 0
> > > > > > > 
> > > > > > >   Есть ли возражения против отправки в Сизиф?      
> > > > > > 
> > > > > > Я ничего не могу добавить к объяснению Димы на этот счёт.
> > > > > >  
> > > > > 
> > > > >   Это которое из? Тут уже много всего было сказано и я мог
> > > > > что-то упустить.  
> > > > 
> > > >   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> > > > дублированию --provides, которого теперь нет.
> > > >   И ещё, я попробовал собрать обычный firefox в присутствии
> > > > libnss-gost. Он собрался вполне обычно, результирующий пакет не
> > > > требует ничего, где было бы слово "gost".
> > > >   Поэтому я считаю, что на этот раз из-за появления libnss-gost
> > > > в Сизифе ничего сломаться не должно.  
> > > 
> > > Firefox (и не только) при сборке может случайно слинковаться с
> > > libnss из пакета libnss-gost, а вот это уже будет проблемой.
> > > Давайте не плодить альтернативные soname'ы.  
> > 
> > Случайно уже не может.  
> 
> Вот только у меня просьба. Если берёте существующий пакет и меняете
> таким образом, то не пишите меня пакеджером. Это же неправда.

  Верно подмечено, сейчас исправлю.

> http://git.altlinux.org/people/manowar/packages/?p=nss.git;a=blob;f=nss.spec;h=0f4590ef5fbc4341daf58beeaf711acdec9c4186;hb=d7acdf997bee09bb9e9dbcbf0be1ae36446c6ad1#l20

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Thu, Dec 05, 2019 at 12:50:48PM +0300, Paul Wolneykien wrote:
> > Вот только у меня просьба. Если берёте существующий пакет и меняете
> > таким образом, то не пишите меня пакеджером. Это же неправда.
> 
>   Верно подмечено, сейчас исправлю.

Ну и ваша идея слинковать libnss c libssl выглядит очень свежо. Лично я
не готов к такой свежести в своём пакете.

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Michael Shigorin]

On Thu, Dec 05, 2019 at 11:01:35AM +0100, Alexey Gladkov wrote:
> On Thu, Dec 05, 2019 at 12:50:48PM +0300, Paul Wolneykien wrote:
> > > Вот только у меня просьба. Если берёте существующий пакет и меняете
> > > таким образом, то не пишите меня пакеджером. Это же неправда.
> > Верно подмечено, сейчас исправлю.
> Ну и ваша идея слинковать libnss c libssl выглядит очень свежо.
> Лично я не готов к такой свежести в своём пакете.

Тут даже интересней, готов ли к такому "мостику" апстрим...

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Thu, Dec 05, 2019 at 01:08:44PM +0300, Michael Shigorin wrote:
> > Ну и ваша идея слинковать libnss c libssl выглядит очень свежо.
> > Лично я не готов к такой свежести в своём пакете.
> 
> Тут даже интересней, готов ли к такому "мостику" апстрим...

Я могу только могу пожелать удачи и хорошего настроения тому кто это будет
апстримить :) 

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Thu, 5 Dec 2019 11:01:35 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Thu, Dec 05, 2019 at 12:50:48PM +0300, Paul Wolneykien wrote:
> > > Вот только у меня просьба. Если берёте существующий пакет и
> > > меняете таким образом, то не пишите меня пакеджером. Это же
> > > неправда.  
> > 
> >   Верно подмечено, сейчас исправлю.  
> 
> Ну и ваша идея слинковать libnss c libssl выглядит очень свежо. Лично
> я не готов к такой свежести в своём пакете.

  Это временное решение.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Thu, 5 Dec 2019 13:22:54 +0300
Aleksey Novodvorsky <aen@basealt.ru> пишет:

> чт, 5 дек. 2019 г., 12:50 Paul Wolneykien <manowar@altlinux.org>:
> 
> > В Thu, 5 Dec 2019 10:44:07 +0100
> > Alexey Gladkov <legion@altlinux.ru> пишет:
> >  
> > > On Wed, Dec 04, 2019 at 04:05:23PM +0000, manowar@altlinux.org
> > > wrote:  
> > > > Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:  
> > > > > On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien
> > > > > wrote:  
> > > > > > В Tue, 3 Dec 2019 13:58:48 +0300
> > > > > > Paul Wolneykien <manowar@altlinux.org> пишет:
> > > > > >  
> > > > > > > В Tue, 3 Dec 2019 11:46:12 +0100
> > > > > > > Alexey Gladkov <legion@altlinux.ru> пишет:
> > > > > > >  
> > > > > > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul
> > > > > > > > Wolneykien wrote:  
> > > > > > > > >   Всё же я вчера попробовал убрать все пересечения по
> > > > > > > > > --provides между пакетами libnss и libnss-gost,
> > > > > > > > > получилось вот так:
> > > > > > > > > http://git.altlinux.org/tasks/242157/logs/events.4.1.log
> > > > > > > > > .
> > > > > > > > >
> > > > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > > >  
> > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> >  
> > > > > > > > > | wc -l 0
> > > > > > > > >
> > > > > > > > >   Есть ли возражения против отправки в Сизиф?  
> > > > > > > >
> > > > > > > > Я ничего не могу добавить к объяснению Димы на этот
> > > > > > > > счёт. 
> > > > > > >
> > > > > > >   Это которое из? Тут уже много всего было сказано и я мог
> > > > > > > что-то упустить.  
> > > > > >
> > > > > >   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> > > > > > дублированию --provides, которого теперь нет.
> > > > > >   И ещё, я попробовал собрать обычный firefox в присутствии
> > > > > > libnss-gost. Он собрался вполне обычно, результирующий
> > > > > > пакет не требует ничего, где было бы слово "gost".
> > > > > >   Поэтому я считаю, что на этот раз из-за появления
> > > > > > libnss-gost в Сизифе ничего сломаться не должно.  
> > > > >
> > > > > Firefox (и не только) при сборке может случайно слинковаться с
> > > > > libnss из пакета libnss-gost, а вот это уже будет проблемой.
> > > > > Давайте не плодить альтернативные soname'ы.  
> > > >
> > > > Случайно уже не может.  
> > >
> > > Вот только у меня просьба. Если берёте существующий пакет и
> > > меняете таким образом, то не пишите меня пакеджером. Это же
> > > неправда.  
> >
> >   Верно подмечено, сейчас исправлю.
> >  
> 
> Павел, очень прошу не трогать пакеты legion@.

  Я поменял Packager: http://git.altlinux.org/tasks/242157/ . 
Таким образом, теперь это уже не пакеты legion@ и у него, надеюсь, не
будет повода для беспокойства за свою репутацию.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 05.12.2019 19:02, Aleksey Novodvorsky wrote:
>
>
>
>
> чт, 5 дек. 2019 г., 18:29 Paul Wolneykien <manowar@altlinux.org 
> <mailto:manowar@altlinux.org>>:
>
>     В Thu, 5 Dec 2019 13:22:54 +0300
>     Aleksey Novodvorsky <aen@basealt.ru <mailto:aen@basealt.ru>> пишет:
>
>     > чт, 5 дек. 2019 г., 12:50 Paul Wolneykien <manowar@altlinux.org
>     <mailto:manowar@altlinux.org>>:
>     >
>     > > В Thu, 5 Dec 2019 10:44:07 +0100
>     > > Alexey Gladkov <legion@altlinux.ru
>     <mailto:legion@altlinux.ru>> пишет:
>     > >
>     > > > On Wed, Dec 04, 2019 at 04:05:23PM +0000,
>     manowar@altlinux.org <mailto:manowar@altlinux.org>
>     > > > wrote:
>     > > > > Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:
>     > > > > > On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien
>     > > > > > wrote:
>     > > > > > > В Tue, 3 Dec 2019 13:58:48 +0300
>     > > > > > > Paul Wolneykien <manowar@altlinux.org
>     <mailto:manowar@altlinux.org>> пишет:
>     > > > > > >
>     > > > > > > > В Tue, 3 Dec 2019 11:46:12 +0100
>     > > > > > > > Alexey Gladkov <legion@altlinux.ru
>     <mailto:legion@altlinux.ru>> пишет:
>     > > > > > > >
>     > > > > > > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul
>     > > > > > > > > Wolneykien wrote:
>     > > > > > > > > >   Всё же я вчера попробовал убрать все
>     пересечения по
>     > > > > > > > > > --provides между пакетами libnss и libnss-gost,
>     > > > > > > > > > получилось вот так:
>     > > > > > > > > >
>     http://git.altlinux.org/tasks/242157/logs/events.4.1.log
>     > > > > > > > > > .
>     > > > > > > > > >
>     > > > > > > > > > $ comm -12 <(rpmquery --provides -p
>     > > > > > > > > >
>     /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
>     > > > > > > > > > |sort) <(rpmquery --provides -p
>     > > > > > > > > >
>     > >
>     /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
>     > >
>     > > > > > > > > > | wc -l 0
>     > > > > > > > > >
>     > > > > > > > > >   Есть ли возражения против отправки в Сизиф?
>     > > > > > > > >
>     > > > > > > > > Я ничего не могу добавить к объяснению Димы на этот
>     > > > > > > > > счёт.
>     > > > > > > >
>     > > > > > > >   Это которое из? Тут уже много всего было сказано и
>     я мог
>     > > > > > > > что-то упустить.
>     > > > > > >
>     > > > > > >   Я ещё раз прочитал сообщения в данной теме: всё
>     сводится к
>     > > > > > > дублированию --provides, которого теперь нет.
>     > > > > > >   И ещё, я попробовал собрать обычный firefox в
>     присутствии
>     > > > > > > libnss-gost. Он собрался вполне обычно, результирующий
>     > > > > > > пакет не требует ничего, где было бы слово "gost".
>     > > > > > >   Поэтому я считаю, что на этот раз из-за появления
>     > > > > > > libnss-gost в Сизифе ничего сломаться не должно.
>     > > > > >
>     > > > > > Firefox (и не только) при сборке может случайно
>     слинковаться с
>     > > > > > libnss из пакета libnss-gost, а вот это уже будет проблемой.
>     > > > > > Давайте не плодить альтернативные soname'ы.
>     > > > >
>     > > > > Случайно уже не может.
>     > > >
>     > > > Вот только у меня просьба. Если берёте существующий пакет и
>     > > > меняете таким образом, то не пишите меня пакеджером. Это же
>     > > > неправда.
>     > >
>     > >   Верно подмечено, сейчас исправлю.
>     > >
>     >
>     > Павел, очень прошу не трогать пакеты legion@.
>
>       Я поменял Packager: http://git.altlinux.org/tasks/242157/ .
>     Таким образом, теперь это уже не пакеты legion@ и у него, надеюсь, не
>     будет повода для беспокойства за свою репутацию.
>
>
>
> Паша, это пакеты legion. Были и будут.
>
> Верните, пожалуйста.
> Свои пакеты собирайте отдельно.

Алексей, они и собраны _отдельно_ под другим именем.

http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>
>     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>
>
> Ок. Почему их не собрать в gostcryрto?

Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда можно 
без него.

gostcrypto выглядит костылём.

Re: [devel] nss-gost и firefox-gost в Сизифе

[manowar]

Четверг, 5 декабря 2019 г получено от Aleksey Novodvorsky:
> чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru>:
> 
> > On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
> > >
> > >     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
> > >
> > >
> > > Ок. Почему их не собрать в gostcryрto?

А я бы поставил вопрос как раз наоборот: почему бы не собрать в classic, раз теперь есть такая возможность? 

> >
> > Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда можно
> > без него.
> >
> > gostcrypto выглядит костылём

Похоже. Например, legion@ не беспокоился насчёт данных пакетов в gostcrypto, но сразу обратил внимание, как речь зашла о classic. Вывод: сборка в classic способствует критике и повышению качества упаковки. 
 
> Я не согласен. Но подождем мнения ldv

Подождём, но, между прочим, именно Дима предложил сменить soname, как условие сборки в Сизиф (classic). Что и было сделано.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Dmitry V. Levin]

On Thu, Dec 05, 2019 at 05:03:06PM +0000, manowar@altlinux.org wrote:
> Четверг, 5 декабря 2019 г получено от Aleksey Novodvorsky:
> > чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru>:
> > 
> > > On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
> > > >
> > > >     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
> > > >
> > > >
> > > > Ок. Почему их не собрать в gostcryрto?
> 
> А я бы поставил вопрос как раз наоборот: почему бы не собрать в classic, раз теперь есть такая возможность? 
> 
> > >
> > > Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда можно
> > > без него.
> > >
> > > gostcrypto выглядит костылём
> 
> Похоже. Например, legion@ не беспокоился насчёт данных пакетов в gostcrypto, но сразу обратил внимание, как речь зашла о classic. Вывод: сборка в classic способствует критике и повышению качества упаковки. 
>  
> > Я не согласен. Но подождем мнения ldv
> 
> Подождём, но, между прочим, именно Дима предложил сменить soname, как условие сборки в Сизиф (classic). Что и было сделано.

Поместить в gostcrypto или сменить soname - два разных подхода,
выбор зависит от решаемой задачи.  Если нужна библиотека, которую можно
использовать одновременно с обычной, то смена soname и полный развод
provides.  Если нужна библиотека, которую можно использовать вместо
обычной, то сохранение soname и помещение в gostcrypto.


-- 
ldv

Re: [devel] nss-gost и firefox-gost в Сизифе

[manowar]

Четверг, 5 декабря 2019 г получено от Dmitry V. Levin:
> On Thu, Dec 05, 2019 at 05:03:06PM +0000, manowar@altlinux.org wrote:
> > Четверг, 5 декабря 2019 г получено от Aleksey Novodvorsky:
> > > чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru>:
> > > 
> > > > On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
> > > > >
> > > > >     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
> > > > >
> > > > >
> > > > > Ок. Почему их не собрать в gostcryрto?
> > 
> > А я бы поставил вопрос как раз наоборот: почему бы не собрать в classic, раз теперь есть такая возможность? 
> > 
> > > >
> > > > Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда можно
> > > > без него.
> > > >
> > > > gostcrypto выглядит костылём
> > 
> > Похоже. Например, legion@ не беспокоился насчёт данных пакетов в gostcrypto, но сразу обратил внимание, как речь зашла о classic. Вывод: сборка в classic способствует критике и повышению качества упаковки. 
> >  
> > > Я не согласен. Но подождем мнения ldv
> > 
> > Подождём, но, между прочим, именно Дима предложил сменить soname, как условие сборки в Сизиф (classic). Что и было сделано.
> 
> Поместить в gostcrypto или сменить soname - два разных подхода,
> выбор зависит от решаемой задачи.  Если нужна библиотека, которую можно
> использовать одновременно с обычной, то смена soname и полный развод
> provides.  Если нужна библиотека, которую можно использовать вместо
> обычной, то сохранение soname и помещение в gostcrypto.

Вариант "вместо" (gostcrypto) будет особенно интересен, если мы договоримся включить номера ГОСТовых шифронаборов в базовую версию Firefox.
  Поясню. Сейчас у меня эти номера берутся из констант, добавленных в NSS. Но ничто не мешает определить эти номера непосредственно в коде firefox, потому что они не с неба свалились, а определены в стандарте.
  И тогда, действительно, мы получим систему, в которой ГОСТ включается простой заменой одной библиотеки на другую, без переустановки пакетов.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Mikhail Novosyolov]

<...>
>      Вариант "вместо" (gostcrypto) будет особенно интересен, если мы договоримся включить номера ГОСТовых шифронаборов в базовую версию Firefox.
>        Поясню. Сейчас у меня эти номера берутся из констант, добавленных в NSS. Но ничто не мешает определить эти номера непосредственно в коде firefox, потому что они не с неба свалились, а определены в стандарте.
>        И тогда, действительно, мы получим систему, в которой ГОСТ включается простой заменой одной библиотеки на другую, без переустановки пакетов.
>
>
> В chromium-gost проверяется наличие cryptopro cspи если есть, то используется

 ...и делается это в разрез с апстримом, который запихивает Хромиум в песочницу, а здесь обходными путями подгружаются сторонние библиотеки, что очень плохо совместимо с песочницей, подробнее см. здесь: https://github.com/deemru/chromium-gost/issues/7#issuecomment-548129417 , ниже цитаты:

> А в чем был смысл перехода на новую схему линковки, можно в кратце, если не секрет?

> Не секрет.
>
> Chromium постоянно движется в сторону закручивания гаек от уязвимостей, вирусам больно, но сторонним библиотекам и приложениям от этого тоже жить с каждой версией всё сложнее.
>
> Вот например классная история с антивирусом: https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=107684#post107684
>
> Итого, начиная с 77 версии на Windows была запрещена любая загрузка библиотек не из системного каталога ОС, что просто нивелировало наш подход с динамической загрузкой.
>
> Было решено перебраться в общий с Chromium-ом бинарник, здесь хоть как-то можно жить.
>
> На остальных системах вектор тот же, например на MacOS уже начали экспериментальное тестирование ограничений системных вызовов предопределённым заранее набором: https://chromium.googlesource.com/chromium/src.git/+/46f318737e0c51ef280dd89106d37ce253c1ade%5E%21/#F10

Это не долгоживущее решение, а бег на перегонки с апстримом, направления развития которого неподконтрольны сообществу.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

[-- Attachment #1: Type: text/plain, Size: 2983 bytes --]

В Thu, 5 Dec 2019 19:05:35 +0000
manowar@altlinux.org пишет:

> Четверг, 5 декабря 2019 г получено от Dmitry V. Levin:
> > 
> > Поместить в gostcrypto или сменить soname - два разных подхода,
> > выбор зависит от решаемой задачи.  Если нужна библиотека, которую
> > можно использовать одновременно с обычной, то смена soname и полный
> > развод provides.  Если нужна библиотека, которую можно использовать
> > вместо обычной, то сохранение soname и помещение в gostcrypto.  
> 
>   Вариант "вместо" (gostcrypto) будет особенно интересен, если мы
> договоримся включить номера ГОСТовых шифронаборов в базовую версию
> Firefox.

  Прилагаю патч, который разрешает использование шифронаборов с
номерами C100--C102 и 81 для HTTPS. Смысл его в том, что он разрешает
принять данные шифронаборы к рассмотрению в рамках процедуры установки
соединения. При этом фактическое использование шифронабора зависит от
соблюдения двух условий: 1) шифронабор поддерживается каким-либо
модулем NSS; 2) шифронабор поддерживается сайтом. Таким образом, с
обыкновенной сборкой NSS поведение браузера никак не изменится,
поскольку не будет соблюдено условие (1). Но при замене libnss на
libnss-gostcrypto оно, напротив, будет соблюдено и тем самым откроется
доступ к сайтам (2).

  2legion@: Насколько вероятно, по вашему, одобрение данного патча
Mozilla для использования в нашей сборке Firefox (т.е. в Сизифе)?

>   Поясню. Сейчас у меня эти номера берутся из констант,
> добавленных в NSS. Но ничто не мешает определить эти номера
> непосредственно в коде firefox, потому что они не с неба свалились, а
> определены в стандарте.
>   И тогда, действительно, мы получим систему, в
> которой ГОСТ включается простой заменой одной библиотеки на другую,
> без переустановки пакетов.


[-- Attachment #2: firefox-70.0.1-gost-ciphersuites.patch --]
[-- Type: text/x-patch, Size: 1706 bytes --]

diff --git a/mozilla/security/manager/ssl/nsNSSComponent.cpp b/mozilla/security/manager/ssl/nsNSSComponent.cpp
index c091ce7a763..5fd5a9bb549 100644
--- a/mozilla/security/manager/ssl/nsNSSComponent.cpp
+++ b/mozilla/security/manager/ssl/nsNSSComponent.cpp
@@ -903,6 +903,16 @@ nsresult LoadLoadableRootsTask::LoadLoadableRoots() {
   return NS_ERROR_FAILURE;
 }
 
+// These cipher suites are already assigned to GOST by IANA --- see
+// https://www.iana.org/assignments/tls-parameters/tls-parameters-4.csv .
+#define TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC 0xC100
+#define TLS_GOSTR341112_256_WITH_MAGMA_CTR_OMAC      0xC101
+#define TLS_GOSTR341112_256_WITH_28147_CNT_IMIT      0xC102
+
+// This cipher suite is known to be used by https://eruz.zakupki.gov.ru/
+// for GOST-R-3411.94 with GOST-28147 IMIT mode cipher:
+#define TLS_GOSTR341194_WITH_28147_CNT_IMIT          0x0081
+
 // Table of pref names and SSL cipher ID
 typedef struct {
   const char* pref;
@@ -956,6 +966,18 @@ static const CipherPref sCipherPrefs[] = {
     {"security.ssl3.rsa_des_ede3_sha", TLS_RSA_WITH_3DES_EDE_CBC_SHA,
      true},  // deprecated (RSA key exchange, 3DES)
 
+    {"security.ssl3.ecdhe_gostr_3411_12_256_kuznyechik_ctr_omac",
+     TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC, true},
+
+    {"security.ssl3.ecdhe_gostr_3411_12_256_magma_ctr_omac",
+     TLS_GOSTR341112_256_WITH_MAGMA_CTR_OMAC, true},
+
+    {"security.ssl3.ecdhe_gostr_3411_12_256_28147_cnt_imit",
+     TLS_GOSTR341112_256_WITH_28147_CNT_IMIT, true},
+
+    {"security.ssl3.ecdhe_gostr_3411_94_256_28147_cnt_imit",
+     TLS_GOSTR341194_WITH_28147_CNT_IMIT, true},
+
     // All the rest are disabled
 
     {nullptr, 0}  // end marker

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Tue, Dec 10, 2019 at 02:40:14PM +0300, Paul Wolneykien wrote:
> > > Поместить в gostcrypto или сменить soname - два разных подхода,
> > > выбор зависит от решаемой задачи.  Если нужна библиотека, которую
> > > можно использовать одновременно с обычной, то смена soname и полный
> > > развод provides.  Если нужна библиотека, которую можно использовать
> > > вместо обычной, то сохранение soname и помещение в gostcrypto.  
> > 
> >   Вариант "вместо" (gostcrypto) будет особенно интересен, если мы
> > договоримся включить номера ГОСТовых шифронаборов в базовую версию
> > Firefox.
> 
>   Прилагаю патч, который разрешает использование шифронаборов с
> номерами C100--C102 и 81 для HTTPS. Смысл его в том, что он разрешает
> принять данные шифронаборы к рассмотрению в рамках процедуры установки
> соединения. При этом фактическое использование шифронабора зависит от
> соблюдения двух условий: 1) шифронабор поддерживается каким-либо
> модулем NSS; 2) шифронабор поддерживается сайтом. Таким образом, с
> обыкновенной сборкой NSS поведение браузера никак не изменится,
> поскольку не будет соблюдено условие (1). Но при замене libnss на
> libnss-gostcrypto оно, напротив, будет соблюдено и тем самым откроется
> доступ к сайтам (2).
> 
>   2legion@: Насколько вероятно, по вашему, одобрение данного патча
> Mozilla для использования в нашей сборке Firefox (т.е. в Сизифе)?

Вы говорите про одобрение мозиллой патча в нашем репозитории ?

Простите, но я не буду даже спрашивать про такой патч. Я считаю его
опасным и не буду брать на себя ответственность. Вы добавляете возможность
фейкать библиотеку и использовать не верифицированные апстримом реализации
алгоритмов.

Если хотите, то попробуйте заапстимить его и/или реализацию алгоритмов
ГОСТ в NSS. Когда они попадут в этот проект, тогда они очень быстро
попадут в сизиф.

Не нужно подвергать угрозам пользователей сизифа.

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Tue, 10 Dec 2019 16:43:59 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Tue, Dec 10, 2019 at 02:40:14PM +0300, Paul Wolneykien wrote:
> > > > Поместить в gostcrypto или сменить soname - два разных подхода,
> > > > выбор зависит от решаемой задачи.  Если нужна библиотека,
> > > > которую можно использовать одновременно с обычной, то смена
> > > > soname и полный развод provides.  Если нужна библиотека,
> > > > которую можно использовать вместо обычной, то сохранение soname
> > > > и помещение в gostcrypto.    
> > > 
> > >   Вариант "вместо" (gostcrypto) будет особенно интересен, если мы
> > > договоримся включить номера ГОСТовых шифронаборов в базовую версию
> > > Firefox.  
> > 
> >   Прилагаю патч, который разрешает использование шифронаборов с
> > номерами C100--C102 и 81 для HTTPS. Смысл его в том, что он
> > разрешает принять данные шифронаборы к рассмотрению в рамках
> > процедуры установки соединения. При этом фактическое использование
> > шифронабора зависит от соблюдения двух условий: 1) шифронабор
> > поддерживается каким-либо модулем NSS; 2) шифронабор поддерживается
> > сайтом. Таким образом, с обыкновенной сборкой NSS поведение
> > браузера никак не изменится, поскольку не будет соблюдено условие
> > (1). Но при замене libnss на libnss-gostcrypto оно, напротив, будет
> > соблюдено и тем самым откроется доступ к сайтам (2).
> > 
> >   2legion@: Насколько вероятно, по вашему, одобрение данного патча
> > Mozilla для использования в нашей сборке Firefox (т.е. в Сизифе)?  
> 
> Вы говорите про одобрение мозиллой патча в нашем репозитории ?
> 
> Простите, но я не буду даже спрашивать про такой патч. Я считаю его
> опасным и не буду брать на себя ответственность. Вы добавляете
> возможность фейкать библиотеку и использовать не верифицированные
> апстримом реализации алгоритмов.

  Этот патч, конечно, ничего не добавляет в отношении
существующей возможности подмены библиотеки или использования
"неверифицированных" алгоритмов. До тех пор, пока есть LD_PRELOAD и
LD_LIBRARY_PATH, существует и возможность подмены библиотеки.
Поскольку же в NSS остаётся динамическая подгрузка модулей
(в Firefox за него отвечает диалог "Устройства защиты"), постольку
остаётся возможность использования любых алгоритмов, на
усмотрение пользователя.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Wed, Dec 11, 2019 at 01:48:49PM +0300, Paul Wolneykien wrote:
> > Простите, но я не буду даже спрашивать про такой патч. Я считаю его
> > опасным и не буду брать на себя ответственность. Вы добавляете
> > возможность фейкать библиотеку и использовать не верифицированные
> > апстримом реализации алгоритмов.
> 
>   Этот патч, конечно, ничего не добавляет в отношении
> существующей возможности подмены библиотеки или использования
> "неверифицированных" алгоритмов. 

Вы добавляете новые константы для алгоритмов и делаете их по умолчанию
включенными.

> До тех пор, пока есть LD_PRELOAD и
> LD_LIBRARY_PATH, существует и возможность подмены библиотеки.
> Поскольку же в NSS остаётся динамическая подгрузка модулей
> (в Firefox за него отвечает диалог "Устройства защиты"), постольку
> остаётся возможность использования любых алгоритмов, на
> усмотрение пользователя.

Насколько я помню, сторонние модули не подключатся автоматически.

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 05.12.2019 19:27, Aleksey Novodvorsky wrote:
>
>
>
>
> чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru 
> <mailto:rider@basealt.ru>>:
>
>     On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>     >
>     > http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>     >
>     >
>     > Ок. Почему их не собрать в gostcryрto?
>
>     Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда
>     можно
>     без него.
>
>     gostcrypto выглядит костылём.
>
>
> Я не согласен. Но подождем мнения ldv
>
Я знаю что ты не согласен, но это моё мнение, оно может быть правильным, 
не правильным но оно такое - компонента gostcrypto выглядит костылём.

Мнение ldv мне известно и оно имеет право на жизнь, не вижу никаких проблем.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 05.12.2019 21:45, Aleksey Novodvorsky wrote:
>
>
>
>
> чт, 5 дек. 2019 г., 20:17 Anton Farygin <rider@basealt.ru 
> <mailto:rider@basealt.ru>>:
>
>     On 05.12.2019 19:27, Aleksey Novodvorsky wrote:
>     >
>     >
>     >
>     >
>     > чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>:
>     >
>     >     On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>     >     >
>     >     > http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>     >     >
>     >     >
>     >     > Ок. Почему их не собрать в gostcryрto?
>     >
>     >     Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда
>     >     можно
>     >     без него.
>     >
>     >     gostcrypto выглядит костылём.
>     >
>     >
>     > Я не согласен. Но подождем мнения ldv
>     >
>     Я знаю что ты не согласен, но это моё мнение, оно может быть
>     правильным,
>     не правильным но оно такое - компонента gostcrypto выглядит костылём.
>
>     Мнение ldv мне известно и оно имеет право на жизнь, не вижу
>     никаких проблем.
>
>
> Принципиально важно, чтобы эти пакеты не мешали ни сборке, ни 
> установке, ни обновлению .
> В gostcryto с этим проще.
>
Принципиально важно сделать так, что бы этими пакетами можно было 
реально пользоваться в составе дистрибутивов. Наличие их в отдельной 
компоненте не упрощает этот процесс, а усложняет.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 06.12.2019 0:08, Aleksey Novodvorsky wrote:
>
>
>
>
> чт, 5 дек. 2019 г., 23:15 Anton Farygin <rider@basealt.ru 
> <mailto:rider@basealt.ru>>:
>
>     On 05.12.2019 21:45, Aleksey Novodvorsky wrote:
>     >
>     >
>     >
>     >
>     > чт, 5 дек. 2019 г., 20:17 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>:
>     >
>     >     On 05.12.2019 19:27, Aleksey Novodvorsky wrote:
>     >     >
>     >     >
>     >     >
>     >     >
>     >     > чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>
>     >     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>>:
>     >     >
>     >     >     On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>     >     >     >
>     >     >     >
>     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>     >     >     >
>     >     >     >
>     >     >     > Ок. Почему их не собрать в gostcryрto?
>     >     >
>     >     >     Не знаю, но по мне этот gostcrypto не нужен в тех
>     случаях. когда
>     >     >     можно
>     >     >     без него.
>     >     >
>     >     >     gostcrypto выглядит костылём.
>     >     >
>     >     >
>     >     > Я не согласен. Но подождем мнения ldv
>     >     >
>     >     Я знаю что ты не согласен, но это моё мнение, оно может быть
>     >     правильным,
>     >     не правильным но оно такое - компонента gostcrypto выглядит
>     костылём.
>     >
>     >     Мнение ldv мне известно и оно имеет право на жизнь, не вижу
>     >     никаких проблем.
>     >
>     >
>     > Принципиально важно, чтобы эти пакеты не мешали ни сборке, ни
>     > установке, ни обновлению .
>     > В gostcryto с этим проще.
>     >
>     Принципиально важно сделать так, что бы этими пакетами можно было
>     реально пользоваться в составе дистрибутивов. Наличие их в отдельной
>     компоненте не упрощает этот процесс, а усложняет.
>
> Я не включал бы эти пакеты в состав дистрибутивов до включения патчей 
> в апстрим.
К нам предъявляют другие требования, а включение в апстрим может занять 
годы если не десятилетия.
> Кроме того, как раз для коробочных продуктов нет проблем включения 
> компонент, это вполне прозрачно.

Неясен жизненный цикл этих пакетов, о чём ты написал ниже и я спрашивал 
в соседних письмах

> Компонента gostcryрto появилась, насколько я понял , потому, что Глеб 
> и sem не готовы к вечной оперативной поддержке патчей ГОСТ к oрenssh и 
> oрenvрn.
А вообще процесс по включению патчей в апстримы уже начался ?

Re: [devel] nss-gost и firefox-gost в Сизифе

[Dmitry V. Levin]

On Fri, Dec 06, 2019 at 06:52:16AM +0300, Anton Farygin wrote:
[...]
> К нам предъявляют другие требования, а включение в апстрим может занять 
> годы если не десятилетия.

Если к вам предъявляют другие требования, то это ваши проблемы.
Возможно, твоя реплика предназначалась для какого-то другого списка рассылки.

К ALT Linux Team никто таких требований не предъявляет.
Более того, люди могут инстинктивно избегать реализаций криптографии,
сделанных в обход апстрима, это их право.


-- 
ldv

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 06.12.2019 7:17, Dmitry V. Levin wrote:
> On Fri, Dec 06, 2019 at 06:52:16AM +0300, Anton Farygin wrote:
> [...]
>> К нам предъявляют другие требования, а включение в апстрим может занять
>> годы если не десятилетия.
> Если к вам предъявляют другие требования, то это ваши проблемы.
> Возможно, твоя реплика предназначалась для какого-то другого списка рассылки.
>
> К ALT Linux Team никто таких требований не предъявляет.
> Более того, люди могут инстинктивно избегать реализаций криптографии,
> сделанных в обход апстрима, это их право.

Речь идёт про некоторые дистрибутивы, естественно.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 06.12.2019 7:22, Aleksey Novodvorsky wrote:
>
>
>
> пт, 6 дек. 2019 г., 6:52 Anton Farygin <rider@basealt.ru 
> <mailto:rider@basealt.ru>>:
>
>     On 06.12.2019 0:08, Aleksey Novodvorsky wrote:
>     >
>     >
>     >
>     >
>     > чт, 5 дек. 2019 г., 23:15 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>:
>     >
>     >     On 05.12.2019 21:45, Aleksey Novodvorsky wrote:
>     >     >
>     >     >
>     >     >
>     >     >
>     >     > чт, 5 дек. 2019 г., 20:17 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>
>     >     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>>:
>     >     >
>     >     >     On 05.12.2019 19:27, Aleksey Novodvorsky wrote:
>     >     >     >
>     >     >     >
>     >     >     >
>     >     >     >
>     >     >     > чт, 5 дек. 2019 г., 19:18 Anton Farygin
>     <rider@basealt.ru <mailto:rider@basealt.ru>
>     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>
>     >     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>
>     >     >     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>
>     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>>>:
>     >     >     >
>     >     >     >     On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>     >     >     >     >
>     >     >     >     >
>     > http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>     >     >     >     >
>     >     >     >     >
>     >     >     >     > Ок. Почему их не собрать в gostcryрto?
>     >     >     >
>     >     >     >     Не знаю, но по мне этот gostcrypto не нужен в тех
>     >     случаях. когда
>     >     >     >     можно
>     >     >     >     без него.
>     >     >     >
>     >     >     >     gostcrypto выглядит костылём.
>     >     >     >
>     >     >     >
>     >     >     > Я не согласен. Но подождем мнения ldv
>     >     >     >
>     >     >     Я знаю что ты не согласен, но это моё мнение, оно
>     может быть
>     >     >     правильным,
>     >     >     не правильным но оно такое - компонента gostcrypto
>     выглядит
>     >     костылём.
>     >     >
>     >     >     Мнение ldv мне известно и оно имеет право на жизнь, не
>     вижу
>     >     >     никаких проблем.
>     >     >
>     >     >
>     >     > Принципиально важно, чтобы эти пакеты не мешали ни сборке, ни
>     >     > установке, ни обновлению .
>     >     > В gostcryto с этим проще.
>     >     >
>     >     Принципиально важно сделать так, что бы этими пакетами можно
>     было
>     >     реально пользоваться в составе дистрибутивов. Наличие их в
>     отдельной
>     >     компоненте не упрощает этот процесс, а усложняет.
>     >
>     > Я не включал бы эти пакеты в состав дистрибутивов до включения
>     патчей
>     > в апстрим.
>     К нам предъявляют другие требования, а включение в апстрим может
>     занять
>     годы если не десятилетия.
>     > Кроме того, как раз для коробочных продуктов нет проблем включения
>     > компонент, это вполне прозрачно.
>
>     Неясен жизненный цикл этих пакетов, о чём ты написал ниже и я
>     спрашивал
>     в соседних письмах
>
>
> Да.
> Также непонятна легитимность их применения для реальных задач .
Ну кто же запретит желающим.
> Конечно, хорошо дать всему миру свободно использовать наши 
> замечательные отечественные алгоритмы. Правда, желающих не слишком 
> много, больше оппонентов,но это политика.
Да, если отвлекаться от политики, то тут два варианта - либо этот код 
писали настолько плохие программисты что его стыдно отправлять в 
апстрим, либо просто перед ними не ставили такой задачи. И в данном 
случае я склоняюсь к последнему.
>   Хорошо также, хоть это тут оффтопик, иметь реализацию 
> свойств,которые бывают в конкурсных ТЗ. Но вот использование их в 
> работе госов , видимо, сомнительно. Я не могу говорить более 
> определенно, так как это выходит за рамки моей компетенции.
>
> С точки зрения российских пользователей, по-видимому, решения типа 
> Криптопро с chromium-gost оптимальны. Особенно при возможности 
> месячного (?) права бесплатного использования их проприетарных 
> модулей. Да и цена божеская . Но даже если ты не принял решение о 
> покупке, твой браузер не превратится в тыкву. .

Конечно, но это проприетарщина чистой воды со всеми вытекающими 
последствиями (и ещё более непонятным жизненным циклом). При всех равных 
я бы предпочёл пользоваться свободными продуктами для доступа к тем же 
госуслугам.


>
>
>     > Компонента gostcryрto появилась, насколько я понял , потому, что
>     Глеб
>     > и sem не готовы к вечной оперативной поддержке патчей ГОСТ к
>     oрenssh и
>     > oрenvрn.
>     А вообще процесс по включению патчей в апстримы уже начался ?
>
> Нет. Тут нужны или энтузиасты русского крипто (не путать с 
> криптоэнтузиасиами), или точное понимание зачем это делать, кроме как 
> защищаться от чужих ТЗ.
> Задачка хорошая, она решена, ну и с ней.

В этой рассылке, всё-таки, лучше говорить про opensource разработку, 
которой и являются реализованные функции в openvpn и openssh.

Врятли кто-то кроме авторов данных патчей сможет внятно работать по ним 
с апстримом.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Fri, 6 Dec 2019 07:59:14 +0300
Anton Farygin <rider@basealt.ru> пишет:

> С точки зрения российских пользователей, по-видимому, решения типа 
> > Криптопро с chromium-gost оптимальны. Особенно при возможности 
> > месячного (?) права бесплатного использования их проприетарных 
> > модулей. Да и цена божеская . Но даже если ты не принял решение о 
> > покупке, твой браузер не превратится в тыкву. .  
> 
> Конечно, но это проприетарщина чистой воды со всеми вытекающими 
> последствиями (и ещё более непонятным жизненным циклом). При всех
> равных я бы предпочёл пользоваться свободными продуктами для доступа
> к тем же госуслугам.

  Да, мне тоже очень показалось странным, что Алексей защищает
проприетарную программу.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Fri, 6 Dec 2019 14:43:40 +0300
Aleksey Novodvorsky <aen@altlinux.ru> пишет:

> пт, 6 дек. 2019 г., 13:10 Paul Wolneykien <manowar@altlinux.org>:
> 
> > В Fri, 6 Dec 2019 07:59:14 +0300
> > Anton Farygin <rider@basealt.ru> пишет:
> >  
> > > С точки зрения российских пользователей, по-видимому, решения
> > > типа  
> > > > Криптопро с chromium-gost оптимальны. Особенно при возможности
> > > > месячного (?) права бесплатного использования их проприетарных
> > > > модулей. Да и цена божеская . Но даже если ты не принял решение
> > > > о покупке, твой браузер не превратится в тыкву. .  
> > >
> > > Конечно, но это проприетарщина чистой воды со всеми вытекающими
> > > последствиями (и ещё более непонятным жизненным циклом). При всех
> > > равных я бы предпочёл пользоваться свободными продуктами для
> > > доступа к тем же госуслугам.  
> >
> >   Да, мне тоже очень показалось странным, что Алексей защищает
> > проприетарную программу.
> >  
> 
> Я ее не защищаю. Я говорю о
> -- легальности для основных потребителей отечественного крипто;
> -- удобстве основной массы пользователей,

  Алексей, я уверен, что среди адресатов списков рассылки devel@ и
sisyphus@ исчезающе мало лицензиатов КриптоПро. А вот желание и
даже необходимость получить доступ к одному из сайтов, отдающих
страницы по ГОСТ TLS, у них вполне может быть. Стало быть есть
достаточно классическое ущемление прав пользователей, которых, в
конечном итоге, вынуждают приобрести лицензию для доступа к сайту.
Стало быть, в рамках репозитория Sisyphus, это _ограничение свободы_
может быть ликвидировано только свободным аналогом проприетарного
решения. Стало быть, вывод о том, что решение, построенное на
проприетарной библиотеке, является более доступным для пользователей
Sisyphus вряд ли корректен.

> которые это крипто
> используют. Свободные реализации ГОСТ -- очень хорошее дело. Но очень
> непростое с разных точек зрения и его востребованность мне неясна.
> Тем более, что законодательство наше в части крипто рестриктивно и
> рынок поделён. Если есть достаточно энтузиазма -- отлично,вперёд.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 06.12.2019 15:23, Paul Wolneykien wrote:
> В Fri, 6 Dec 2019 14:43:40 +0300
> Aleksey Novodvorsky<aen@altlinux.ru>  пишет:
>
>> пт, 6 дек. 2019 г., 13:10 Paul Wolneykien<manowar@altlinux.org>:
>>
>>> В Fri, 6 Dec 2019 07:59:14 +0300
>>> Anton Farygin<rider@basealt.ru>  пишет:
>>>   
>>>> С точки зрения российских пользователей, по-видимому, решения
>>>> типа
>>>>> Криптопро с chromium-gost оптимальны. Особенно при возможности
>>>>> месячного (?) права бесплатного использования их проприетарных
>>>>> модулей. Да и цена божеская . Но даже если ты не принял решение
>>>>> о покупке, твой браузер не превратится в тыкву. .
>>>> Конечно, но это проприетарщина чистой воды со всеми вытекающими
>>>> последствиями (и ещё более непонятным жизненным циклом). При всех
>>>> равных я бы предпочёл пользоваться свободными продуктами для
>>>> доступа к тем же госуслугам.
>>>    Да, мне тоже очень показалось странным, что Алексей защищает
>>> проприетарную программу.
>>>   
>> Я ее не защищаю. Я говорю о
>> -- легальности для основных потребителей отечественного крипто;
>> -- удобстве основной массы пользователей,
>    Алексей, я уверен, что среди адресатов списков рассылки devel@ и
> sisyphus@ исчезающе мало лицензиатов КриптоПро. А вот желание и
> даже необходимость получить доступ к одному из сайтов, отдающих
> страницы по ГОСТ TLS, у них вполне может быть. Стало быть есть
> достаточно классическое ущемление прав пользователей, которых, в
> конечном итоге, вынуждают приобрести лицензию для доступа к сайту.
> Стало быть, в рамках репозитория Sisyphus, это_ограничение свободы_
> может быть ликвидировано только свободным аналогом проприетарного
> решения. Стало быть, вывод о том, что решение, построенное на
> проприетарной библиотеке, является более доступным для пользователей
> Sisyphus вряд ли корректен.
>
Да, я писал про это же.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Fri, 6 Dec 2019 06:52:16 +0300
Anton Farygin <rider@basealt.ru> пишет:

> > Я не включал бы эти пакеты в состав дистрибутивов до включения
> > патчей в апстрим.  
> К нам предъявляют другие требования, а включение в апстрим может
> занять годы если не десятилетия.

  При этом условием попадания в апстрим является наличие пользователей
патченной версии — апстрим спросил меня об этом прямым текстом. Таким
образом, мы должны начать распространять патченные версии раньше, чем
патчи будут включены в апстрим.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Mikhail Efremov]

On Fri, 6 Dec 2019 06:52:16 +0300 Anton Farygin wrote:
> On 06.12.2019 0:08, Aleksey Novodvorsky wrote:
> 
> > Компонента gostcryрto появилась, насколько я понял , потому, что Глеб 
> > и sem не готовы к вечной оперативной поддержке патчей ГОСТ к oрenssh и 
> > oрenvрn.  
> А вообще процесс по включению патчей в апстримы уже начался ?

В oрenvрn за основу я взял патчи, найденные в апстримном списке
рассылки, собственно. Тогда они апстрим не заинтересовали и я не думаю,
что с тех пор что-то изменилось.

-- 
WBR, Mikhail Efremov

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey V. Vissarionov]

On 2019-12-02 10:47:53 +0300, Michael Shigorin wrote:

 >>>> И тут выясняется, что заменить одну библиотеку на другую
 >>>> можно -- слинкованнная с ней программа продолжит работать,
 >>>> --- но нет гарантии, что apt выберет по умолчанию libnss,
 >>>> а не libnss-gost
 >>> А что, если собирать libnss-gost вместе с libnss из одного
 >>> srpm?
 >> Может быть и можно, но у меня сейчас возникла вот какая
 >> гипотеза: а нельзя ли собирать libnss-gost с каким-то таким
 >> disttag, чтобы apt не выбирал его для установки *без ведома
 >> пользователя*?
 > Насколько понимаю, загвоздка не столько в апте, сколько в
 > возможности (вполне реальной, не теоретической) разъезда ABI
 > библиотек в случае необходимости сборки новой апстримной
 > версии и невозможности оперативно обновить gost patch.

В этом случае надо делать libnss-gost отдельной библиотекой,
а не дублировать libnss с добавлением функций - тогда тот же
firefox-gost будет требовать и libnss, и libnss-gost, а обычный
firefox обойдется только libnss.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 10:57:15 +0300
"Alexey V. Vissarionov" <gremlin@altlinux.org> пишет:

> On 2019-12-02 10:47:53 +0300, Michael Shigorin wrote:
> 
>  >>>> И тут выясняется, что заменить одну библиотеку на другую
>  >>>> можно -- слинкованнная с ней программа продолжит работать,
>  >>>> --- но нет гарантии, что apt выберет по умолчанию libnss,
>  >>>> а не libnss-gost  
>  >>> А что, если собирать libnss-gost вместе с libnss из одного
>  >>> srpm?  
>  >> Может быть и можно, но у меня сейчас возникла вот какая
>  >> гипотеза: а нельзя ли собирать libnss-gost с каким-то таким
>  >> disttag, чтобы apt не выбирал его для установки *без ведома
>  >> пользователя*?  
>  > Насколько понимаю, загвоздка не столько в апте, сколько в
>  > возможности (вполне реальной, не теоретической) разъезда ABI
>  > библиотек в случае необходимости сборки новой апстримной
>  > версии и невозможности оперативно обновить gost patch.  
> 
> В этом случае надо делать libnss-gost отдельной библиотекой,
> а не дублировать libnss с добавлением функций - тогда тот же
> firefox-gost будет требовать и libnss, и libnss-gost, а обычный
> firefox обойдется только libnss.

  С точки зрения обобщённой логики --- всё хорошо, а с точки зрения
архитектуры NSS не очень. Я же не добавляю каких-то новых функций,
никак не расширяю API libnss. Я именно что, предоставляю альтернативную
реализацию *того же самого* интерфейса, т.е. того же самого набора
функций, что и в libnss. Да и то, альтернативную только в 5% случаев.

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey V. Vissarionov]

On 2019-12-02 11:07:58 +0300, Paul Wolneykien wrote:

 >>> Насколько понимаю, загвоздка не столько в апте, сколько в
 >>> возможности (вполне реальной, не теоретической) разъезда ABI
 >>> библиотек в случае необходимости сборки новой апстримной
 >>> версии и невозможности оперативно обновить gost patch.
 >> В этом случае надо делать libnss-gost отдельной библиотекой,
 >> а не дублировать libnss с добавлением функций - тогда тот же
 >> firefox-gost будет требовать и libnss, и libnss-gost, а
 >> обычный firefox обойдется только libnss.
 > С точки зрения обобщённой логики --- всё хорошо, а с точки
 > зрения архитектуры NSS не очень. Я же не добавляю каких-то
 > новых функций, никак не расширяю API libnss. Я именно что,
 > предоставляю альтернативную реализацию *того же самого*
 > интерфейса, т.е. того же самого набора функций, что и в
 > libnss. Да и то, альтернативную только в 5% случаев.

Хм... А если все же вынести ГОСТ 34.{10,11,12} в libnss-gost,
а libnss научить проверять их доступность через какой-нибудь
dlopen()? Доступно - пользуем, недоступно - да и хрен с ним.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Mikhail Novosyolov]

02.12.2019 11:24, Alexey V. Vissarionov пишет:
> On 2019-12-02 11:07:58 +0300, Paul Wolneykien wrote:
>
>   >>> Насколько понимаю, загвоздка не столько в апте, сколько в
>   >>> возможности (вполне реальной, не теоретической) разъезда ABI
>   >>> библиотек в случае необходимости сборки новой апстримной
>   >>> версии и невозможности оперативно обновить gost patch.
>   >> В этом случае надо делать libnss-gost отдельной библиотекой,
>   >> а не дублировать libnss с добавлением функций - тогда тот же
>   >> firefox-gost будет требовать и libnss, и libnss-gost, а
>   >> обычный firefox обойдется только libnss.
>   > С точки зрения обобщённой логики --- всё хорошо, а с точки
>   > зрения архитектуры NSS не очень. Я же не добавляю каких-то
>   > новых функций, никак не расширяю API libnss. Я именно что,
>   > предоставляю альтернативную реализацию *того же самого*
>   > интерфейса, т.е. того же самого набора функций, что и в
>   > libnss. Да и то, альтернативную только в 5% случаев.
>
> Хм... А если все же вынести ГОСТ 34.{10,11,12} в libnss-gost,
> а libnss научить проверять их доступность через какой-нибудь
> dlopen()? Доступно - пользуем, недоступно - да и хрен с ним.
>
А если в pkg-config *.pc обоих вариантов libnss добавить RPATH, 
gost-вариант ставить в отдельную директорию вне стандартных путей поиска 
библиотек, если gost-вариант установлен - будет использоваться он,а  
если нет - то в RPATH ничего не будет найдено.

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey V. Vissarionov]

On 2019-12-02 14:34:34 +0700, Антон Мидюков wrote:

 >>> Вы делаете пакет с альтернативной реализацией той же самой
 >>> библиотеки, которая уже реализована в пакете libnss, с тем
 >>> же soname
 >>> apt выберет не ту библиотеку, которую надо пользователю.
 >> Подожди, у меня вот не сходятся как раз эти два факта:
 >> а) альтернативные реализации soname не работают и
 >> б) apt выберет не ту библиотеку.
 >> пользователь устанавливает вместо штатной libnss пакет
 >> libnss-gost. [...] Согласись, что это было бы проще и для
 >> пользователя, и для поддержки пакетов.
 >> И тут выясняется, что заменить одну библиотеку на другую
 >> можно -- слинкованнная с ней программа продолжит работать,
 >> --- но нет гарантии, что apt выберет по умолчанию libnss,
 >> а не libnss-gost, так? Т.е. альтернативные реализации soname
 >> работают с программами, которые используют данные библиотеки,
 >> но "не работают" с apt. Неужели действительно нет способа
 >> объяснить apt, что от него требуется?

2 PW: про apt с уверенностью сказать не могу, а RPM такое вполне
понимает.

 > А что, если собирать libnss-gost вместе с libnss из одного srpm?
 > Библиотеки класть в %_libdir/libnss/ и %_libdir/libnss-gost
 > А уже симлинки на библиотеки в %_libdir переключать через
 > альтернативы.
   ^^^^^^^^^^^^
Кто как, а я вообще не вижу смысла в этом поделии. Если очень надо,
лучше в каждом пакете сделать %package с соответствующим симлинком,
и пусть эти симлинки просто конфликтуют между собой. А где припрет,
там можно прибить гвоздями явное имя целевого файла, а не симлинка.

 > Правда не уверен, что так с библиотеками возможно.

Технически это возможно. Но сильно подозреваю, что админы, которым
придется с этим работать, тебя проклянут :-)


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 4763 bytes --]

On Mon, Dec 02, 2019 at 10:20:40AM +0300, Paul Wolneykien wrote:
> В Mon, 2 Dec 2019 01:31:51 +0300, Dmitry V. Levin пишет:
> > On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:
> > > В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:  
> > > > On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org wrote:  
> > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:    
> > > > > > On Sun, Dec 01, 2019 at 07:30:51AM +0000, manowar@altlinux.org wrote:    
> > > > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > > > > > >   
> > > > > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> > > > > > > > wrote:    
> > > > > > > > > Hi,
> > > > > > > > > 
> > > > > > > > > Кто сломал сборку всех этих пакетов?    
> > > > > > > > 
> > > > > > > > Очевидно, это был пакет nss-gost:
> > > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > > > > |sort) |wc -l 124
> > > > > > > > 
> > > > > > > > Альтернативные провайдеры являются источником ошибок, и
> > > > > > > > пакет nss-gost - очередное тому напоминание.    
> > > > > > > 
> > > > > > > Я убрал явное дублирование Provides. Полегчало?    
> > > > > > 
> > > > > > В libnss-gost ничего не изменилось:    
> > > > > 
> > > > > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > > > > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?    
> > > > 
> > > > Все они ломают сборку, там же библиотека, это пересечение должно
> > > > быть пустым. То, что находится в libnss-gost, не должно быть
> > > > libnss.
> > > > 
> > > > Это даже не вопрос сборки, достаточно попробовать установить
> > > > пакеты, которые нужны для сборочной среды.  
> > > 
> > >   Да, в самом деле, установка среды спотыкается на выборе
> > > libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
> > > обойти соответствующим изменением *.pc внутри libnss-gost-devel.
> > > Может быть проблема имеет больше одного решения, и не нужно
> > > избавляться от всех пересечений между libnss и libnss-gost?  
> > 

> > Вы делаете пакет с альтернативной реализацией той же самой библиотеки,
> > которая уже реализована в пакете libnss, с тем же soname, которое в
> > libnss, и всё ещё надеетесь, что это может работать?  Нет, конечно,
> > это не может работать.  Альтернативные реализации soname не работают,
> > apt выберет не ту библиотеку, которую надо пользователю.
> 
>   Подожди, у меня вот не сходятся как раз эти два факта:
> 
>     а) альтернативные реализации soname не работают и
>     б) apt выберет не ту библиотеку.
> 
>   Это же разные вещи.

Это одно и то же в том смысле, что из-за (б) мы фактически имеем (а).
Вот, полюбуйтесь:

$ echo libnss-gost |LC_COLLATE=C join -11 -22 -o2.1 - /beehive/stats/Sisyphus-x86_64/ufb-2 |wc -l
778
$ echo libnss |LC_COLLATE=C join -11 -22 -o2.1 - /beehive/stats/Sisyphus-x86_64/ufb-2 |wc -l
1392

> Я исходил из того, чтобы поддержка ГОСТ
> появлялась бы в Firefox (и других браузерах и программах, работающих
> через NSS) очень простым способом: пользователь устанавливает вместо
> штатной libnss пакет libnss-gost. (Сейчас патч для firefox просто
> микроскопический и я думаю что вполне можно включить его в основную
> версию пакета firefox.) Согласись, что это было бы проще и для
> пользователя, и для поддержки пакетов.
> 
>   И тут выясняется, что заменить одну библиотеку на другую можно --
> слинкованнная с ней программа продолжит работать, --- но нет гарантии,
> что apt выберет по умолчанию libnss, а не libnss-gost, так? Т.е.
> альтернативные реализации soname работают с программами, которые

В каждый момент времени работает только одна реализация soname.
При известной аккуратности реализации взаимозаменяемые, что позволяет,
например, обновлять библиотеки - это по сути замена одной реализации
на другую, более новую (или менее новую).

> используют данные библиотеки, но "не работают" с apt. Неужели
> действительно нет способа объяснить apt, что от него требуется?

apt можно сконфигурировать таким образом, чтобы он при прочих равных
выбирал libnss, а не libnss-gost, но тогда пользователям, которые захотят
поставить libnss-gost, придётся переконфигурировать apt, чтобы он выбирал
libnss-gost.

А если есть готовность конфигурировать apt, тогда лучше собирать это добро
в недавно созданный apt component под названием gostcrypto, там уже есть
openssh и openvpn.

Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в gostcrypto.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 12:19:17 +0300
"Dmitry V. Levin" <ldv@altlinux.org> пишет:

> А если есть готовность конфигурировать apt, тогда лучше собирать это
> добро в недавно созданный apt component под названием gostcrypto, там
> уже есть openssh и openvpn.
> 
> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> gostcrypto.

  О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.

[devel] Q: gostcrypto howto

[Dmitry V. Levin]

On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> 
> > А если есть готовность конфигурировать apt, тогда лучше собирать это
> > добро в недавно созданный apt component под названием gostcrypto, там
> > уже есть openssh и openvpn.
> > 
> > Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> > gostcrypto.
> 
>   О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.

Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.


-- 
ldv

Re: [devel] Q: gostcrypto howto

[Anton Farygin]

On 02.12.2019 12:36, Dmitry V. Levin wrote:
> On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
>> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
>>
>>> А если есть готовность конфигурировать apt, тогда лучше собирать это
>>> добро в недавно созданный apt component под названием gostcrypto, там
>>> уже есть openssh и openvpn.
>>>
>>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
>>> gostcrypto.
>>    О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.
> Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
>
>
И ещё сразу было бы интересно обозначить жизненный цикл этой компоненты.

в p9 есть ?
И как в дистрибутивы включать, через pkgpriorities ?

Re: [devel] Q: gostcrypto howto

[Mikhail Efremov]

On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:
> On 02.12.2019 12:36, Dmitry V. Levin wrote:
> > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:  
> >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> >>  
> >>> А если есть готовность конфигурировать apt, тогда лучше собирать это
> >>> добро в недавно созданный apt component под названием gostcrypto, там
> >>> уже есть openssh и openvpn.
> >>>
> >>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> >>> gostcrypto.  

Просто в названии пакета должен быть суффикс gostcrypto, насколько я
понимаю. Т.е. libnss-gostcrypto, к примеру. И они не должны быть
noarch, там нет такого компонента.

> >>    О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.  
> > Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
> >
> >  
> И ещё сразу было бы интересно обозначить жизненный цикл этой компоненты.
> 
> в p9 есть ?

Будет, AFAIK.

> И как в дистрибутивы включать, через pkgpriorities ?

Я еще не пробовал, но думаю достаточно будет при сборке добавить в
source.list компонент и явно указать нужные пакеты в списках.

-- 
WBR, Mikhail Efremov

Re: [devel] Q: gostcrypto howto

[Sergey V Turchin]

On Monday, 2 December 2019 16:27:39 MSK Mikhail Efremov wrote:

[...]
> явно указать нужные пакеты в списках.
А в Requires пакетов из главного репозитория? Антон не просто так про 
pkgpriorities.

-- 
Regards, Sergey.

Re: [devel] Q: gostcrypto howto

[Mikhail Efremov]

On Mon, 02 Dec 2019 16:33:15 +0300 Sergey V Turchin wrote:
> On Monday, 2 December 2019 16:27:39 MSK Mikhail Efremov wrote:
> 
> [...]
> > явно указать нужные пакеты в списках.  
> А в Requires пакетов из главного репозитория? Антон не просто так про 
> pkgpriorities.
> 

Ну, openvpn-gostcrypto провайдит openvpn. Я так понимаю при явном
указании openvpn-gostcrypto apt не будет вытягивать openvpn.
Ну а если это не поможет, то видимо да, pkgpriorities.

-- 
WBR, Mikhail Efremov

Re: [devel] Q: gostcrypto howto

[Sergey V Turchin]

On Monday, 2 December 2019 16:38:29 MSK Mikhail Efremov wrote:
> On Mon, 02 Dec 2019 16:33:15 +0300 Sergey V Turchin wrote:
> > On Monday, 2 December 2019 16:27:39 MSK Mikhail Efremov wrote:
> > 
> > [...]
> > 
> > > явно указать нужные пакеты в списках.
> > 
> > А в Requires пакетов из главного репозитория? Антон не просто так про
> > pkgpriorities.
> 
> Ну, openvpn-gostcrypto провайдит openvpn. Я так понимаю
> при явном указании openvpn-gostcrypto
Сборочница пошлёт из-за зависимости на несуществующиё пакет.

> apt не будет вытягивать openvpn.
Поэтому mkimage будет вытягивать только openvpn, т.к. реальный пакет идёт 
всегда в 1-ю очередь.

> Ну а если это не поможет, то видимо да, pkgpriorities.
Однозначно. Не пробовал ни разу pkgpriorities, но, полагаю, например, Pin-
Priority не поможет.

-- 
Regards, Sergey.

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 16:27:39 +0300
Mikhail Efremov <sem@altlinux.org> пишет:

> On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:
> > On 02.12.2019 12:36, Dmitry V. Levin wrote:  
> > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > >   
> > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > >>    
> > >>> А если есть готовность конфигурировать apt, тогда лучше
> > >>> собирать это добро в недавно созданный apt component под
> > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > >>>
> > >>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> > >>> gostcrypto.    
> 
> Просто в названии пакета должен быть суффикс gostcrypto, насколько я
> понимаю. Т.е. libnss-gostcrypto, к примеру. И они не должны быть
> noarch, там нет такого компонента.

  Сейчас попробую.

> 
> > >>    О, а вот это действительно звучит неплохо. Я удаляю тогда из
> > >> Сизифа.    
> > > Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
> > >
> > >    
> > И ещё сразу было бы интересно обозначить жизненный цикл этой
> > компоненты.
> > 
> > в p9 есть ?  
> 
> Будет, AFAIK.
> 
> > И как в дистрибутивы включать, через pkgpriorities ?  
> 
> Я еще не пробовал, но думаю достаточно будет при сборке добавить в
> source.list компонент и явно указать нужные пакеты в списках.

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 16:35:45 +0300
Paul Wolneykien <manowar@altlinux.org> пишет:

> В Mon, 2 Dec 2019 16:27:39 +0300
> Mikhail Efremov <sem@altlinux.org> пишет:
> 
> > On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:  
> > > On 02.12.2019 12:36, Dmitry V. Levin wrote:    
> > > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > > >     
> > > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > >>      
> > > >>> А если есть готовность конфигурировать apt, тогда лучше
> > > >>> собирать это добро в недавно созданный apt component под
> > > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > > >>>
> > > >>> Коллеги, расскажите, пожалуйста, как правильно собирать
> > > >>> пакеты в gostcrypto.      
> > 
> > Просто в названии пакета должен быть суффикс gostcrypto, насколько я
> > понимаю. Т.е. libnss-gostcrypto, к примеру. И они не должны быть
> > noarch, там нет такого компонента.  
> 
>   Сейчас попробую.

  Не получается. Оно пишет, например,

libnss-gostcrypto-devel#3.47.0-alt1.gost1.2	libnss-gostcrypto =
3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1

  Однако я загрузил
libnss-gostcrypto-devel-3.47.0-alt1.gost1.2.x86_64.rpm и
libnss-gostcrypto-3.47.0-alt1.gost1.2.x86_64.rpm и смог установить оба
пакета в систему. Т.е. эти пакеты устанавливаются вместе, а
libnss-gostcrypto устанавливается отдельно.
  В чём здесь анмет?

http://git.altlinux.org/tasks/242135/logs/events.1.1.log


> > > >>    О, а вот это действительно звучит неплохо. Я удаляю тогда из
> > > >> Сизифа.      
> > > > Меняю тему, чтобы коллеги увидели вопрос, утонувший в
> > > > обсуждении.
> > > >
> > > >      
> > > И ещё сразу было бы интересно обозначить жизненный цикл этой
> > > компоненты.
> > > 
> > > в p9 есть ?    
> > 
> > Будет, AFAIK.
> >   
> > > И как в дистрибутивы включать, через pkgpriorities ?    
> > 
> > Я еще не пробовал, но думаю достаточно будет при сборке добавить в
> > source.list компонент и явно указать нужные пакеты в списках.  
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

Re: [devel] Q: gostcrypto howto

[Gleb Fotengauer-Malinovskiy]

[-- Attachment #1: Type: text/plain, Size: 1936 bytes --]

On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
> В Mon, 2 Dec 2019 16:35:45 +0300
> Paul Wolneykien <manowar@altlinux.org> пишет:
> 
> > В Mon, 2 Dec 2019 16:27:39 +0300
> > Mikhail Efremov <sem@altlinux.org> пишет:
> > 
> > > On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:  
> > > > On 02.12.2019 12:36, Dmitry V. Levin wrote:    
> > > > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > > > >     
> > > > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > > >>      
> > > > >>> А если есть готовность конфигурировать apt, тогда лучше
> > > > >>> собирать это добро в недавно созданный apt component под
> > > > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > > > >>>
> > > > >>> Коллеги, расскажите, пожалуйста, как правильно собирать
> > > > >>> пакеты в gostcrypto.      
> > > 
> > > Просто в названии пакета должен быть суффикс gostcrypto, насколько я
> > > понимаю. Т.е. libnss-gostcrypto, к примеру. И они не должны быть
> > > noarch, там нет такого компонента.  
> > 
> >   Сейчас попробую.
> 
>   Не получается. Оно пишет, например,
> 
> libnss-gostcrypto-devel#3.47.0-alt1.gost1.2	libnss-gostcrypto = 3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1

Пакеты попадают в компонент gostcrypto только если их называние
заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
classic.

-- 
glebfm

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 18:06:08 +0300
Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org> пишет:

> On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
> > В Mon, 2 Dec 2019 16:35:45 +0300
> > Paul Wolneykien <manowar@altlinux.org> пишет:
> >   
> > > В Mon, 2 Dec 2019 16:27:39 +0300
> > > Mikhail Efremov <sem@altlinux.org> пишет:
> > >   
> > > > On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:    
> > > > > On 02.12.2019 12:36, Dmitry V. Levin wrote:      
> > > > > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien
> > > > > > wrote: 
> > > > > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > > > >>        
> > > > > >>> А если есть готовность конфигурировать apt, тогда лучше
> > > > > >>> собирать это добро в недавно созданный apt component под
> > > > > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > > > > >>>
> > > > > >>> Коллеги, расскажите, пожалуйста, как правильно собирать
> > > > > >>> пакеты в gostcrypto.        
> > > > 
> > > > Просто в названии пакета должен быть суффикс gostcrypto,
> > > > насколько я понимаю. Т.е. libnss-gostcrypto, к примеру. И они
> > > > не должны быть noarch, там нет такого компонента.    
> > > 
> > >   Сейчас попробую.  
> > 
> >   Не получается. Оно пишет, например,
> > 
> > libnss-gostcrypto-devel#3.47.0-alt1.gost1.2
> > libnss-gostcrypto = 3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1  
> 
> Пакеты попадают в компонент gostcrypto только если их называние
> заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto
> попал в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в
> компонент classic.

  Знаешь, я о чём-то таком догадывался, но боялся спросить. :-)

  Допустим, я могу сделать что-то с libnss-gostcrypto-devel, чтобы он
назывался наоборот --- libnss-devel-gostcrypto, хотя это и ломает
привычное наименование пакетов (причём, не только у меня в голове, но и
наверняка в каких-нибудь скриптах и ещё в куче BuildRequires).
  Но что тогда делать с -debuginfo подпакетами? Их ведь не переименуешь.

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 18:24:33 +0300
Paul Wolneykien <manowar@altlinux.org> пишет:

> В Mon, 2 Dec 2019 18:06:08 +0300
> Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org> пишет:
> 
> > On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:  
> > > В Mon, 2 Dec 2019 16:35:45 +0300
> > > Paul Wolneykien <manowar@altlinux.org> пишет:
> > >     
> > > > В Mon, 2 Dec 2019 16:27:39 +0300
> > > > Mikhail Efremov <sem@altlinux.org> пишет:
> > > >     
> > > > > On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:      
> > > > > > On 02.12.2019 12:36, Dmitry V. Levin wrote:        
> > > > > > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien
> > > > > > > wrote:   
> > > > > > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > > > > >>          
> > > > > > >>> А если есть готовность конфигурировать apt, тогда лучше
> > > > > > >>> собирать это добро в недавно созданный apt component под
> > > > > > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > > > > > >>>
> > > > > > >>> Коллеги, расскажите, пожалуйста, как правильно собирать
> > > > > > >>> пакеты в gostcrypto.          
> > > > > 
> > > > > Просто в названии пакета должен быть суффикс gostcrypto,
> > > > > насколько я понимаю. Т.е. libnss-gostcrypto, к примеру. И они
> > > > > не должны быть noarch, там нет такого компонента.      
> > > > 
> > > >   Сейчас попробую.    
> > > 
> > >   Не получается. Оно пишет, например,
> > > 
> > > libnss-gostcrypto-devel#3.47.0-alt1.gost1.2
> > > libnss-gostcrypto = 3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1
> > >  
> > 
> > Пакеты попадают в компонент gostcrypto только если их называние
> > заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto
> > попал в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал
> > в компонент classic.  
> 
>   Знаешь, я о чём-то таком догадывался, но боялся спросить. :-)
> 
>   Допустим, я могу сделать что-то с libnss-gostcrypto-devel, чтобы он
> назывался наоборот --- libnss-devel-gostcrypto, хотя это и ломает
> привычное наименование пакетов (причём, не только у меня в голове, но
> и наверняка в каких-нибудь скриптах и ещё в куче BuildRequires).
>   Но что тогда делать с -debuginfo подпакетами? Их ведь не
> переименуешь.

  Там что-то собралось:
  http://git.altlinux.org/tasks/242135/logs/events.2.1.log . Это
годится, можно комитить?

  На сборку это не повлияло, однако, я не смог однозначно определиться
с наименованием -checkinstall пакета. Как он должен в данном случае
называться?

Re: [devel] Q: gostcrypto howto

[Mikhail Efremov]

On Mon, 2 Dec 2019 20:11:51 +0300 Paul Wolneykien wrote:
>   На сборку это не повлияло, однако, я не смог однозначно определиться
> с наименованием -checkinstall пакета. Как он должен в данном случае
> называться?

checkinstall это сам по себе отдельный компонент. Думаю, что этому
подпакету действительно лучше в компоненте checkinstall.

-- 
WBR, Mikhail Efremov

Re: [devel] Q: gostcrypto howto

[Alexey V. Vissarionov]

On 2019-12-02 18:06:08 +0300, Gleb Fotengauer-Malinovskiy wrote:
 >>>>>>>> Коллеги, расскажите, пожалуйста, как правильно собирать
 >>>>>>>> пакеты в gostcrypto.
 >>>> Просто в названии пакета должен быть суффикс gostcrypto,
 >>>> насколько я понимаю. Т.е. libnss-gostcrypto, к примеру.
 >>>> И они не должны быть noarch, там нет такого компонента.
 >>> Сейчас попробую.
 >> Не получается. Оно пишет, например,
 >> libnss-gostcrypto-devel#3.47.0-alt1.gost1.2
 >> libnss-gostcrypto = 3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1
 > Пакеты попадают в компонент gostcrypto только если их называние
 > заканчивается на -gostcrypto

Вижу смысл расширить признак до /-gostcrypto(-devel(-.*)?)?$/

 > в этом случае пакет libnss-gostcrypto попал в компонент
 > gostcrypto, а пакет libnss-gostcrypto-devel попал в
 > компонент classic.

Ну ведь это ни разу не expected behaviour...


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] Q: gostcrypto howto

[Mikhail Novosyolov]

02.12.2019 18:06, Gleb Fotengauer-Malinovskiy пишет:
> On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
>> <...>
> Пакеты попадают в компонент gostcrypto только если их называние
> заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
> в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
> classic.

Название чего? *.git, Name, ..?

А где можно почитать, что такое "компоненты"? Отдельный репозиторий, 
отключенный по умолчанию? А как обеспечивается синхронизация и 
гарантируется совместимость classic и gostcrypto?

Re: [devel] Q: gostcrypto howto

[Dmitry V. Levin]

On Tue, Dec 03, 2019 at 05:50:53PM +0300, Mikhail Novosyolov wrote:
> 02.12.2019 18:06, Gleb Fotengauer-Malinovskiy пишет:
> > On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
> >> <...>
> > Пакеты попадают в компонент gostcrypto только если их называние
> > заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
> > в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
> > classic.
> 
> Название чего? *.git, Name, ..?

Имени собранного пакета.

> А где можно почитать, что такое "компоненты"?

sources.list(5)

> Отдельный репозиторий, отключенный по умолчанию?

Часть репозитория, отдельный индекс.

> А как обеспечивается синхронизация и 

Это части одного репозитория.

> гарантируется совместимость classic и gostcrypto?

Примерно так же, как и совместимость classic и debuginfo.


-- 
ldv

Re: [devel] Q: gostcrypto howto

[Mikhail Novosyolov]

03.12.2019 23:32, Dmitry V. Levin пишет:
> On Tue, Dec 03, 2019 at 05:50:53PM +0300, Mikhail Novosyolov wrote:
>> 02.12.2019 18:06, Gleb Fotengauer-Malinovskiy пишет:
>>> On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
>>>> <...>
>>> Пакеты попадают в компонент gostcrypto только если их называние
>>> заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
>>> в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
>>> classic.
>> Название чего? *.git, Name, ..?
> Имени собранного пакета.
>
>> гарантируется совместимость classic и gostcrypto?
> Примерно так же, как и совместимость classic и debuginfo.

То есть, если из foo.src.rpm получатся пакеты foo.rpm, foo-gostcrypro.rpm и gost-debuginfo.rpm, то foo.rpm уйдет в classic, gost-debuginfo.rpm - в debuginfo, a foo-gostcrypro.rpm - в gostcryptо.

Понятно, спасибо.

Re: [devel] Q: gostcrypto howto

[Sergey V Turchin]

On Monday, 2 December 2019 18:06:08 MSK Gleb Fotengauer wrote:

[...]
> Пакеты попадают в компонент gostcrypto только если их называние
> заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
> в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
> classic.
Т.е. валидно из одного исходного пакета делать половину подпакетов для 
classic, а вторую для gostcrypto?

-- 
Regards, Sergey.

Re: [devel] Q: gostcrypto howto

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 1762 bytes --]

On Mon, 2 Dec 2019 12:36:32 +0300 Dmitry V. Levin wrote:
> On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > 
> > > А если есть готовность конфигурировать apt, тогда лучше собирать это
> > > добро в недавно созданный apt component под названием gostcrypto, там
> > > уже есть openssh и openvpn.
> > > 
> > > Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> > > gostcrypto.
> > 
> >   О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.
> 
> Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
 
Заодно прошу объяснить, для чего эта компонента вообще нужна?
Хотелось бы видеть openvpn и openssh с поддержкой gost в Сизифе.
Что этому объективно мешает?

Ну с libnss есть проблемы, так что да, её пока откладываем
в сторону. Но, по моему мнению, нужно работать по интеграции gost
в апстримы: как на нашем уровне (в Сизиф вместо сторонних
компонент), так и в апстримы пакетов.

В glibc же добавили (на уровне наших репо), в ядро добавили
(в апстрим). Нужно продолжать.


Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] Q: gostcrypto howto

[Anton Farygin]

On 02.12.2019 16:56, Andrey Savchenko wrote:
> On Mon, 2 Dec 2019 12:36:32 +0300 Dmitry V. Levin wrote:
>> On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
>>> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
>>>
>>>> А если есть готовность конфигурировать apt, тогда лучше собирать это
>>>> добро в недавно созданный apt component под названием gostcrypto, там
>>>> уже есть openssh и openvpn.
>>>>
>>>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
>>>> gostcrypto.
>>>    О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.
>> Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
>   
> Заодно прошу объяснить, для чего эта компонента вообще нужна?
> Хотелось бы видеть openvpn и openssh с поддержкой gost в Сизифе.
> Что этому объективно мешает?
>
> Ну с libnss есть проблемы, так что да, её пока откладываем
> в сторону. Но, по моему мнению, нужно работать по интеграции gost
> в апстримы: как на нашем уровне (в Сизиф вместо сторонних
> компонент), так и в апстримы пакетов.
>
> В glibc же добавили (на уровне наших репо), в ядро добавили
> (в апстрим). Нужно продолжать.
>
>
Да, мне тоже нравится эта идея.

Хотелсь бы услышать причину появления такой компоненты. Патчи недочитаны ?

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 19:27:32 +0300
Anton Farygin <rider@basealt.ru> пишет:

> On 02.12.2019 16:56, Andrey Savchenko wrote:
> > On Mon, 2 Dec 2019 12:36:32 +0300 Dmitry V. Levin wrote:  
> >> On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:  
> >>> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> >>>  
> >>>> А если есть готовность конфигурировать apt, тогда лучше собирать
> >>>> это добро в недавно созданный apt component под названием
> >>>> gostcrypto, там уже есть openssh и openvpn.
> >>>>
> >>>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> >>>> gostcrypto.  
> >>>    О, а вот это действительно звучит неплохо. Я удаляю тогда из
> >>> Сизифа.  
> >> Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.  
> >   
> > Заодно прошу объяснить, для чего эта компонента вообще нужна?
> > Хотелось бы видеть openvpn и openssh с поддержкой gost в Сизифе.
> > Что этому объективно мешает?
> >
> > Ну с libnss есть проблемы, так что да, её пока откладываем
> > в сторону. Но, по моему мнению, нужно работать по интеграции gost
> > в апстримы: как на нашем уровне (в Сизиф вместо сторонних
> > компонент), так и в апстримы пакетов.
> >
> > В glibc же добавили (на уровне наших репо), в ядро добавили
> > (в апстрим). Нужно продолжать.
> >
> >  
> Да, мне тоже нравится эта идея.
> 
> Хотелсь бы услышать причину появления такой компоненты. Патчи
> недочитаны ?

  Это вопрос про openssh и openvpn?

Re: [devel] Q: gostcrypto howto

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1692 bytes --]

On Mon, Dec 02, 2019 at 04:56:02PM +0300, Andrey Savchenko wrote:
> On Mon, 2 Dec 2019 12:36:32 +0300 Dmitry V. Levin wrote:
> > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > > В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > 
> > > > А если есть готовность конфигурировать apt, тогда лучше собирать это
> > > > добро в недавно созданный apt component под названием gostcrypto, там
> > > > уже есть openssh и openvpn.
> > > > 
> > > > Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> > > > gostcrypto.
> > > 
> > >   О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.
> > 
> > Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
>  
> Заодно прошу объяснить, для чего эта компонента вообще нужна?
> Хотелось бы видеть openvpn и openssh с поддержкой gost в Сизифе.
> Что этому объективно мешает?

В openssh поддержка gost реализована посредством динамической загрузки
алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
мне бы этого не хотелось в том openssh, которым я пользуюсь.

> Ну с libnss есть проблемы, так что да, её пока откладываем
> в сторону.

Вот для этого и нужна: чтобы было, куда отложить.

> Но, по моему мнению, нужно работать по интеграции gost
> в апстримы: как на нашем уровне (в Сизиф вместо сторонних
> компонент), так и в апстримы пакетов.

> В glibc же добавили (на уровне наших репо),

Это раньше было в glibc, а теперь оно уже в апстримном libcrypt.

> в ядро добавили (в апстрим). Нужно продолжать.

И то, и другое сделал один и тот же человек,
у него это очень хорошо получается.
Но это долго и хлопотно.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] Q: gostcrypto howto

[Mikhail Novosyolov]

03.12.2019 01:15, Dmitry V. Levin пишет:

>
> В openssh поддержка gost реализована посредством динамической загрузки
> алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> мне бы этого не хотелось в том openssh, которым я пользуюсь.
>
В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые so name, но разные мажорные версии, поэтому они нормально уживаются рядом с друг другом.

Это позволит избежать dlopen() внешней библиотеки libgost.so и избежать вызова depreceated функций, например, OpenSSL_add_all_algorithms(). С учетом близости близости апстримов libressl и openssh не вижу особой проблемы в применении альтернативной libssl.

А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов "правильна" и почему не хотелось бы ее иметь в своем openssh?

Мне не нравится идея подгружать внешние библиотеки в таком компоненте, как ssh, но затрудняюсь придумать хорошее обоснование. На ум приходят, например, потенциальные сложности с chroot, selinux (в openssh-gostcryptro нет правок чрутования для прокидывания libgost.so в chroot, интересно, как это должно работать).

Re: [devel] Q: gostcrypto howto

[Vladimir D. Seleznev]

On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> 03.12.2019 01:15, Dmitry V. Levin пишет:
> 
> >
> > В openssh поддержка gost реализована посредством динамической загрузки
> > алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> > мне бы этого не хотелось в том openssh, которым я пользуюсь.
> >
> В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка
> ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо
> openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые
> so name, но разные мажорные версии, поэтому они нормально уживаются
> рядом с друг другом.

У libssl и libcrypto из OpenSSL и LibreSSL разные soname'ы:

$ objdump -x /lib64/libcrypto.so.1.1 |grep SONAME
  SONAME               libcrypto.so.1.1
$ objdump -x /lib64/libssl.so.1.1 |grep SONAME
  SONAME               libssl.so.1.1
$ objdump -x /usr/lib64/libcrypto.so.45 |grep SONAME
  SONAME               libcrypto.so.45
$ objdump -x /usr/lib64/libssl.so.47 |grep SONAME
  SONAME               libssl.so.47

> Это позволит избежать dlopen() внешней библиотеки libgost.so и
> избежать вызова depreceated функций, например,
> OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
> libressl и openssh не вижу особой проблемы в применении альтернативной
> libssl.
> 
> А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
> "правильна" и почему не хотелось бы ее иметь в своем openssh?

По-моему, динамическая подгрузка алгоритмов — неправильное решение.

> Мне не нравится идея подгружать внешние библиотеки в таком компоненте,
> как ssh, но затрудняюсь придумать хорошее обоснование. На ум приходят,
> например, потенциальные сложности с chroot, selinux (в
> openssh-gostcryptro нет правок чрутования для прокидывания libgost.so
> в chroot, интересно, как это должно работать).

-- 
   С уважением,
   Владимир Селезнев

Re: [devel] Q: gostcrypto howto

[Mikhail Novosyolov]

09.12.2019 22:10, Vladimir D. Seleznev пишет:
> On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> <...>
>> Это позволит избежать dlopen() внешней библиотеки libgost.so и
>> избежать вызова depreceated функций, например,
>> OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
>> libressl и openssh не вижу особой проблемы в применении альтернативной
>> libssl.
>>
>> А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
>> "правильна" и почему не хотелось бы ее иметь в своем openssh?
> По-моему, динамическая подгрузка алгоритмов — неправильное решение.
А какие обоснования?

Re: [devel] Q: gostcrypto howto

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 2616 bytes --]

On Mon, 9 Dec 2019 22:10:24 +0300 Vladimir D. Seleznev wrote:
> On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> > 03.12.2019 01:15, Dmitry V. Levin пишет:
> > 
> > >
> > > В openssh поддержка gost реализована посредством динамической загрузки
> > > алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> > > мне бы этого не хотелось в том openssh, которым я пользуюсь.
> > >
> > В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка
> > ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо
> > openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые
> > so name, но разные мажорные версии, поэтому они нормально уживаются
> > рядом с друг другом.
> 
> У libssl и libcrypto из OpenSSL и LibreSSL разные soname'ы:
> 
> $ objdump -x /lib64/libcrypto.so.1.1 |grep SONAME
>   SONAME               libcrypto.so.1.1
> $ objdump -x /lib64/libssl.so.1.1 |grep SONAME
>   SONAME               libssl.so.1.1
> $ objdump -x /usr/lib64/libcrypto.so.45 |grep SONAME
>   SONAME               libcrypto.so.45
> $ objdump -x /usr/lib64/libssl.so.47 |grep SONAME
>   SONAME               libssl.so.47
> 
> > Это позволит избежать dlopen() внешней библиотеки libgost.so и
> > избежать вызова depreceated функций, например,
> > OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
> > libressl и openssh не вижу особой проблемы в применении альтернативной
> > libssl.
> > 
> > А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
> > "правильна" и почему не хотелось бы ее иметь в своем openssh?
> 
> По-моему, динамическая подгрузка алгоритмов — неправильное решение.

Использование криптобиблиотеки, отличной от поддерживаемой
апстримом,— тоже неправильно, на мой вгзляд. Но, тем не менее, мы
линкуем openssh с openssl, а не libressl.

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] Q: gostcrypto howto

[Vladimir D. Seleznev]

On Tue, Dec 10, 2019 at 11:50:16AM +0300, Andrey Savchenko wrote:
> On Mon, 9 Dec 2019 22:10:24 +0300 Vladimir D. Seleznev wrote:
> > On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> > > 03.12.2019 01:15, Dmitry V. Levin пишет:
> > > 
> > > >
> > > > В openssh поддержка gost реализована посредством динамической загрузки
> > > > алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> > > > мне бы этого не хотелось в том openssh, которым я пользуюсь.
> > > >
> > > В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка
> > > ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо
> > > openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые
> > > so name, но разные мажорные версии, поэтому они нормально уживаются
> > > рядом с друг другом.
> > 
> > У libssl и libcrypto из OpenSSL и LibreSSL разные soname'ы:
> > 
> > $ objdump -x /lib64/libcrypto.so.1.1 |grep SONAME
> >   SONAME               libcrypto.so.1.1
> > $ objdump -x /lib64/libssl.so.1.1 |grep SONAME
> >   SONAME               libssl.so.1.1
> > $ objdump -x /usr/lib64/libcrypto.so.45 |grep SONAME
> >   SONAME               libcrypto.so.45
> > $ objdump -x /usr/lib64/libssl.so.47 |grep SONAME
> >   SONAME               libssl.so.47
> > 
> > > Это позволит избежать dlopen() внешней библиотеки libgost.so и
> > > избежать вызова depreceated функций, например,
> > > OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
> > > libressl и openssh не вижу особой проблемы в применении альтернативной
> > > libssl.
> > > 
> > > А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
> > > "правильна" и почему не хотелось бы ее иметь в своем openssh?
> > 
> > По-моему, динамическая подгрузка алгоритмов — неправильное решение.
> 
> Использование криптобиблиотеки, отличной от поддерживаемой
> апстримом,— тоже неправильно, на мой вгзляд. Но, тем не менее, мы
> линкуем openssh с openssl, а не libressl.

Если ты имеешь в виду под апстримом openssh-portable, то они
поддерживают сборку как с LibreSSL, так и с OpenSSL. А если ты имеешь в
виду апстрим самого OpenSSH, то они не поддерживают сборку под Linux.

-- 
   С уважением,
   Владимир Селезнев

Re: [devel] Q: gostcrypto howto

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 3392 bytes --]

On Tue, 10 Dec 2019 18:57:03 +0300 Vladimir D. Seleznev wrote:
> On Tue, Dec 10, 2019 at 11:50:16AM +0300, Andrey Savchenko wrote:
> > On Mon, 9 Dec 2019 22:10:24 +0300 Vladimir D. Seleznev wrote:
> > > On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> > > > 03.12.2019 01:15, Dmitry V. Levin пишет:
> > > > 
> > > > >
> > > > > В openssh поддержка gost реализована посредством динамической загрузки
> > > > > алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> > > > > мне бы этого не хотелось в том openssh, которым я пользуюсь.
> > > > >
> > > > В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка
> > > > ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо
> > > > openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые
> > > > so name, но разные мажорные версии, поэтому они нормально уживаются
> > > > рядом с друг другом.
> > > 
> > > У libssl и libcrypto из OpenSSL и LibreSSL разные soname'ы:
> > > 
> > > $ objdump -x /lib64/libcrypto.so.1.1 |grep SONAME
> > >   SONAME               libcrypto.so.1.1
> > > $ objdump -x /lib64/libssl.so.1.1 |grep SONAME
> > >   SONAME               libssl.so.1.1
> > > $ objdump -x /usr/lib64/libcrypto.so.45 |grep SONAME
> > >   SONAME               libcrypto.so.45
> > > $ objdump -x /usr/lib64/libssl.so.47 |grep SONAME
> > >   SONAME               libssl.so.47
> > > 
> > > > Это позволит избежать dlopen() внешней библиотеки libgost.so и
> > > > избежать вызова depreceated функций, например,
> > > > OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
> > > > libressl и openssh не вижу особой проблемы в применении альтернативной
> > > > libssl.
> > > > 
> > > > А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
> > > > "правильна" и почему не хотелось бы ее иметь в своем openssh?
> > > 
> > > По-моему, динамическая подгрузка алгоритмов — неправильное решение.
> > 
> > Использование криптобиблиотеки, отличной от поддерживаемой
> > апстримом,— тоже неправильно, на мой вгзляд. Но, тем не менее, мы
> > линкуем openssh с openssl, а не libressl.
> 
> Если ты имеешь в виду под апстримом openssh-portable, то они
> поддерживают сборку как с LibreSSL, так и с OpenSSL. А если ты имеешь в
> виду апстрим самого OpenSSH, то они не поддерживают сборку под Linux.
 
Насколько я помню, openssh-portable собирался отказаться от
поддержки openssl в будущем.

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Anton V. Boyarshinov]

On Sun, 1 Dec 2019 01:53:13 +0300 Dmitry V. Levin wrote:

 
> Альтернативные провайдеры являются источником ошибок, и пакет nss-gost -
> очередное тому напоминание.

Полагаю, этому пакету самое место в компоненте gostcrypto.
 
> Видимо, упаковку альтернативных провайдеров следует регулировать.
> 
> > On Sat, Nov 30, 2019 at 06:37:13AM +0000, ALT beekeeper wrote:  
> > > 	14 NEW error logs
> > > 
> > > 389-adminutil-1.1.23-alt2
> > > 	Depends: 389-ds-base (= 1.4.1.10-alt2:sisyphus+240907.100.2.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > bijiben-3.34.1-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > firefox-70.0.1-alt1
> > > 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > firefox-esr-68.2.0-alt1
> > > 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > geary-3.34.2-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-calendar-3.34.2-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-contacts-3.34-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-maps-3.34.2-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-panel-3.34.1-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > volume_key-0.3.12-alt1
> > > 	libnss-devel: Depends: libnss (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.  
> 
> 
> -- 
> ldv