From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 9 Dec 2019 22:10:24 +0300 From: "Vladimir D. Seleznev" To: ALT Linux Team development discussions Message-ID: <20191209191024.GA31876@portlab> References: <20191201114628.GA8848@altlinux.org> <20191202011030.59c11fdb@rigel.localdomain> <20191201223151.GA14877@altlinux.org> <20191202102040.1b142c7f@rigel.localdomain> <20191202091917.GB21947@altlinux.org> <20191202122847.26ec9b0d@rigel.localdomain> <20191202093631.GD21947@altlinux.org> <20191202165602.95ec9d9af28c5568eb451c9e@altlinux.org> <20191202221555.GA30871@altlinux.org> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: User-Agent: Mutt/1.10.1 (2018-07-13) Subject: Re: [devel] Q: gostcrypto howto X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 09 Dec 2019 19:10:25 -0000 Archived-At: List-Archive: List-Post: On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote: > 03.12.2019 01:15, Dmitry V. Levin пишет: > > > > > В openssh поддержка gost реализована посредством динамической загрузки > > алгоритмов, что, с одной стороны, правильно, но, с другой стороны, > > мне бы этого не хотелось в том openssh, которым я пользуюсь. > > > В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка > ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо > openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые > so name, но разные мажорные версии, поэтому они нормально уживаются > рядом с друг другом. У libssl и libcrypto из OpenSSL и LibreSSL разные soname'ы: $ objdump -x /lib64/libcrypto.so.1.1 |grep SONAME SONAME libcrypto.so.1.1 $ objdump -x /lib64/libssl.so.1.1 |grep SONAME SONAME libssl.so.1.1 $ objdump -x /usr/lib64/libcrypto.so.45 |grep SONAME SONAME libcrypto.so.45 $ objdump -x /usr/lib64/libssl.so.47 |grep SONAME SONAME libssl.so.47 > Это позволит избежать dlopen() внешней библиотеки libgost.so и > избежать вызова depreceated функций, например, > OpenSSL_add_all_algorithms(). С учетом близости близости апстримов > libressl и openssh не вижу особой проблемы в применении альтернативной > libssl. > > А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов > "правильна" и почему не хотелось бы ее иметь в своем openssh? По-моему, динамическая подгрузка алгоритмов — неправильное решение. > Мне не нравится идея подгружать внешние библиотеки в таком компоненте, > как ssh, но затрудняюсь придумать хорошее обоснование. На ум приходят, > например, потенциальные сложности с chroot, selinux (в > openssh-gostcryptro нет правок чрутования для прокидывания libgost.so > в chroot, интересно, как это должно работать). -- С уважением, Владимир Селезнев