From: Paul Wolneykien <manowar@altlinux.org>
To: devel@lists.altlinux.org
Subject: Re: [devel] nss-gost и firefox-gost в Сизифе
Date: Tue, 10 Dec 2019 14:40:14 +0300
Message-ID: <20191210144014.36cde9e2@rigel.localdomain> (raw)
In-Reply-To: <tqcjv3.q21zpc.31m6fa-qmf@imap.altlinux.org>
[-- Attachment #1: Type: text/plain, Size: 2983 bytes --]
В Thu, 5 Dec 2019 19:05:35 +0000
manowar@altlinux.org пишет:
> Четверг, 5 декабря 2019 г получено от Dmitry V. Levin:
> >
> > Поместить в gostcrypto или сменить soname - два разных подхода,
> > выбор зависит от решаемой задачи. Если нужна библиотека, которую
> > можно использовать одновременно с обычной, то смена soname и полный
> > развод provides. Если нужна библиотека, которую можно использовать
> > вместо обычной, то сохранение soname и помещение в gostcrypto.
>
> Вариант "вместо" (gostcrypto) будет особенно интересен, если мы
> договоримся включить номера ГОСТовых шифронаборов в базовую версию
> Firefox.
Прилагаю патч, который разрешает использование шифронаборов с
номерами C100--C102 и 81 для HTTPS. Смысл его в том, что он разрешает
принять данные шифронаборы к рассмотрению в рамках процедуры установки
соединения. При этом фактическое использование шифронабора зависит от
соблюдения двух условий: 1) шифронабор поддерживается каким-либо
модулем NSS; 2) шифронабор поддерживается сайтом. Таким образом, с
обыкновенной сборкой NSS поведение браузера никак не изменится,
поскольку не будет соблюдено условие (1). Но при замене libnss на
libnss-gostcrypto оно, напротив, будет соблюдено и тем самым откроется
доступ к сайтам (2).
2legion@: Насколько вероятно, по вашему, одобрение данного патча
Mozilla для использования в нашей сборке Firefox (т.е. в Сизифе)?
> Поясню. Сейчас у меня эти номера берутся из констант,
> добавленных в NSS. Но ничто не мешает определить эти номера
> непосредственно в коде firefox, потому что они не с неба свалились, а
> определены в стандарте.
> И тогда, действительно, мы получим систему, в
> которой ГОСТ включается простой заменой одной библиотеки на другую,
> без переустановки пакетов.
[-- Attachment #2: firefox-70.0.1-gost-ciphersuites.patch --]
[-- Type: text/x-patch, Size: 1706 bytes --]
diff --git a/mozilla/security/manager/ssl/nsNSSComponent.cpp b/mozilla/security/manager/ssl/nsNSSComponent.cpp
index c091ce7a763..5fd5a9bb549 100644
--- a/mozilla/security/manager/ssl/nsNSSComponent.cpp
+++ b/mozilla/security/manager/ssl/nsNSSComponent.cpp
@@ -903,6 +903,16 @@ nsresult LoadLoadableRootsTask::LoadLoadableRoots() {
return NS_ERROR_FAILURE;
}
+// These cipher suites are already assigned to GOST by IANA --- see
+// https://www.iana.org/assignments/tls-parameters/tls-parameters-4.csv .
+#define TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC 0xC100
+#define TLS_GOSTR341112_256_WITH_MAGMA_CTR_OMAC 0xC101
+#define TLS_GOSTR341112_256_WITH_28147_CNT_IMIT 0xC102
+
+// This cipher suite is known to be used by https://eruz.zakupki.gov.ru/
+// for GOST-R-3411.94 with GOST-28147 IMIT mode cipher:
+#define TLS_GOSTR341194_WITH_28147_CNT_IMIT 0x0081
+
// Table of pref names and SSL cipher ID
typedef struct {
const char* pref;
@@ -956,6 +966,18 @@ static const CipherPref sCipherPrefs[] = {
{"security.ssl3.rsa_des_ede3_sha", TLS_RSA_WITH_3DES_EDE_CBC_SHA,
true}, // deprecated (RSA key exchange, 3DES)
+ {"security.ssl3.ecdhe_gostr_3411_12_256_kuznyechik_ctr_omac",
+ TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC, true},
+
+ {"security.ssl3.ecdhe_gostr_3411_12_256_magma_ctr_omac",
+ TLS_GOSTR341112_256_WITH_MAGMA_CTR_OMAC, true},
+
+ {"security.ssl3.ecdhe_gostr_3411_12_256_28147_cnt_imit",
+ TLS_GOSTR341112_256_WITH_28147_CNT_IMIT, true},
+
+ {"security.ssl3.ecdhe_gostr_3411_94_256_28147_cnt_imit",
+ TLS_GOSTR341194_WITH_28147_CNT_IMIT, true},
+
// All the rest are disabled
{nullptr, 0} // end marker
next prev parent reply other threads:[~2019-12-10 11:40 UTC|newest]
Thread overview: 90+ messages / expand[flat|nested] mbox.gz Atom feed top
2019-11-30 21:47 ` [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727) Dmitry V. Levin
2019-11-30 22:53 ` Dmitry V. Levin
2019-12-01 7:30 ` manowar
2019-12-01 9:25 ` Dmitry V. Levin
2019-12-01 11:25 ` manowar
2019-12-01 11:46 ` Dmitry V. Levin
2019-12-01 22:10 ` Paul Wolneykien
2019-12-01 22:31 ` Dmitry V. Levin
2019-12-02 0:21 ` [devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)) Andrey Savchenko
2019-12-02 1:22 ` Aleksey Novodvorsky
2019-12-02 3:57 ` Anton Farygin
2019-12-02 5:57 ` [devel] Поддержка libnss-gost Michael Shigorin
2019-12-02 7:27 ` [devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)) Paul Wolneykien
2019-12-02 7:20 ` [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727) Paul Wolneykien
2019-12-02 7:34 ` Антон Мидюков
2019-12-02 7:43 ` Paul Wolneykien
2019-12-02 7:47 ` Michael Shigorin
2019-12-02 7:54 ` Paul Wolneykien
2019-12-02 9:27 ` Alexey Gladkov
2019-12-02 9:31 ` Paul Wolneykien
2019-12-02 10:13 ` Alexey Gladkov
2019-12-03 9:53 ` [devel] nss-gost и firefox-gost в Сизифе Paul Wolneykien
2019-12-03 10:46 ` Alexey Gladkov
2019-12-03 10:58 ` Paul Wolneykien
2019-12-04 12:08 ` Paul Wolneykien
2019-12-04 15:18 ` Vladimir D. Seleznev
2019-12-04 16:05 ` manowar
2019-12-05 9:44 ` Alexey Gladkov
2019-12-05 9:50 ` Paul Wolneykien
2019-12-05 10:01 ` Alexey Gladkov
2019-12-05 10:08 ` Michael Shigorin
2019-12-05 10:16 ` Alexey Gladkov
2019-12-05 10:20 ` Paul Wolneykien
2019-12-05 15:29 ` Paul Wolneykien
2019-12-05 16:04 ` Anton Farygin
2019-12-05 16:18 ` Anton Farygin
2019-12-05 17:03 ` manowar
2019-12-05 18:36 ` Dmitry V. Levin
2019-12-05 19:05 ` manowar
2019-12-07 14:33 ` Mikhail Novosyolov
2019-12-10 11:40 ` Paul Wolneykien [this message]
2019-12-10 15:43 ` Alexey Gladkov
2019-12-11 10:48 ` Paul Wolneykien
2019-12-11 12:13 ` Alexey Gladkov
2019-12-05 17:17 ` Anton Farygin
2019-12-05 20:15 ` Anton Farygin
2019-12-06 3:52 ` Anton Farygin
2019-12-06 4:17 ` Dmitry V. Levin
2019-12-06 4:49 ` Anton Farygin
2019-12-06 4:59 ` Anton Farygin
2019-12-06 10:10 ` Paul Wolneykien
2019-12-06 12:23 ` Paul Wolneykien
2019-12-06 16:29 ` Anton Farygin
2019-12-06 10:13 ` Paul Wolneykien
2019-12-06 13:00 ` Mikhail Efremov
2019-12-02 7:57 ` [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727) Alexey V. Vissarionov
2019-12-02 8:07 ` Paul Wolneykien
2019-12-02 8:24 ` Alexey V. Vissarionov
2019-12-03 14:05 ` Mikhail Novosyolov
2019-12-02 7:50 ` Alexey V. Vissarionov
2019-12-02 9:19 ` Dmitry V. Levin
2019-12-02 9:28 ` Paul Wolneykien
2019-12-02 9:36 ` [devel] Q: gostcrypto howto Dmitry V. Levin
2019-12-02 11:16 ` Anton Farygin
2019-12-02 13:27 ` Mikhail Efremov
2019-12-02 13:33 ` Sergey V Turchin
2019-12-02 13:38 ` Mikhail Efremov
2019-12-02 13:48 ` Sergey V Turchin
2019-12-02 13:35 ` Paul Wolneykien
2019-12-02 15:07 ` Paul Wolneykien
2019-12-02 15:06 ` Gleb Fotengauer-Malinovskiy
2019-12-02 15:24 ` Paul Wolneykien
2019-12-02 17:11 ` Paul Wolneykien
2019-12-02 17:30 ` Mikhail Efremov
2019-12-02 17:15 ` Alexey V. Vissarionov
2019-12-03 14:50 ` Mikhail Novosyolov
2019-12-03 20:32 ` Dmitry V. Levin
2019-12-04 21:13 ` Mikhail Novosyolov
2020-06-11 14:06 ` Sergey V Turchin
2019-12-02 13:56 ` Andrey Savchenko
2019-12-02 16:27 ` Anton Farygin
2019-12-02 16:32 ` Paul Wolneykien
2019-12-02 22:15 ` Dmitry V. Levin
2019-12-09 17:35 ` Mikhail Novosyolov
2019-12-09 19:10 ` Vladimir D. Seleznev
2019-12-10 4:38 ` Mikhail Novosyolov
2019-12-10 8:50 ` Andrey Savchenko
2019-12-10 15:57 ` Vladimir D. Seleznev
2019-12-10 16:39 ` Andrey Savchenko
2019-12-02 11:13 ` [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727) Anton V. Boyarshinov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20191210144014.36cde9e2@rigel.localdomain \
--to=manowar@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git