Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1730 bytes --]

Hi,

Кто сломал сборку всех этих пакетов?

On Sat, Nov 30, 2019 at 06:37:13AM +0000, ALT beekeeper wrote:
> 	14 NEW error logs
> 
> 389-adminutil-1.1.23-alt2
> 	Depends: 389-ds-base (= 1.4.1.10-alt2:sisyphus+240907.100.2.1)
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.
> 
> bijiben-3.34.1-alt1
> 	yelp-tools: Depends: jing
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.
> 
> firefox-70.0.1-alt1
> 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.
> 
> firefox-esr-68.2.0-alt1
> 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.
> 
> geary-3.34.2-alt1
> 	yelp-tools: Depends: jing
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.
> 
> gnome-calendar-3.34.2-alt1
> 	yelp-tools: Depends: jing
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.
> 
> gnome-contacts-3.34-alt1
> 	yelp-tools: Depends: jing
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.
> 
> gnome-maps-3.34.2-alt1
> 	yelp-tools: Depends: jing
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.
> 
> gnome-panel-3.34.1-alt1
> 	yelp-tools: Depends: jing
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.
> 
> volume_key-0.3.12-alt1
> 	libnss-devel: Depends: libnss (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> 	E: Broken packages
> 	hsh-install: Failed to calculate package file list.

-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2334 bytes --]

On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin wrote:
> Hi,
> 
> Кто сломал сборку всех этих пакетов?

Очевидно, это был пакет nss-gost:
$ comm -12 <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort) <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm |sort) |wc -l
124

Альтернативные провайдеры являются источником ошибок, и пакет nss-gost -
очередное тому напоминание.

Видимо, упаковку альтернативных провайдеров следует регулировать.

> On Sat, Nov 30, 2019 at 06:37:13AM +0000, ALT beekeeper wrote:
> > 	14 NEW error logs
> > 
> > 389-adminutil-1.1.23-alt2
> > 	Depends: 389-ds-base (= 1.4.1.10-alt2:sisyphus+240907.100.2.1)
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.
> > 
> > bijiben-3.34.1-alt1
> > 	yelp-tools: Depends: jing
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.
> > 
> > firefox-70.0.1-alt1
> > 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.
> > 
> > firefox-esr-68.2.0-alt1
> > 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.
> > 
> > geary-3.34.2-alt1
> > 	yelp-tools: Depends: jing
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.
> > 
> > gnome-calendar-3.34.2-alt1
> > 	yelp-tools: Depends: jing
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.
> > 
> > gnome-contacts-3.34-alt1
> > 	yelp-tools: Depends: jing
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.
> > 
> > gnome-maps-3.34.2-alt1
> > 	yelp-tools: Depends: jing
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.
> > 
> > gnome-panel-3.34.1-alt1
> > 	yelp-tools: Depends: jing
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.
> > 
> > volume_key-0.3.12-alt1
> > 	libnss-devel: Depends: libnss (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > 	E: Broken packages
> > 	hsh-install: Failed to calculate package file list.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[manowar]

Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin wrote:
> > Hi,
> > 
> > Кто сломал сборку всех этих пакетов?
> 
> Очевидно, это был пакет nss-gost:
> $ comm -12 <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort) <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm |sort) |wc -l
> 124
> 
> Альтернативные провайдеры являются источником ошибок, и пакет nss-gost -
> очередное тому напоминание.

Я убрал явное дублирование Provides. Полегчало?
 
> Видимо, упаковку альтернативных провайдеров следует регулировать.
> 
> > On Sat, Nov 30, 2019 at 06:37:13AM +0000, ALT beekeeper wrote:
> > > 	14 NEW error logs
> > > 
> > > 389-adminutil-1.1.23-alt2
> > > 	Depends: 389-ds-base (= 1.4.1.10-alt2:sisyphus+240907.100.2.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > bijiben-3.34.1-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > firefox-70.0.1-alt1
> > > 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > firefox-esr-68.2.0-alt1
> > > 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > geary-3.34.2-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-calendar-3.34.2-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-contacts-3.34-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-maps-3.34.2-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-panel-3.34.1-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > volume_key-0.3.12-alt1
> > > 	libnss-devel: Depends: libnss (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> 
> 
> -- 
> ldv
>

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Dmitry V. Levin]

On Sun, Dec 01, 2019 at 07:30:51AM +0000, manowar@altlinux.org wrote:
> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin wrote:
> > > Hi,
> > > 
> > > Кто сломал сборку всех этих пакетов?
> > 
> > Очевидно, это был пакет nss-gost:
> > $ comm -12 <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort) <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm |sort) |wc -l
> > 124
> > 
> > Альтернативные провайдеры являются источником ошибок, и пакет nss-gost -
> > очередное тому напоминание.
> 
> Я убрал явное дублирование Provides. Полегчало?

В libnss-gost ничего не изменилось:

$ comm -12 <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort) <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm |sort) |wc -l
124


-- 
ldv

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[manowar]

Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> On Sun, Dec 01, 2019 at 07:30:51AM +0000, manowar@altlinux.org wrote:
> > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin wrote:
> > > > Hi,
> > > > 
> > > > Кто сломал сборку всех этих пакетов?
> > > 
> > > Очевидно, это был пакет nss-gost:
> > > $ comm -12 <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort) <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm |sort) |wc -l
> > > 124
> > > 
> > > Альтернативные провайдеры являются источником ошибок, и пакет nss-gost -
> > > очередное тому напоминание.
> > 
> > Я убрал явное дублирование Provides. Полегчало?
> 
> В libnss-gost ничего не изменилось:

Тогда я не понимаю, какой именно Provides ломает сборку. Можно где-нибудь посмотреть полный лог сборки сломавшихся пакетов?

 
> $ comm -12 <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort) <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm |sort) |wc -l
> 124
> 
> 
> -- 
> ldv
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/deve

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1671 bytes --]

On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org wrote:
> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > On Sun, Dec 01, 2019 at 07:30:51AM +0000, manowar@altlinux.org wrote:
> > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin wrote:
> > > > > Hi,
> > > > > 
> > > > > Кто сломал сборку всех этих пакетов?
> > > > 
> > > > Очевидно, это был пакет nss-gost:
> > > > $ comm -12 <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort) <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm |sort) |wc -l
> > > > 124
> > > > 
> > > > Альтернативные провайдеры являются источником ошибок, и пакет nss-gost -
> > > > очередное тому напоминание.
> > > 
> > > Я убрал явное дублирование Provides. Полегчало?
> > 
> > В libnss-gost ничего не изменилось:
> 
> Тогда я не понимаю, какой именно Provides ломает сборку. Можно где-нибудь посмотреть полный лог сборки сломавшихся пакетов?

Все они ломают сборку, там же библиотека, это пересечение должно быть пустым.
То, что находится в libnss-gost, не должно быть libnss.

Это даже не вопрос сборки, достаточно попробовать установить пакеты, которые
нужны для сборочной среды.

Полные логи доступны в обычном месте:
http://git.altlinux.org/beehive/logs/Sisyphus-x86_64/latest/error/

> > $ comm -12 <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort) <(rpmquery --provides -p Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm |sort) |wc -l
> > 124


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Sun, 1 Dec 2019 14:46:28 +0300
"Dmitry V. Levin" <ldv@altlinux.org> пишет:

> On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org wrote:
> > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:  
> > > On Sun, Dec 01, 2019 at 07:30:51AM +0000, manowar@altlinux.org
> > > wrote:  
> > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:  
> > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> > > > > wrote:  
> > > > > > Hi,
> > > > > > 
> > > > > > Кто сломал сборку всех этих пакетов?  
> > > > > 
> > > > > Очевидно, это был пакет nss-gost:
> > > > > $ comm -12 <(rpmquery --provides -p
> > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > |sort) <(rpmquery --provides -p
> > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > |sort) |wc -l 124
> > > > > 
> > > > > Альтернативные провайдеры являются источником ошибок, и пакет
> > > > > nss-gost - очередное тому напоминание.  
> > > > 
> > > > Я убрал явное дублирование Provides. Полегчало?  
> > > 
> > > В libnss-gost ничего не изменилось:  
> > 
> > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?  
> 
> Все они ломают сборку, там же библиотека, это пересечение должно быть
> пустым. То, что находится в libnss-gost, не должно быть libnss.
> 
> Это даже не вопрос сборки, достаточно попробовать установить пакеты,
> которые нужны для сборочной среды.

  Да, в самом деле, установка среды спотыкается на выборе
libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно обойти
соответствующим изменением *.pc внутри libnss-gost-devel. Может быть
проблема имеет больше одного решения, и не нужно избавляться от всех
пересечений между libnss и libnss-gost?


> Полные логи доступны в обычном месте:
> http://git.altlinux.org/beehive/logs/Sisyphus-x86_64/latest/error/
> 
> > > $ comm -12 <(rpmquery --provides -p
> > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort)
> > > <(rpmquery --provides -p
> > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm
> > > |sort) |wc -l 124  
> 
> 

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2759 bytes --]

On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:
> В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:
> > On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org wrote:
> > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:  
> > > > On Sun, Dec 01, 2019 at 07:30:51AM +0000, manowar@altlinux.org wrote:  
> > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:  
> > > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> > > > > > wrote:  
> > > > > > > Hi,
> > > > > > > 
> > > > > > > Кто сломал сборку всех этих пакетов?  
> > > > > > 
> > > > > > Очевидно, это был пакет nss-gost:
> > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > > |sort) <(rpmquery --provides -p
> > > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > > |sort) |wc -l 124
> > > > > > 
> > > > > > Альтернативные провайдеры являются источником ошибок, и пакет
> > > > > > nss-gost - очередное тому напоминание.  
> > > > > 
> > > > > Я убрал явное дублирование Provides. Полегчало?  
> > > > 
> > > > В libnss-gost ничего не изменилось:  
> > > 
> > > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?  
> > 
> > Все они ломают сборку, там же библиотека, это пересечение должно быть
> > пустым. То, что находится в libnss-gost, не должно быть libnss.
> > 
> > Это даже не вопрос сборки, достаточно попробовать установить пакеты,
> > которые нужны для сборочной среды.
> 
>   Да, в самом деле, установка среды спотыкается на выборе
> libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно обойти
> соответствующим изменением *.pc внутри libnss-gost-devel. Может быть
> проблема имеет больше одного решения, и не нужно избавляться от всех
> пересечений между libnss и libnss-gost?

Вы делаете пакет с альтернативной реализацией той же самой библиотеки,
которая уже реализована в пакете libnss, с тем же soname, которое в
libnss, и всё ещё надеетесь, что это может работать?  Нет, конечно,
это не может работать.  Альтернативные реализации soname не работают,
apt выберет не ту библиотеку, которую надо пользователю.
По сути выбор из двух вариантов: поменять soname либо удалить.

> > Полные логи доступны в обычном месте:
> > http://git.altlinux.org/beehive/logs/Sisyphus-x86_64/latest/error/
> > 
> > > > $ comm -12 <(rpmquery --provides -p
> > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm |sort)
> > > > <(rpmquery --provides -p
> > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm
> > > > |sort) |wc -l 124  

-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

[devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727))

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 4622 bytes --]

On Mon, 2 Dec 2019 01:31:51 +0300 Dmitry V. Levin wrote:
> On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:
> > В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:
> > > On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org wrote:
> > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:  
> > > > > On Sun, Dec 01, 2019 at 07:30:51AM +0000, manowar@altlinux.org wrote:  
> > > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:  
> > > > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> > > > > > > wrote:  
> > > > > > > > Hi,
> > > > > > > > 
> > > > > > > > Кто сломал сборку всех этих пакетов?  
> > > > > > > 
> > > > > > > Очевидно, это был пакет nss-gost:
> > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > > > |sort) |wc -l 124
> > > > > > > 
> > > > > > > Альтернативные провайдеры являются источником ошибок, и пакет
> > > > > > > nss-gost - очередное тому напоминание.  
> > > > > > 
> > > > > > Я убрал явное дублирование Provides. Полегчало?  
> > > > > 
> > > > > В libnss-gost ничего не изменилось:  
> > > > 
> > > > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > > > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?  
> > > 
> > > Все они ломают сборку, там же библиотека, это пересечение должно быть
> > > пустым. То, что находится в libnss-gost, не должно быть libnss.
> > > 
> > > Это даже не вопрос сборки, достаточно попробовать установить пакеты,
> > > которые нужны для сборочной среды.
> > 
> >   Да, в самом деле, установка среды спотыкается на выборе
> > libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно обойти
> > соответствующим изменением *.pc внутри libnss-gost-devel. Может быть
> > проблема имеет больше одного решения, и не нужно избавляться от всех
> > пересечений между libnss и libnss-gost?
> 
> Вы делаете пакет с альтернативной реализацией той же самой библиотеки,
> которая уже реализована в пакете libnss, с тем же soname, которое в
> libnss, и всё ещё надеетесь, что это может работать?  Нет, конечно,
> это не может работать.  Альтернативные реализации soname не работают,
> apt выберет не ту библиотеку, которую надо пользователю.
> По сути выбор из двух вариантов: поменять soname либо удалить.

На самом деле есть ещё два варианта:

3) Линковать libnss-gost статически там, где это нужно. (При этом
нужно следить, чтоб зависимости нигде с libnss не пересекались.)
4) Использовать libnss-gost по-умолчанию вместо libnss.

Последний вариант мне нравится больше всего: если бы наши
дистрибутивы поддерживали gost из коробки, то это было бы просто
киллер-фичей — как на рынке, так и в сообществе. И это касается не
только libnss, а всего остального, где добавлена поддержка gost.

Но, несмотря на проделанную нами огромную работу, gost из коробки
есть только в ядре (спасибо vt!). Нужно и остальные проекты
подтягивать.

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727))

[Aleksey Novodvorsky]

пн, 2 дек. 2019 г. в 03:21, Andrey Savchenko <bircoph@altlinux.org>:
>
> On Mon, 2 Dec 2019 01:31:51 +0300 Dmitry V. Levin wrote:
> > On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:
> > > В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:
> > > > On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org wrote:
> > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > > > > > On Sun, Dec 01, 2019 at 07:30:51AM +0000, manowar@altlinux.org wrote:
> > > > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > > > > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> > > > > > > > wrote:
> > > > > > > > > Hi,
> > > > > > > > >
> > > > > > > > > Кто сломал сборку всех этих пакетов?
> > > > > > > >
> > > > > > > > Очевидно, это был пакет nss-gost:
> > > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > > > > |sort) |wc -l 124
> > > > > > > >
> > > > > > > > Альтернативные провайдеры являются источником ошибок, и пакет
> > > > > > > > nss-gost - очередное тому напоминание.
> > > > > > >
> > > > > > > Я убрал явное дублирование Provides. Полегчало?
> > > > > >
> > > > > > В libnss-gost ничего не изменилось:
> > > > >
> > > > > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > > > > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?
> > > >
> > > > Все они ломают сборку, там же библиотека, это пересечение должно быть
> > > > пустым. То, что находится в libnss-gost, не должно быть libnss.
> > > >
> > > > Это даже не вопрос сборки, достаточно попробовать установить пакеты,
> > > > которые нужны для сборочной среды.
> > >
> > >   Да, в самом деле, установка среды спотыкается на выборе
> > > libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно обойти
> > > соответствующим изменением *.pc внутри libnss-gost-devel. Может быть
> > > проблема имеет больше одного решения, и не нужно избавляться от всех
> > > пересечений между libnss и libnss-gost?
> >
> > Вы делаете пакет с альтернативной реализацией той же самой библиотеки,
> > которая уже реализована в пакете libnss, с тем же soname, которое в
> > libnss, и всё ещё надеетесь, что это может работать?  Нет, конечно,
> > это не может работать.  Альтернативные реализации soname не работают,
> > apt выберет не ту библиотеку, которую надо пользователю.
> > По сути выбор из двух вариантов: поменять soname либо удалить.
>
> На самом деле есть ещё два варианта:
>
> 3) Линковать libnss-gost статически там, где это нужно. (При этом
> нужно следить, чтоб зависимости нигде с libnss не пересекались.)
> 4) Использовать libnss-gost по-умолчанию вместо libnss.
Это сомнительный вариант, мы его обсуждали ранее.
0. Нужен серьезный аудит патча, в том числе специалистами по крипто.
1. Поддерживать этот патч синхронно с апстримом сложно, а включить
что-либо в апстрим nss еще сложнее.




>
> Последний вариант мне нравится больше всего: если бы наши
> дистрибутивы поддерживали gost из коробки, то это было бы просто
> киллер-фичей — как на рынке, так и в сообществе. И это касается не
> только libnss, а всего остального, где добавлена поддержка gost.

Да. Но тут очень сложная и небыстрая работа с апстримами.
Пока же мы, по сути, вынуждены будем выпускать ALT * Russian Edition
отдельно от ALT.

Rgrds, Алексей
>
> Но, несмотря на проделанную нами огромную работу, gost из коробки
> есть только в ядре (спасибо vt!). Нужно и остальные проекты
> подтягивать.
>
> Best regards,
> Andrew Savchenko
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

Re: [devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727))

[Anton Farygin]

On 02.12.2019 4:22, Aleksey Novodvorsky wrote:
> 1. Поддерживать этот патч синхронно с апстримом сложно, а включить
> что-либо в апстрим nss еще сложнее.

Паша, у тебя похоже нет других вариантов, кроме как попробовать зайти 
ещё раз в апстрим уже с этим патчем.

Re: [devel] Поддержка libnss-gost

[Michael Shigorin]

On Mon, Dec 02, 2019 at 04:22:25AM +0300, Aleksey Novodvorsky wrote:
> 1. Поддерживать этот патч синхронно с апстримом сложно,
> а включить что-либо в апстрим nss еще сложнее.

Именно по крипто?  Потому что вот здесь вышло несложно:
https://bugzilla.mozilla.org/show_bug.cgi?id=1554616
(хотя и с неожиданным побочным эффектом, но уже залечили)

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 01:31:51 +0300
"Dmitry V. Levin" <ldv@altlinux.org> пишет:

> On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:
> > В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:  
> > > On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org
> > > wrote:  
> > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:    
> > > > > On Sun, Dec 01, 2019 at 07:30:51AM +0000,
> > > > > manowar@altlinux.org wrote:    
> > > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > > > > >   
> > > > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> > > > > > > wrote:    
> > > > > > > > Hi,
> > > > > > > > 
> > > > > > > > Кто сломал сборку всех этих пакетов?    
> > > > > > > 
> > > > > > > Очевидно, это был пакет nss-gost:
> > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > > > |sort) |wc -l 124
> > > > > > > 
> > > > > > > Альтернативные провайдеры являются источником ошибок, и
> > > > > > > пакет nss-gost - очередное тому напоминание.    
> > > > > > 
> > > > > > Я убрал явное дублирование Provides. Полегчало?    
> > > > > 
> > > > > В libnss-gost ничего не изменилось:    
> > > > 
> > > > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > > > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?    
> > > 
> > > Все они ломают сборку, там же библиотека, это пересечение должно
> > > быть пустым. То, что находится в libnss-gost, не должно быть
> > > libnss.
> > > 
> > > Это даже не вопрос сборки, достаточно попробовать установить
> > > пакеты, которые нужны для сборочной среды.  
> > 
> >   Да, в самом деле, установка среды спотыкается на выборе
> > libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
> > обойти соответствующим изменением *.pc внутри libnss-gost-devel.
> > Может быть проблема имеет больше одного решения, и не нужно
> > избавляться от всех пересечений между libnss и libnss-gost?  
> 
> Вы делаете пакет с альтернативной реализацией той же самой библиотеки,
> которая уже реализована в пакете libnss, с тем же soname, которое в
> libnss, и всё ещё надеетесь, что это может работать?  Нет, конечно,
> это не может работать.  Альтернативные реализации soname не работают,
> apt выберет не ту библиотеку, которую надо пользователю.

  Подожди, у меня вот не сходятся как раз эти два факта:

    а) альтернативные реализации soname не работают и
    б) apt выберет не ту библиотеку.

  Это же разные вещи. Я исходил из того, чтобы поддержка ГОСТ
появлялась бы в Firefox (и других браузерах и программах, работающих
через NSS) очень простым способом: пользователь устанавливает вместо
штатной libnss пакет libnss-gost. (Сейчас патч для firefox просто
микроскопический и я думаю что вполне можно включить его в основную
версию пакета firefox.) Согласись, что это было бы проще и для
пользователя, и для поддержки пакетов.

  И тут выясняется, что заменить одну библиотеку на другую можно --
слинкованнная с ней программа продолжит работать, --- но нет гарантии,
что apt выберет по умолчанию libnss, а не libnss-gost, так? Т.е.
альтернативные реализации soname работают с программами, которые
используют данные библиотеки, но "не работают" с apt. Неужели
действительно нет способа объяснить apt, что от него требуется?


> По сути выбор из двух вариантов: поменять soname либо удалить.
> 
> > > Полные логи доступны в обычном месте:
> > > http://git.altlinux.org/beehive/logs/Sisyphus-x86_64/latest/error/
> > >   
> > > > > $ comm -12 <(rpmquery --provides -p
> > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > |sort) <(rpmquery --provides -p
> > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm
> > > > > |sort) |wc -l 124    
> 

Re: [devel] Поддержка libnss-gost (Was: Re: [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727))

[Paul Wolneykien]

В Mon, 2 Dec 2019 03:21:05 +0300
Andrey Savchenko <bircoph@altlinux.org> пишет:

> On Mon, 2 Dec 2019 01:31:51 +0300 Dmitry V. Levin wrote:
> > On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:  
> > > В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:  
> > > > On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org
> > > > wrote:  
> > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:    
> > > > > > On Sun, Dec 01, 2019 at 07:30:51AM +0000,
> > > > > > manowar@altlinux.org wrote:    
> > > > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V.
> > > > > > > Levin:    
> > > > > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V.
> > > > > > > > Levin wrote:    
> > > > > > > > > Hi,
> > > > > > > > > 
> > > > > > > > > Кто сломал сборку всех этих пакетов?    
> > > > > > > > 
> > > > > > > > Очевидно, это был пакет nss-gost:
> > > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > > > > |sort) |wc -l 124
> > > > > > > > 
> > > > > > > > Альтернативные провайдеры являются источником ошибок, и
> > > > > > > > пакет nss-gost - очередное тому напоминание.    
> > > > > > > 
> > > > > > > Я убрал явное дублирование Provides. Полегчало?    
> > > > > > 
> > > > > > В libnss-gost ничего не изменилось:    
> > > > > 
> > > > > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > > > > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?
> > > > >   
> > > > 
> > > > Все они ломают сборку, там же библиотека, это пересечение
> > > > должно быть пустым. То, что находится в libnss-gost, не должно
> > > > быть libnss.
> > > > 
> > > > Это даже не вопрос сборки, достаточно попробовать установить
> > > > пакеты, которые нужны для сборочной среды.  
> > > 
> > >   Да, в самом деле, установка среды спотыкается на выборе
> > > libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
> > > обойти соответствующим изменением *.pc внутри libnss-gost-devel.
> > > Может быть проблема имеет больше одного решения, и не нужно
> > > избавляться от всех пересечений между libnss и libnss-gost?  
> > 
> > Вы делаете пакет с альтернативной реализацией той же самой
> > библиотеки, которая уже реализована в пакете libnss, с тем же
> > soname, которое в libnss, и всё ещё надеетесь, что это может
> > работать?  Нет, конечно, это не может работать.  Альтернативные
> > реализации soname не работают, apt выберет не ту библиотеку,
> > которую надо пользователю. По сути выбор из двух вариантов:
> > поменять soname либо удалить.  
> 
> На самом деле есть ещё два варианта:
> 
> 3) Линковать libnss-gost статически там, где это нужно. (При этом
> нужно следить, чтоб зависимости нигде с libnss не пересекались.)
> 4) Использовать libnss-gost по-умолчанию вместо libnss.

  Я там выше ответил, что по сути, логичнее всего была бы простота
п. 4, но *не* по умолчанию, а после замены одной реализации либы на
другую.


> Последний вариант мне нравится больше всего: если бы наши
> дистрибутивы поддерживали gost из коробки, то это было бы просто
> киллер-фичей — как на рынке, так и в сообществе. И это касается не
> только libnss, а всего остального, где добавлена поддержка gost.
> 
> Но, несмотря на проделанную нами огромную работу, gost из коробки
> есть только в ядре (спасибо vt!). Нужно и остальные проекты
> подтягивать.
> 
> Best regards,
> Andrew Savchenko

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Антон Мидюков]

02.12.2019 14:20, Paul Wolneykien пишет:
> В Mon, 2 Dec 2019 01:31:51 +0300
> "Dmitry V. Levin" <ldv@altlinux.org> пишет:
>
>> On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:
>>> В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:
>>>> On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org
>>>> wrote:
>>>>> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
>>>>>> On Sun, Dec 01, 2019 at 07:30:51AM +0000,
>>>>>> manowar@altlinux.org wrote:
>>>>>>> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
>>>>>>>    
>>>>>>>> On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
>>>>>>>> wrote:
>>>>>>>>> Hi,
>>>>>>>>>
>>>>>>>>> Кто сломал сборку всех этих пакетов?
>>>>>>>> Очевидно, это был пакет nss-gost:
>>>>>>>> $ comm -12 <(rpmquery --provides -p
>>>>>>>> Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
>>>>>>>> |sort) <(rpmquery --provides -p
>>>>>>>> Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
>>>>>>>> |sort) |wc -l 124
>>>>>>>>
>>>>>>>> Альтернативные провайдеры являются источником ошибок, и
>>>>>>>> пакет nss-gost - очередное тому напоминание.
>>>>>>> Я убрал явное дублирование Provides. Полегчало?
>>>>>> В libnss-gost ничего не изменилось:
>>>>> Тогда я не понимаю, какой именно Provides ломает сборку. Можно
>>>>> где-нибудь посмотреть полный лог сборки сломавшихся пакетов?
>>>> Все они ломают сборку, там же библиотека, это пересечение должно
>>>> быть пустым. То, что находится в libnss-gost, не должно быть
>>>> libnss.
>>>>
>>>> Это даже не вопрос сборки, достаточно попробовать установить
>>>> пакеты, которые нужны для сборочной среды.
>>>    Да, в самом деле, установка среды спотыкается на выборе
>>> libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
>>> обойти соответствующим изменением *.pc внутри libnss-gost-devel.
>>> Может быть проблема имеет больше одного решения, и не нужно
>>> избавляться от всех пересечений между libnss и libnss-gost?
>> Вы делаете пакет с альтернативной реализацией той же самой библиотеки,
>> которая уже реализована в пакете libnss, с тем же soname, которое в
>> libnss, и всё ещё надеетесь, что это может работать?  Нет, конечно,
>> это не может работать.  Альтернативные реализации soname не работают,
>> apt выберет не ту библиотеку, которую надо пользователю.
>    Подожди, у меня вот не сходятся как раз эти два факта:
>
>      а) альтернативные реализации soname не работают и
>      б) apt выберет не ту библиотеку.
>
>    Это же разные вещи. Я исходил из того, чтобы поддержка ГОСТ
> появлялась бы в Firefox (и других браузерах и программах, работающих
> через NSS) очень простым способом: пользователь устанавливает вместо
> штатной libnss пакет libnss-gost. (Сейчас патч для firefox просто
> микроскопический и я думаю что вполне можно включить его в основную
> версию пакета firefox.) Согласись, что это было бы проще и для
> пользователя, и для поддержки пакетов.
>
>    И тут выясняется, что заменить одну библиотеку на другую можно --
> слинкованнная с ней программа продолжит работать, --- но нет гарантии,
> что apt выберет по умолчанию libnss, а не libnss-gost, так? Т.е.
> альтернативные реализации soname работают с программами, которые
> используют данные библиотеки, но "не работают" с apt. Неужели
> действительно нет способа объяснить apt, что от него требуется?

А что, если собирать libnss-gost вместе с libnss из одного srpm? 
Библиотеки класть в %_libdir/libnss/ и %_libdir/libnss-gost

А уже симлинки на библиотеки в %_libdir переключать через альтернативы.

Правда не уверен, что так с библиотеками возможно.

>> По сути выбор из двух вариантов: поменять soname либо удалить.
>>
>>>> Полные логи доступны в обычном месте:
>>>> http://git.altlinux.org/beehive/logs/Sisyphus-x86_64/latest/error/
>>>>    
>>>>>> $ comm -12 <(rpmquery --provides -p
>>>>>> Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
>>>>>> |sort) <(rpmquery --provides -p
>>>>>> Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm
>>>>>> |sort) |wc -l 124
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

-- 
С уважением, Антон Мидюков <antohami@altlinux.org>

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 14:34:34 +0700
Антон Мидюков <midyukov-anton@ya.ru> пишет:

> 02.12.2019 14:20, Paul Wolneykien пишет:
> > В Mon, 2 Dec 2019 01:31:51 +0300
> > "Dmitry V. Levin" <ldv@altlinux.org> пишет:
> >  
> >> On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:  
> >>> В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:  
> >>>> On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org
> >>>> wrote:  
> >>>>> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:  
> >>>>>> On Sun, Dec 01, 2019 at 07:30:51AM +0000,
> >>>>>> manowar@altlinux.org wrote:  
> >>>>>>> Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> >>>>>>>      
> >>>>>>>> On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> >>>>>>>> wrote:  
> >>>>>>>>> Hi,
> >>>>>>>>>
> >>>>>>>>> Кто сломал сборку всех этих пакетов?  
> >>>>>>>> Очевидно, это был пакет nss-gost:
> >>>>>>>> $ comm -12 <(rpmquery --provides -p
> >>>>>>>> Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> >>>>>>>> |sort) <(rpmquery --provides -p
> >>>>>>>> Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> >>>>>>>> |sort) |wc -l 124
> >>>>>>>>
> >>>>>>>> Альтернативные провайдеры являются источником ошибок, и
> >>>>>>>> пакет nss-gost - очередное тому напоминание.  
> >>>>>>> Я убрал явное дублирование Provides. Полегчало?  
> >>>>>> В libnss-gost ничего не изменилось:  
> >>>>> Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> >>>>> где-нибудь посмотреть полный лог сборки сломавшихся пакетов?  
> >>>> Все они ломают сборку, там же библиотека, это пересечение должно
> >>>> быть пустым. То, что находится в libnss-gost, не должно быть
> >>>> libnss.
> >>>>
> >>>> Это даже не вопрос сборки, достаточно попробовать установить
> >>>> пакеты, которые нужны для сборочной среды.  
> >>>    Да, в самом деле, установка среды спотыкается на выборе
> >>> libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
> >>> обойти соответствующим изменением *.pc внутри libnss-gost-devel.
> >>> Может быть проблема имеет больше одного решения, и не нужно
> >>> избавляться от всех пересечений между libnss и libnss-gost?  
> >> Вы делаете пакет с альтернативной реализацией той же самой
> >> библиотеки, которая уже реализована в пакете libnss, с тем же
> >> soname, которое в libnss, и всё ещё надеетесь, что это может
> >> работать?  Нет, конечно, это не может работать.  Альтернативные
> >> реализации soname не работают, apt выберет не ту библиотеку,
> >> которую надо пользователю.  
> >    Подожди, у меня вот не сходятся как раз эти два факта:
> >
> >      а) альтернативные реализации soname не работают и
> >      б) apt выберет не ту библиотеку.
> >
> >    Это же разные вещи. Я исходил из того, чтобы поддержка ГОСТ
> > появлялась бы в Firefox (и других браузерах и программах, работающих
> > через NSS) очень простым способом: пользователь устанавливает вместо
> > штатной libnss пакет libnss-gost. (Сейчас патч для firefox просто
> > микроскопический и я думаю что вполне можно включить его в основную
> > версию пакета firefox.) Согласись, что это было бы проще и для
> > пользователя, и для поддержки пакетов.
> >
> >    И тут выясняется, что заменить одну библиотеку на другую можно --
> > слинкованнная с ней программа продолжит работать, --- но нет
> > гарантии, что apt выберет по умолчанию libnss, а не libnss-gost,
> > так? Т.е. альтернативные реализации soname работают с программами,
> > которые используют данные библиотеки, но "не работают" с apt.
> > Неужели действительно нет способа объяснить apt, что от него
> > требуется?  
> 
> А что, если собирать libnss-gost вместе с libnss из одного srpm? 
> Библиотеки класть в %_libdir/libnss/ и %_libdir/libnss-gost
> 
> А уже симлинки на библиотеки в %_libdir переключать через
> альтернативы.
> 
> Правда не уверен, что так с библиотеками возможно.

  Может быть и можно, но у меня сейчас возникла вот какая гипотеза:
а нельзя ли собирать libnss-gost с каким-то таким disttag, чтобы
apt не выбирал его для установки *без ведома пользователя*?


> >> По сути выбор из двух вариантов: поменять soname либо удалить.
> >>  
> >>>> Полные логи доступны в обычном месте:
> >>>> http://git.altlinux.org/beehive/logs/Sisyphus-x86_64/latest/error/
> >>>>      
> >>>>>> $ comm -12 <(rpmquery --provides -p
> >>>>>> Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> >>>>>> |sort) <(rpmquery --provides -p
> >>>>>> Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt2.gost1.2.x86_64.rpm
> >>>>>> |sort) |wc -l 124  
> > _______________________________________________
> > Devel mailing list
> > Devel@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/devel  
> 

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Michael Shigorin]

On Mon, Dec 02, 2019 at 10:43:23AM +0300, Paul Wolneykien wrote:
> > > И тут выясняется, что заменить одну библиотеку на другую можно --
> > > слинкованнная с ней программа продолжит работать, --- но нет
> > > гарантии, что apt выберет по умолчанию libnss, а не libnss-gost
> > А что, если собирать libnss-gost вместе с libnss из одного srpm? 
> Может быть и можно, но у меня сейчас возникла вот какая гипотеза:
> а нельзя ли собирать libnss-gost с каким-то таким disttag, чтобы
> apt не выбирал его для установки *без ведома пользователя*?

Насколько понимаю, загвоздка не столько в апте, сколько
в возможности (вполне реальной, не теоретической) разъезда
ABI библиотек в случае необходимости сборки новой апстримной
версии и невозможности оперативно обновить gost patch.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey V. Vissarionov]

On 2019-12-02 14:34:34 +0700, Антон Мидюков wrote:

 >>> Вы делаете пакет с альтернативной реализацией той же самой
 >>> библиотеки, которая уже реализована в пакете libnss, с тем
 >>> же soname
 >>> apt выберет не ту библиотеку, которую надо пользователю.
 >> Подожди, у меня вот не сходятся как раз эти два факта:
 >> а) альтернативные реализации soname не работают и
 >> б) apt выберет не ту библиотеку.
 >> пользователь устанавливает вместо штатной libnss пакет
 >> libnss-gost. [...] Согласись, что это было бы проще и для
 >> пользователя, и для поддержки пакетов.
 >> И тут выясняется, что заменить одну библиотеку на другую
 >> можно -- слинкованнная с ней программа продолжит работать,
 >> --- но нет гарантии, что apt выберет по умолчанию libnss,
 >> а не libnss-gost, так? Т.е. альтернативные реализации soname
 >> работают с программами, которые используют данные библиотеки,
 >> но "не работают" с apt. Неужели действительно нет способа
 >> объяснить apt, что от него требуется?

2 PW: про apt с уверенностью сказать не могу, а RPM такое вполне
понимает.

 > А что, если собирать libnss-gost вместе с libnss из одного srpm?
 > Библиотеки класть в %_libdir/libnss/ и %_libdir/libnss-gost
 > А уже симлинки на библиотеки в %_libdir переключать через
 > альтернативы.
   ^^^^^^^^^^^^
Кто как, а я вообще не вижу смысла в этом поделии. Если очень надо,
лучше в каждом пакете сделать %package с соответствующим симлинком,
и пусть эти симлинки просто конфликтуют между собой. А где припрет,
там можно прибить гвоздями явное имя целевого файла, а не симлинка.

 > Правда не уверен, что так с библиотеками возможно.

Технически это возможно. Но сильно подозреваю, что админы, которым
придется с этим работать, тебя проклянут :-)


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 10:47:53 +0300
Michael Shigorin <mike@altlinux.org> пишет:

> On Mon, Dec 02, 2019 at 10:43:23AM +0300, Paul Wolneykien wrote:
> > > > И тут выясняется, что заменить одну библиотеку на другую можно
> > > > -- слинкованнная с ней программа продолжит работать, --- но нет
> > > > гарантии, что apt выберет по умолчанию libnss, а не libnss-gost
> > > >  
> > > А что, если собирать libnss-gost вместе с libnss из одного srpm?
> > >  
> > Может быть и можно, но у меня сейчас возникла вот какая гипотеза:
> > а нельзя ли собирать libnss-gost с каким-то таким disttag, чтобы
> > apt не выбирал его для установки *без ведома пользователя*?  
> 
> Насколько понимаю, загвоздка не столько в апте, сколько
> в возможности (вполне реальной, не теоретической) разъезда
> ABI библиотек в случае необходимости сборки новой апстримной
> версии и невозможности оперативно обновить gost patch.

  а) Там не так сложно обновить.
  б) Если дело затянется, то вот тогда можно будет [временно] удалить
libnss-gost. Но сейчас-то разъезда по интерфейсу именно, что нет ---
реализации полностью совместимы в смысле одинакового интерфейса (но не
поведения) и поэтому имеют одинаковый soname.

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey V. Vissarionov]

On 2019-12-02 10:47:53 +0300, Michael Shigorin wrote:

 >>>> И тут выясняется, что заменить одну библиотеку на другую
 >>>> можно -- слинкованнная с ней программа продолжит работать,
 >>>> --- но нет гарантии, что apt выберет по умолчанию libnss,
 >>>> а не libnss-gost
 >>> А что, если собирать libnss-gost вместе с libnss из одного
 >>> srpm?
 >> Может быть и можно, но у меня сейчас возникла вот какая
 >> гипотеза: а нельзя ли собирать libnss-gost с каким-то таким
 >> disttag, чтобы apt не выбирал его для установки *без ведома
 >> пользователя*?
 > Насколько понимаю, загвоздка не столько в апте, сколько в
 > возможности (вполне реальной, не теоретической) разъезда ABI
 > библиотек в случае необходимости сборки новой апстримной
 > версии и невозможности оперативно обновить gost patch.

В этом случае надо делать libnss-gost отдельной библиотекой,
а не дублировать libnss с добавлением функций - тогда тот же
firefox-gost будет требовать и libnss, и libnss-gost, а обычный
firefox обойдется только libnss.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 10:57:15 +0300
"Alexey V. Vissarionov" <gremlin@altlinux.org> пишет:

> On 2019-12-02 10:47:53 +0300, Michael Shigorin wrote:
> 
>  >>>> И тут выясняется, что заменить одну библиотеку на другую
>  >>>> можно -- слинкованнная с ней программа продолжит работать,
>  >>>> --- но нет гарантии, что apt выберет по умолчанию libnss,
>  >>>> а не libnss-gost  
>  >>> А что, если собирать libnss-gost вместе с libnss из одного
>  >>> srpm?  
>  >> Может быть и можно, но у меня сейчас возникла вот какая
>  >> гипотеза: а нельзя ли собирать libnss-gost с каким-то таким
>  >> disttag, чтобы apt не выбирал его для установки *без ведома
>  >> пользователя*?  
>  > Насколько понимаю, загвоздка не столько в апте, сколько в
>  > возможности (вполне реальной, не теоретической) разъезда ABI
>  > библиотек в случае необходимости сборки новой апстримной
>  > версии и невозможности оперативно обновить gost patch.  
> 
> В этом случае надо делать libnss-gost отдельной библиотекой,
> а не дублировать libnss с добавлением функций - тогда тот же
> firefox-gost будет требовать и libnss, и libnss-gost, а обычный
> firefox обойдется только libnss.

  С точки зрения обобщённой логики --- всё хорошо, а с точки зрения
архитектуры NSS не очень. Я же не добавляю каких-то новых функций,
никак не расширяю API libnss. Я именно что, предоставляю альтернативную
реализацию *того же самого* интерфейса, т.е. того же самого набора
функций, что и в libnss. Да и то, альтернативную только в 5% случаев.

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey V. Vissarionov]

On 2019-12-02 11:07:58 +0300, Paul Wolneykien wrote:

 >>> Насколько понимаю, загвоздка не столько в апте, сколько в
 >>> возможности (вполне реальной, не теоретической) разъезда ABI
 >>> библиотек в случае необходимости сборки новой апстримной
 >>> версии и невозможности оперативно обновить gost patch.
 >> В этом случае надо делать libnss-gost отдельной библиотекой,
 >> а не дублировать libnss с добавлением функций - тогда тот же
 >> firefox-gost будет требовать и libnss, и libnss-gost, а
 >> обычный firefox обойдется только libnss.
 > С точки зрения обобщённой логики --- всё хорошо, а с точки
 > зрения архитектуры NSS не очень. Я же не добавляю каких-то
 > новых функций, никак не расширяю API libnss. Я именно что,
 > предоставляю альтернативную реализацию *того же самого*
 > интерфейса, т.е. того же самого набора функций, что и в
 > libnss. Да и то, альтернативную только в 5% случаев.

Хм... А если все же вынести ГОСТ 34.{10,11,12} в libnss-gost,
а libnss научить проверять их доступность через какой-нибудь
dlopen()? Доступно - пользуем, недоступно - да и хрен с ним.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 4763 bytes --]

On Mon, Dec 02, 2019 at 10:20:40AM +0300, Paul Wolneykien wrote:
> В Mon, 2 Dec 2019 01:31:51 +0300, Dmitry V. Levin пишет:
> > On Mon, Dec 02, 2019 at 01:10:30AM +0300, Paul Wolneykien wrote:
> > > В Sun, 1 Dec 2019 14:46:28 +0300, Dmitry V. Levin пишет:  
> > > > On Sun, Dec 01, 2019 at 11:25:08AM +0000, manowar@altlinux.org wrote:  
> > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:    
> > > > > > On Sun, Dec 01, 2019 at 07:30:51AM +0000, manowar@altlinux.org wrote:    
> > > > > > > Воскресенье, 1 декабря 2019 г получено от Dmitry V. Levin:
> > > > > > >   
> > > > > > > > On Sun, Dec 01, 2019 at 12:47:34AM +0300, Dmitry V. Levin
> > > > > > > > wrote:    
> > > > > > > > > Hi,
> > > > > > > > > 
> > > > > > > > > Кто сломал сборку всех этих пакетов?    
> > > > > > > > 
> > > > > > > > Очевидно, это был пакет nss-gost:
> > > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-3.47.0-alt1.x86_64.rpm
> > > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > > Sisyphus/files/x86_64/RPMS/libnss-gost-3.47.0-alt1.gost1.2.x86_64.rpm
> > > > > > > > |sort) |wc -l 124
> > > > > > > > 
> > > > > > > > Альтернативные провайдеры являются источником ошибок, и
> > > > > > > > пакет nss-gost - очередное тому напоминание.    
> > > > > > > 
> > > > > > > Я убрал явное дублирование Provides. Полегчало?    
> > > > > > 
> > > > > > В libnss-gost ничего не изменилось:    
> > > > > 
> > > > > Тогда я не понимаю, какой именно Provides ломает сборку. Можно
> > > > > где-нибудь посмотреть полный лог сборки сломавшихся пакетов?    
> > > > 
> > > > Все они ломают сборку, там же библиотека, это пересечение должно
> > > > быть пустым. То, что находится в libnss-gost, не должно быть
> > > > libnss.
> > > > 
> > > > Это даже не вопрос сборки, достаточно попробовать установить
> > > > пакеты, которые нужны для сборочной среды.  
> > > 
> > >   Да, в самом деле, установка среды спотыкается на выборе
> > > libnss-gost-devel для pkgconfig(nss). Но эту проблему несложно
> > > обойти соответствующим изменением *.pc внутри libnss-gost-devel.
> > > Может быть проблема имеет больше одного решения, и не нужно
> > > избавляться от всех пересечений между libnss и libnss-gost?  
> > 

> > Вы делаете пакет с альтернативной реализацией той же самой библиотеки,
> > которая уже реализована в пакете libnss, с тем же soname, которое в
> > libnss, и всё ещё надеетесь, что это может работать?  Нет, конечно,
> > это не может работать.  Альтернативные реализации soname не работают,
> > apt выберет не ту библиотеку, которую надо пользователю.
> 
>   Подожди, у меня вот не сходятся как раз эти два факта:
> 
>     а) альтернативные реализации soname не работают и
>     б) apt выберет не ту библиотеку.
> 
>   Это же разные вещи.

Это одно и то же в том смысле, что из-за (б) мы фактически имеем (а).
Вот, полюбуйтесь:

$ echo libnss-gost |LC_COLLATE=C join -11 -22 -o2.1 - /beehive/stats/Sisyphus-x86_64/ufb-2 |wc -l
778
$ echo libnss |LC_COLLATE=C join -11 -22 -o2.1 - /beehive/stats/Sisyphus-x86_64/ufb-2 |wc -l
1392

> Я исходил из того, чтобы поддержка ГОСТ
> появлялась бы в Firefox (и других браузерах и программах, работающих
> через NSS) очень простым способом: пользователь устанавливает вместо
> штатной libnss пакет libnss-gost. (Сейчас патч для firefox просто
> микроскопический и я думаю что вполне можно включить его в основную
> версию пакета firefox.) Согласись, что это было бы проще и для
> пользователя, и для поддержки пакетов.
> 
>   И тут выясняется, что заменить одну библиотеку на другую можно --
> слинкованнная с ней программа продолжит работать, --- но нет гарантии,
> что apt выберет по умолчанию libnss, а не libnss-gost, так? Т.е.
> альтернативные реализации soname работают с программами, которые

В каждый момент времени работает только одна реализация soname.
При известной аккуратности реализации взаимозаменяемые, что позволяет,
например, обновлять библиотеки - это по сути замена одной реализации
на другую, более новую (или менее новую).

> используют данные библиотеки, но "не работают" с apt. Неужели
> действительно нет способа объяснить apt, что от него требуется?

apt можно сконфигурировать таким образом, чтобы он при прочих равных
выбирал libnss, а не libnss-gost, но тогда пользователям, которые захотят
поставить libnss-gost, придётся переконфигурировать apt, чтобы он выбирал
libnss-gost.

А если есть готовность конфигурировать apt, тогда лучше собирать это добро
в недавно созданный apt component под названием gostcrypto, там уже есть
openssh и openvpn.

Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в gostcrypto.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey Gladkov]

On Mon, Dec 02, 2019 at 10:54:16AM +0300, Paul Wolneykien wrote:
> В Mon, 2 Dec 2019 10:47:53 +0300
> Michael Shigorin <mike@altlinux.org> пишет:
> 
> > On Mon, Dec 02, 2019 at 10:43:23AM +0300, Paul Wolneykien wrote:
> > > > > И тут выясняется, что заменить одну библиотеку на другую можно
> > > > > -- слинкованнная с ней программа продолжит работать, --- но нет
> > > > > гарантии, что apt выберет по умолчанию libnss, а не libnss-gost
> > > > >  
> > > > А что, если собирать libnss-gost вместе с libnss из одного srpm?

Я так много раз отвечал на этот вопрос, что отвечу коротко.
Нет.

> > > >  
> > > Может быть и можно, но у меня сейчас возникла вот какая гипотеза:
> > > а нельзя ли собирать libnss-gost с каким-то таким disttag, чтобы
> > > apt не выбирал его для установки *без ведома пользователя*?  
> > 
> > Насколько понимаю, загвоздка не столько в апте, сколько
> > в возможности (вполне реальной, не теоретической) разъезда
> > ABI библиотек в случае необходимости сборки новой апстримной
> > версии и невозможности оперативно обновить gost patch.
> 
>   а) Там не так сложно обновить.

Когда, патч есть для текущей версии, то да, его можно "обновить" приложив
новую версию.

>   б) Если дело затянется, то вот тогда можно будет [временно] удалить
> libnss-gost. Но сейчас-то разъезда по интерфейсу именно, что нет ---
> реализации полностью совместимы в смысле одинакового интерфейса (но не
> поведения) и поэтому имеют одинаковый soname.

Нет, нельзя временно удалить. Это сломает пользователей, которые
пользуются этим gost. Единственный путь это не обновлять nss пока
кто-нибудь не соизволит сделать новую версию nss-gost патча.

Почему вы не рассматриваете вариант собрать firefox-gost с внутренней
версией nss c gost-патчем пока он не попал в апстрим ? 

-- 
Rgrds, legion

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 12:19:17 +0300
"Dmitry V. Levin" <ldv@altlinux.org> пишет:

> А если есть готовность конфигурировать apt, тогда лучше собирать это
> добро в недавно созданный apt component под названием gostcrypto, там
> уже есть openssh и openvpn.
> 
> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> gostcrypto.

  О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Paul Wolneykien]

В Mon, 2 Dec 2019 10:27:39 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> >   б) Если дело затянется, то вот тогда можно будет [временно]
> > удалить libnss-gost. Но сейчас-то разъезда по интерфейсу именно,
> > что нет --- реализации полностью совместимы в смысле одинакового
> > интерфейса (но не поведения) и поэтому имеют одинаковый soname.  
> 
> Нет, нельзя временно удалить. Это сломает пользователей, которые
> пользуются этим gost. Единственный путь это не обновлять nss пока
> кто-нибудь не соизволит сделать новую версию nss-gost патча.
> 
> Почему вы не рассматриваете вариант собрать firefox-gost с внутренней
> версией nss c gost-патчем пока он не попал в апстрим ? 

  Нет, почему же, я рассматриваю, но просто изучаю альтернативы,
которые казались мне более простыми. Выяснилось, что нет, они не
простые. Хотя вариант с отдельным компонентом мне пока нравится потому,
что на него можно перейти оперативно.

[devel] Q: gostcrypto howto

[Dmitry V. Levin]

On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> 
> > А если есть готовность конфигурировать apt, тогда лучше собирать это
> > добро в недавно созданный apt component под названием gostcrypto, там
> > уже есть openssh и openvpn.
> > 
> > Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> > gostcrypto.
> 
>   О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.

Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.


-- 
ldv

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Alexey Gladkov]

On Mon, Dec 02, 2019 at 12:31:15PM +0300, Paul Wolneykien wrote:
> > >   б) Если дело затянется, то вот тогда можно будет [временно]
> > > удалить libnss-gost. Но сейчас-то разъезда по интерфейсу именно,
> > > что нет --- реализации полностью совместимы в смысле одинакового
> > > интерфейса (но не поведения) и поэтому имеют одинаковый soname.  
> > 
> > Нет, нельзя временно удалить. Это сломает пользователей, которые
> > пользуются этим gost. Единственный путь это не обновлять nss пока
> > кто-нибудь не соизволит сделать новую версию nss-gost патча.
> > 
> > Почему вы не рассматриваете вариант собрать firefox-gost с внутренней
> > версией nss c gost-патчем пока он не попал в апстрим ? 
> 
>   Нет, почему же, я рассматриваю, но просто изучаю альтернативы,
> которые казались мне более простыми. Выяснилось, что нет, они не
> простые. Хотя вариант с отдельным компонентом мне пока нравится потому,
> что на него можно перейти оперативно.

Отдельный компонент развяжет вам руки и вам не нужно будет плодить
суффиксы для пакетов. Странно, что это не было планом А :)

-- 
Rgrds, legion

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Anton V. Boyarshinov]

On Sun, 1 Dec 2019 01:53:13 +0300 Dmitry V. Levin wrote:

 
> Альтернативные провайдеры являются источником ошибок, и пакет nss-gost -
> очередное тому напоминание.

Полагаю, этому пакету самое место в компоненте gostcrypto.
 
> Видимо, упаковку альтернативных провайдеров следует регулировать.
> 
> > On Sat, Nov 30, 2019 at 06:37:13AM +0000, ALT beekeeper wrote:  
> > > 	14 NEW error logs
> > > 
> > > 389-adminutil-1.1.23-alt2
> > > 	Depends: 389-ds-base (= 1.4.1.10-alt2:sisyphus+240907.100.2.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > bijiben-3.34.1-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > firefox-70.0.1-alt1
> > > 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > firefox-esr-68.2.0-alt1
> > > 	libnss-devel-static: Depends: libnss-devel (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > geary-3.34.2-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-calendar-3.34.2-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-contacts-3.34-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-maps-3.34.2-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > gnome-panel-3.34.1-alt1
> > > 	yelp-tools: Depends: jing
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.
> > > 
> > > volume_key-0.3.12-alt1
> > > 	libnss-devel: Depends: libnss (= 3.47.0-alt1:sisyphus+239875.200.1.1)
> > > 	E: Broken packages
> > > 	hsh-install: Failed to calculate package file list.  
> 
> 
> -- 
> ldv

Re: [devel] Q: gostcrypto howto

[Anton Farygin]

On 02.12.2019 12:36, Dmitry V. Levin wrote:
> On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
>> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
>>
>>> А если есть готовность конфигурировать apt, тогда лучше собирать это
>>> добро в недавно созданный apt component под названием gostcrypto, там
>>> уже есть openssh и openvpn.
>>>
>>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
>>> gostcrypto.
>>    О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.
> Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
>
>
И ещё сразу было бы интересно обозначить жизненный цикл этой компоненты.

в p9 есть ?
И как в дистрибутивы включать, через pkgpriorities ?

Re: [devel] Q: gostcrypto howto

[Mikhail Efremov]

On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:
> On 02.12.2019 12:36, Dmitry V. Levin wrote:
> > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:  
> >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> >>  
> >>> А если есть готовность конфигурировать apt, тогда лучше собирать это
> >>> добро в недавно созданный apt component под названием gostcrypto, там
> >>> уже есть openssh и openvpn.
> >>>
> >>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> >>> gostcrypto.  

Просто в названии пакета должен быть суффикс gostcrypto, насколько я
понимаю. Т.е. libnss-gostcrypto, к примеру. И они не должны быть
noarch, там нет такого компонента.

> >>    О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.  
> > Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
> >
> >  
> И ещё сразу было бы интересно обозначить жизненный цикл этой компоненты.
> 
> в p9 есть ?

Будет, AFAIK.

> И как в дистрибутивы включать, через pkgpriorities ?

Я еще не пробовал, но думаю достаточно будет при сборке добавить в
source.list компонент и явно указать нужные пакеты в списках.

-- 
WBR, Mikhail Efremov

Re: [devel] Q: gostcrypto howto

[Sergey V Turchin]

On Monday, 2 December 2019 16:27:39 MSK Mikhail Efremov wrote:

[...]
> явно указать нужные пакеты в списках.
А в Requires пакетов из главного репозитория? Антон не просто так про 
pkgpriorities.

-- 
Regards, Sergey.

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 16:27:39 +0300
Mikhail Efremov <sem@altlinux.org> пишет:

> On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:
> > On 02.12.2019 12:36, Dmitry V. Levin wrote:  
> > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > >   
> > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > >>    
> > >>> А если есть готовность конфигурировать apt, тогда лучше
> > >>> собирать это добро в недавно созданный apt component под
> > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > >>>
> > >>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> > >>> gostcrypto.    
> 
> Просто в названии пакета должен быть суффикс gostcrypto, насколько я
> понимаю. Т.е. libnss-gostcrypto, к примеру. И они не должны быть
> noarch, там нет такого компонента.

  Сейчас попробую.

> 
> > >>    О, а вот это действительно звучит неплохо. Я удаляю тогда из
> > >> Сизифа.    
> > > Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
> > >
> > >    
> > И ещё сразу было бы интересно обозначить жизненный цикл этой
> > компоненты.
> > 
> > в p9 есть ?  
> 
> Будет, AFAIK.
> 
> > И как в дистрибутивы включать, через pkgpriorities ?  
> 
> Я еще не пробовал, но думаю достаточно будет при сборке добавить в
> source.list компонент и явно указать нужные пакеты в списках.

Re: [devel] Q: gostcrypto howto

[Mikhail Efremov]

On Mon, 02 Dec 2019 16:33:15 +0300 Sergey V Turchin wrote:
> On Monday, 2 December 2019 16:27:39 MSK Mikhail Efremov wrote:
> 
> [...]
> > явно указать нужные пакеты в списках.  
> А в Requires пакетов из главного репозитория? Антон не просто так про 
> pkgpriorities.
> 

Ну, openvpn-gostcrypto провайдит openvpn. Я так понимаю при явном
указании openvpn-gostcrypto apt не будет вытягивать openvpn.
Ну а если это не поможет, то видимо да, pkgpriorities.

-- 
WBR, Mikhail Efremov

Re: [devel] Q: gostcrypto howto

[Sergey V Turchin]

On Monday, 2 December 2019 16:38:29 MSK Mikhail Efremov wrote:
> On Mon, 02 Dec 2019 16:33:15 +0300 Sergey V Turchin wrote:
> > On Monday, 2 December 2019 16:27:39 MSK Mikhail Efremov wrote:
> > 
> > [...]
> > 
> > > явно указать нужные пакеты в списках.
> > 
> > А в Requires пакетов из главного репозитория? Антон не просто так про
> > pkgpriorities.
> 
> Ну, openvpn-gostcrypto провайдит openvpn. Я так понимаю
> при явном указании openvpn-gostcrypto
Сборочница пошлёт из-за зависимости на несуществующиё пакет.

> apt не будет вытягивать openvpn.
Поэтому mkimage будет вытягивать только openvpn, т.к. реальный пакет идёт 
всегда в 1-ю очередь.

> Ну а если это не поможет, то видимо да, pkgpriorities.
Однозначно. Не пробовал ни разу pkgpriorities, но, полагаю, например, Pin-
Priority не поможет.

-- 
Regards, Sergey.

Re: [devel] Q: gostcrypto howto

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 1762 bytes --]

On Mon, 2 Dec 2019 12:36:32 +0300 Dmitry V. Levin wrote:
> On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > 
> > > А если есть готовность конфигурировать apt, тогда лучше собирать это
> > > добро в недавно созданный apt component под названием gostcrypto, там
> > > уже есть openssh и openvpn.
> > > 
> > > Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> > > gostcrypto.
> > 
> >   О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.
> 
> Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
 
Заодно прошу объяснить, для чего эта компонента вообще нужна?
Хотелось бы видеть openvpn и openssh с поддержкой gost в Сизифе.
Что этому объективно мешает?

Ну с libnss есть проблемы, так что да, её пока откладываем
в сторону. Но, по моему мнению, нужно работать по интеграции gost
в апстримы: как на нашем уровне (в Сизиф вместо сторонних
компонент), так и в апстримы пакетов.

В glibc же добавили (на уровне наших репо), в ядро добавили
(в апстрим). Нужно продолжать.


Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] Q: gostcrypto howto

[Gleb Fotengauer-Malinovskiy]

[-- Attachment #1: Type: text/plain, Size: 1936 bytes --]

On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
> В Mon, 2 Dec 2019 16:35:45 +0300
> Paul Wolneykien <manowar@altlinux.org> пишет:
> 
> > В Mon, 2 Dec 2019 16:27:39 +0300
> > Mikhail Efremov <sem@altlinux.org> пишет:
> > 
> > > On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:  
> > > > On 02.12.2019 12:36, Dmitry V. Levin wrote:    
> > > > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > > > >     
> > > > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > > >>      
> > > > >>> А если есть готовность конфигурировать apt, тогда лучше
> > > > >>> собирать это добро в недавно созданный apt component под
> > > > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > > > >>>
> > > > >>> Коллеги, расскажите, пожалуйста, как правильно собирать
> > > > >>> пакеты в gostcrypto.      
> > > 
> > > Просто в названии пакета должен быть суффикс gostcrypto, насколько я
> > > понимаю. Т.е. libnss-gostcrypto, к примеру. И они не должны быть
> > > noarch, там нет такого компонента.  
> > 
> >   Сейчас попробую.
> 
>   Не получается. Оно пишет, например,
> 
> libnss-gostcrypto-devel#3.47.0-alt1.gost1.2	libnss-gostcrypto = 3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1

Пакеты попадают в компонент gostcrypto только если их называние
заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
classic.

-- 
glebfm

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 16:35:45 +0300
Paul Wolneykien <manowar@altlinux.org> пишет:

> В Mon, 2 Dec 2019 16:27:39 +0300
> Mikhail Efremov <sem@altlinux.org> пишет:
> 
> > On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:  
> > > On 02.12.2019 12:36, Dmitry V. Levin wrote:    
> > > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > > >     
> > > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > >>      
> > > >>> А если есть готовность конфигурировать apt, тогда лучше
> > > >>> собирать это добро в недавно созданный apt component под
> > > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > > >>>
> > > >>> Коллеги, расскажите, пожалуйста, как правильно собирать
> > > >>> пакеты в gostcrypto.      
> > 
> > Просто в названии пакета должен быть суффикс gostcrypto, насколько я
> > понимаю. Т.е. libnss-gostcrypto, к примеру. И они не должны быть
> > noarch, там нет такого компонента.  
> 
>   Сейчас попробую.

  Не получается. Оно пишет, например,

libnss-gostcrypto-devel#3.47.0-alt1.gost1.2	libnss-gostcrypto =
3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1

  Однако я загрузил
libnss-gostcrypto-devel-3.47.0-alt1.gost1.2.x86_64.rpm и
libnss-gostcrypto-3.47.0-alt1.gost1.2.x86_64.rpm и смог установить оба
пакета в систему. Т.е. эти пакеты устанавливаются вместе, а
libnss-gostcrypto устанавливается отдельно.
  В чём здесь анмет?

http://git.altlinux.org/tasks/242135/logs/events.1.1.log


> > > >>    О, а вот это действительно звучит неплохо. Я удаляю тогда из
> > > >> Сизифа.      
> > > > Меняю тему, чтобы коллеги увидели вопрос, утонувший в
> > > > обсуждении.
> > > >
> > > >      
> > > И ещё сразу было бы интересно обозначить жизненный цикл этой
> > > компоненты.
> > > 
> > > в p9 есть ?    
> > 
> > Будет, AFAIK.
> >   
> > > И как в дистрибутивы включать, через pkgpriorities ?    
> > 
> > Я еще не пробовал, но думаю достаточно будет при сборке добавить в
> > source.list компонент и явно указать нужные пакеты в списках.  
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 18:06:08 +0300
Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org> пишет:

> On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
> > В Mon, 2 Dec 2019 16:35:45 +0300
> > Paul Wolneykien <manowar@altlinux.org> пишет:
> >   
> > > В Mon, 2 Dec 2019 16:27:39 +0300
> > > Mikhail Efremov <sem@altlinux.org> пишет:
> > >   
> > > > On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:    
> > > > > On 02.12.2019 12:36, Dmitry V. Levin wrote:      
> > > > > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien
> > > > > > wrote: 
> > > > > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > > > >>        
> > > > > >>> А если есть готовность конфигурировать apt, тогда лучше
> > > > > >>> собирать это добро в недавно созданный apt component под
> > > > > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > > > > >>>
> > > > > >>> Коллеги, расскажите, пожалуйста, как правильно собирать
> > > > > >>> пакеты в gostcrypto.        
> > > > 
> > > > Просто в названии пакета должен быть суффикс gostcrypto,
> > > > насколько я понимаю. Т.е. libnss-gostcrypto, к примеру. И они
> > > > не должны быть noarch, там нет такого компонента.    
> > > 
> > >   Сейчас попробую.  
> > 
> >   Не получается. Оно пишет, например,
> > 
> > libnss-gostcrypto-devel#3.47.0-alt1.gost1.2
> > libnss-gostcrypto = 3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1  
> 
> Пакеты попадают в компонент gostcrypto только если их называние
> заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto
> попал в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в
> компонент classic.

  Знаешь, я о чём-то таком догадывался, но боялся спросить. :-)

  Допустим, я могу сделать что-то с libnss-gostcrypto-devel, чтобы он
назывался наоборот --- libnss-devel-gostcrypto, хотя это и ломает
привычное наименование пакетов (причём, не только у меня в голове, но и
наверняка в каких-нибудь скриптах и ещё в куче BuildRequires).
  Но что тогда делать с -debuginfo подпакетами? Их ведь не переименуешь.

Re: [devel] Q: gostcrypto howto

[Anton Farygin]

On 02.12.2019 16:56, Andrey Savchenko wrote:
> On Mon, 2 Dec 2019 12:36:32 +0300 Dmitry V. Levin wrote:
>> On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
>>> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
>>>
>>>> А если есть готовность конфигурировать apt, тогда лучше собирать это
>>>> добро в недавно созданный apt component под названием gostcrypto, там
>>>> уже есть openssh и openvpn.
>>>>
>>>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
>>>> gostcrypto.
>>>    О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.
>> Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
>   
> Заодно прошу объяснить, для чего эта компонента вообще нужна?
> Хотелось бы видеть openvpn и openssh с поддержкой gost в Сизифе.
> Что этому объективно мешает?
>
> Ну с libnss есть проблемы, так что да, её пока откладываем
> в сторону. Но, по моему мнению, нужно работать по интеграции gost
> в апстримы: как на нашем уровне (в Сизиф вместо сторонних
> компонент), так и в апстримы пакетов.
>
> В glibc же добавили (на уровне наших репо), в ядро добавили
> (в апстрим). Нужно продолжать.
>
>
Да, мне тоже нравится эта идея.

Хотелсь бы услышать причину появления такой компоненты. Патчи недочитаны ?

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 19:27:32 +0300
Anton Farygin <rider@basealt.ru> пишет:

> On 02.12.2019 16:56, Andrey Savchenko wrote:
> > On Mon, 2 Dec 2019 12:36:32 +0300 Dmitry V. Levin wrote:  
> >> On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:  
> >>> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> >>>  
> >>>> А если есть готовность конфигурировать apt, тогда лучше собирать
> >>>> это добро в недавно созданный apt component под названием
> >>>> gostcrypto, там уже есть openssh и openvpn.
> >>>>
> >>>> Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> >>>> gostcrypto.  
> >>>    О, а вот это действительно звучит неплохо. Я удаляю тогда из
> >>> Сизифа.  
> >> Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.  
> >   
> > Заодно прошу объяснить, для чего эта компонента вообще нужна?
> > Хотелось бы видеть openvpn и openssh с поддержкой gost в Сизифе.
> > Что этому объективно мешает?
> >
> > Ну с libnss есть проблемы, так что да, её пока откладываем
> > в сторону. Но, по моему мнению, нужно работать по интеграции gost
> > в апстримы: как на нашем уровне (в Сизиф вместо сторонних
> > компонент), так и в апстримы пакетов.
> >
> > В glibc же добавили (на уровне наших репо), в ядро добавили
> > (в апстрим). Нужно продолжать.
> >
> >  
> Да, мне тоже нравится эта идея.
> 
> Хотелсь бы услышать причину появления такой компоненты. Патчи
> недочитаны ?

  Это вопрос про openssh и openvpn?

Re: [devel] Q: gostcrypto howto

[Paul Wolneykien]

В Mon, 2 Dec 2019 18:24:33 +0300
Paul Wolneykien <manowar@altlinux.org> пишет:

> В Mon, 2 Dec 2019 18:06:08 +0300
> Gleb Fotengauer-Malinovskiy <glebfm@altlinux.org> пишет:
> 
> > On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:  
> > > В Mon, 2 Dec 2019 16:35:45 +0300
> > > Paul Wolneykien <manowar@altlinux.org> пишет:
> > >     
> > > > В Mon, 2 Dec 2019 16:27:39 +0300
> > > > Mikhail Efremov <sem@altlinux.org> пишет:
> > > >     
> > > > > On Mon, 2 Dec 2019 14:16:44 +0300 Anton Farygin wrote:      
> > > > > > On 02.12.2019 12:36, Dmitry V. Levin wrote:        
> > > > > > > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien
> > > > > > > wrote:   
> > > > > > >> В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > > > > >>          
> > > > > > >>> А если есть готовность конфигурировать apt, тогда лучше
> > > > > > >>> собирать это добро в недавно созданный apt component под
> > > > > > >>> названием gostcrypto, там уже есть openssh и openvpn.
> > > > > > >>>
> > > > > > >>> Коллеги, расскажите, пожалуйста, как правильно собирать
> > > > > > >>> пакеты в gostcrypto.          
> > > > > 
> > > > > Просто в названии пакета должен быть суффикс gostcrypto,
> > > > > насколько я понимаю. Т.е. libnss-gostcrypto, к примеру. И они
> > > > > не должны быть noarch, там нет такого компонента.      
> > > > 
> > > >   Сейчас попробую.    
> > > 
> > >   Не получается. Оно пишет, например,
> > > 
> > > libnss-gostcrypto-devel#3.47.0-alt1.gost1.2
> > > libnss-gostcrypto = 3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1
> > >  
> > 
> > Пакеты попадают в компонент gostcrypto только если их называние
> > заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto
> > попал в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал
> > в компонент classic.  
> 
>   Знаешь, я о чём-то таком догадывался, но боялся спросить. :-)
> 
>   Допустим, я могу сделать что-то с libnss-gostcrypto-devel, чтобы он
> назывался наоборот --- libnss-devel-gostcrypto, хотя это и ломает
> привычное наименование пакетов (причём, не только у меня в голове, но
> и наверняка в каких-нибудь скриптах и ещё в куче BuildRequires).
>   Но что тогда делать с -debuginfo подпакетами? Их ведь не
> переименуешь.

  Там что-то собралось:
  http://git.altlinux.org/tasks/242135/logs/events.2.1.log . Это
годится, можно комитить?

  На сборку это не повлияло, однако, я не смог однозначно определиться
с наименованием -checkinstall пакета. Как он должен в данном случае
называться?

Re: [devel] Q: gostcrypto howto

[Alexey V. Vissarionov]

On 2019-12-02 18:06:08 +0300, Gleb Fotengauer-Malinovskiy wrote:
 >>>>>>>> Коллеги, расскажите, пожалуйста, как правильно собирать
 >>>>>>>> пакеты в gostcrypto.
 >>>> Просто в названии пакета должен быть суффикс gostcrypto,
 >>>> насколько я понимаю. Т.е. libnss-gostcrypto, к примеру.
 >>>> И они не должны быть noarch, там нет такого компонента.
 >>> Сейчас попробую.
 >> Не получается. Оно пишет, например,
 >> libnss-gostcrypto-devel#3.47.0-alt1.gost1.2
 >> libnss-gostcrypto = 3.47.0-alt1.gost1.2:sisyphus+242135.100.1.1
 > Пакеты попадают в компонент gostcrypto только если их называние
 > заканчивается на -gostcrypto

Вижу смысл расширить признак до /-gostcrypto(-devel(-.*)?)?$/

 > в этом случае пакет libnss-gostcrypto попал в компонент
 > gostcrypto, а пакет libnss-gostcrypto-devel попал в
 > компонент classic.

Ну ведь это ни разу не expected behaviour...


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Re: [devel] Q: gostcrypto howto

[Mikhail Efremov]

On Mon, 2 Dec 2019 20:11:51 +0300 Paul Wolneykien wrote:
>   На сборку это не повлияло, однако, я не смог однозначно определиться
> с наименованием -checkinstall пакета. Как он должен в данном случае
> называться?

checkinstall это сам по себе отдельный компонент. Думаю, что этому
подпакету действительно лучше в компоненте checkinstall.

-- 
WBR, Mikhail Efremov

Re: [devel] Q: gostcrypto howto

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1692 bytes --]

On Mon, Dec 02, 2019 at 04:56:02PM +0300, Andrey Savchenko wrote:
> On Mon, 2 Dec 2019 12:36:32 +0300 Dmitry V. Levin wrote:
> > On Mon, Dec 02, 2019 at 12:28:47PM +0300, Paul Wolneykien wrote:
> > > В Mon, 2 Dec 2019 12:19:17 +0300, Dmitry V. Levin пишет:
> > > 
> > > > А если есть готовность конфигурировать apt, тогда лучше собирать это
> > > > добро в недавно созданный apt component под названием gostcrypto, там
> > > > уже есть openssh и openvpn.
> > > > 
> > > > Коллеги, расскажите, пожалуйста, как правильно собирать пакеты в
> > > > gostcrypto.
> > > 
> > >   О, а вот это действительно звучит неплохо. Я удаляю тогда из Сизифа.
> > 
> > Меняю тему, чтобы коллеги увидели вопрос, утонувший в обсуждении.
>  
> Заодно прошу объяснить, для чего эта компонента вообще нужна?
> Хотелось бы видеть openvpn и openssh с поддержкой gost в Сизифе.
> Что этому объективно мешает?

В openssh поддержка gost реализована посредством динамической загрузки
алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
мне бы этого не хотелось в том openssh, которым я пользуюсь.

> Ну с libnss есть проблемы, так что да, её пока откладываем
> в сторону.

Вот для этого и нужна: чтобы было, куда отложить.

> Но, по моему мнению, нужно работать по интеграции gost
> в апстримы: как на нашем уровне (в Сизиф вместо сторонних
> компонент), так и в апстримы пакетов.

> В glibc же добавили (на уровне наших репо),

Это раньше было в glibc, а теперь оно уже в апстримном libcrypt.

> в ядро добавили (в апстрим). Нужно продолжать.

И то, и другое сделал один и тот же человек,
у него это очень хорошо получается.
Но это долго и хлопотно.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Mon, 2 Dec 2019 11:13:00 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Mon, Dec 02, 2019 at 12:31:15PM +0300, Paul Wolneykien wrote:
> > > >   б) Если дело затянется, то вот тогда можно будет [временно]
> > > > удалить libnss-gost. Но сейчас-то разъезда по интерфейсу именно,
> > > > что нет --- реализации полностью совместимы в смысле одинакового
> > > > интерфейса (но не поведения) и поэтому имеют одинаковый soname.
> > > >    
> > > 
> > > Нет, нельзя временно удалить. Это сломает пользователей, которые
> > > пользуются этим gost. Единственный путь это не обновлять nss пока
> > > кто-нибудь не соизволит сделать новую версию nss-gost патча.
> > > 
> > > Почему вы не рассматриваете вариант собрать firefox-gost с
> > > внутренней версией nss c gost-патчем пока он не попал в апстрим ?
> > >   
> > 
> >   Нет, почему же, я рассматриваю, но просто изучаю альтернативы,
> > которые казались мне более простыми. Выяснилось, что нет, они не
> > простые. Хотя вариант с отдельным компонентом мне пока нравится
> > потому, что на него можно перейти оперативно.  
> 
> Отдельный компонент развяжет вам руки и вам не нужно будет плодить
> суффиксы для пакетов. Странно, что это не было планом А :)

  Всё же я вчера попробовал убрать все пересечения по --provides между
пакетами libnss и libnss-gost, получилось вот так:
  http://git.altlinux.org/tasks/242157/logs/events.4.1.log .

$ comm -12 <(rpmquery --provides -p /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm |sort) <(rpmquery --provides -p /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort) | wc -l
0

  Есть ли возражения против отправки в Сизиф?

  P.S. Я заметил, что в пакете firefox также есть некоторое количество
*.so и пересечения по соответствующим --provides между ним и
firefox-gost. Правильно ли я понимаю, что это библиотеки сугубо для
внутреннего использования самим firefox и в данном случае дубликаты
допустимы?

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:
>   Всё же я вчера попробовал убрать все пересечения по --provides между
> пакетами libnss и libnss-gost, получилось вот так:
>   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> 
> $ comm -12 <(rpmquery --provides -p /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm |sort) <(rpmquery --provides -p /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort) | wc -l
> 0
> 
>   Есть ли возражения против отправки в Сизиф?

Я ничего не могу добавить к объяснению Димы на этот счёт.

>   P.S. Я заметил, что в пакете firefox также есть некоторое количество
> *.so и пересечения по соответствующим --provides между ним и
> firefox-gost. Правильно ли я понимаю, что это библиотеки сугубо для
> внутреннего использования самим firefox и в данном случае дубликаты
> допустимы?

Они находятся в подкаталоге. С ними никто не должен линковаться.

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Tue, 3 Dec 2019 11:46:12 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:
> >   Всё же я вчера попробовал убрать все пересечения по --provides
> > между пакетами libnss и libnss-gost, получилось вот так:
> >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > 
> > $ comm -12 <(rpmquery --provides -p
> > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm |sort)
> > <(rpmquery --provides -p
> > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > | wc -l 0
> > 
> >   Есть ли возражения против отправки в Сизиф?  
> 
> Я ничего не могу добавить к объяснению Димы на этот счёт.

  Это которое из? Тут уже много всего было сказано и я мог что-то
упустить.

> 
> >   P.S. Я заметил, что в пакете firefox также есть некоторое
> > количество *.so и пересечения по соответствующим --provides между
> > ним и firefox-gost. Правильно ли я понимаю, что это библиотеки
> > сугубо для внутреннего использования самим firefox и в данном
> > случае дубликаты допустимы?  
> 
> Они находятся в подкаталоге. С ними никто не должен линковаться.

  Ок.

Re: [devel] [cyber] I: Sisyphus-20191130 x86_64 beehive_status: +14 -7 (727)

[Mikhail Novosyolov]

02.12.2019 11:24, Alexey V. Vissarionov пишет:
> On 2019-12-02 11:07:58 +0300, Paul Wolneykien wrote:
>
>   >>> Насколько понимаю, загвоздка не столько в апте, сколько в
>   >>> возможности (вполне реальной, не теоретической) разъезда ABI
>   >>> библиотек в случае необходимости сборки новой апстримной
>   >>> версии и невозможности оперативно обновить gost patch.
>   >> В этом случае надо делать libnss-gost отдельной библиотекой,
>   >> а не дублировать libnss с добавлением функций - тогда тот же
>   >> firefox-gost будет требовать и libnss, и libnss-gost, а
>   >> обычный firefox обойдется только libnss.
>   > С точки зрения обобщённой логики --- всё хорошо, а с точки
>   > зрения архитектуры NSS не очень. Я же не добавляю каких-то
>   > новых функций, никак не расширяю API libnss. Я именно что,
>   > предоставляю альтернативную реализацию *того же самого*
>   > интерфейса, т.е. того же самого набора функций, что и в
>   > libnss. Да и то, альтернативную только в 5% случаев.
>
> Хм... А если все же вынести ГОСТ 34.{10,11,12} в libnss-gost,
> а libnss научить проверять их доступность через какой-нибудь
> dlopen()? Доступно - пользуем, недоступно - да и хрен с ним.
>
А если в pkg-config *.pc обоих вариантов libnss добавить RPATH, 
gost-вариант ставить в отдельную директорию вне стандартных путей поиска 
библиотек, если gost-вариант установлен - будет использоваться он,а  
если нет - то в RPATH ничего не будет найдено.

Re: [devel] Q: gostcrypto howto

[Mikhail Novosyolov]

02.12.2019 18:06, Gleb Fotengauer-Malinovskiy пишет:
> On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
>> <...>
> Пакеты попадают в компонент gostcrypto только если их называние
> заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
> в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
> classic.

Название чего? *.git, Name, ..?

А где можно почитать, что такое "компоненты"? Отдельный репозиторий, 
отключенный по умолчанию? А как обеспечивается синхронизация и 
гарантируется совместимость classic и gostcrypto?

Re: [devel] Q: gostcrypto howto

[Dmitry V. Levin]

On Tue, Dec 03, 2019 at 05:50:53PM +0300, Mikhail Novosyolov wrote:
> 02.12.2019 18:06, Gleb Fotengauer-Malinovskiy пишет:
> > On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
> >> <...>
> > Пакеты попадают в компонент gostcrypto только если их называние
> > заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
> > в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
> > classic.
> 
> Название чего? *.git, Name, ..?

Имени собранного пакета.

> А где можно почитать, что такое "компоненты"?

sources.list(5)

> Отдельный репозиторий, отключенный по умолчанию?

Часть репозитория, отдельный индекс.

> А как обеспечивается синхронизация и 

Это части одного репозитория.

> гарантируется совместимость classic и gostcrypto?

Примерно так же, как и совместимость classic и debuginfo.


-- 
ldv

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Tue, 3 Dec 2019 13:58:48 +0300
Paul Wolneykien <manowar@altlinux.org> пишет:

> В Tue, 3 Dec 2019 11:46:12 +0100
> Alexey Gladkov <legion@altlinux.ru> пишет:
> 
> > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:  
> > >   Всё же я вчера попробовал убрать все пересечения по --provides
> > > между пакетами libnss и libnss-gost, получилось вот так:
> > >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > 
> > > $ comm -12 <(rpmquery --provides -p
> > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > |sort) <(rpmquery --provides -p
> > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > | wc -l 0
> > > 
> > >   Есть ли возражения против отправки в Сизиф?    
> > 
> > Я ничего не могу добавить к объяснению Димы на этот счёт.  
> 
>   Это которое из? Тут уже много всего было сказано и я мог что-то
> упустить.

  Я ещё раз прочитал сообщения в данной теме: всё сводится к
дублированию --provides, которого теперь нет.
  И ещё, я попробовал собрать обычный firefox в присутствии
libnss-gost. Он собрался вполне обычно, результирующий пакет не требует
ничего, где было бы слово "gost".
  Поэтому я считаю, что на этот раз из-за появления libnss-gost
в Сизифе ничего сломаться не должно.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Vladimir D. Seleznev]

On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien wrote:
> В Tue, 3 Dec 2019 13:58:48 +0300
> Paul Wolneykien <manowar@altlinux.org> пишет:
> 
> > В Tue, 3 Dec 2019 11:46:12 +0100
> > Alexey Gladkov <legion@altlinux.ru> пишет:
> > 
> > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:  
> > > >   Всё же я вчера попробовал убрать все пересечения по --provides
> > > > между пакетами libnss и libnss-gost, получилось вот так:
> > > >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > > 
> > > > $ comm -12 <(rpmquery --provides -p
> > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > |sort) <(rpmquery --provides -p
> > > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > > | wc -l 0
> > > > 
> > > >   Есть ли возражения против отправки в Сизиф?    
> > > 
> > > Я ничего не могу добавить к объяснению Димы на этот счёт.  
> > 
> >   Это которое из? Тут уже много всего было сказано и я мог что-то
> > упустить.
> 
>   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> дублированию --provides, которого теперь нет.
>   И ещё, я попробовал собрать обычный firefox в присутствии
> libnss-gost. Он собрался вполне обычно, результирующий пакет не требует
> ничего, где было бы слово "gost".
>   Поэтому я считаю, что на этот раз из-за появления libnss-gost
> в Сизифе ничего сломаться не должно.

Firefox (и не только) при сборке может случайно слинковаться с libnss из
пакета libnss-gost, а вот это уже будет проблемой. Давайте не плодить
альтернативные soname'ы.

-- 
   С уважением,
   Владимир Селезнев

Re: [devel] nss-gost и firefox-gost в Сизифе

[manowar]

Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:
> On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien wrote:
> > В Tue, 3 Dec 2019 13:58:48 +0300
> > Paul Wolneykien <manowar@altlinux.org> пишет:
> > 
> > > В Tue, 3 Dec 2019 11:46:12 +0100
> > > Alexey Gladkov <legion@altlinux.ru> пишет:
> > > 
> > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:  
> > > > >   Всё же я вчера попробовал убрать все пересечения по --provides
> > > > > между пакетами libnss и libnss-gost, получилось вот так:
> > > > >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > > > 
> > > > > $ comm -12 <(rpmquery --provides -p
> > > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > > |sort) <(rpmquery --provides -p
> > > > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > > > | wc -l 0
> > > > > 
> > > > >   Есть ли возражения против отправки в Сизиф?    
> > > > 
> > > > Я ничего не могу добавить к объяснению Димы на этот счёт.  
> > > 
> > >   Это которое из? Тут уже много всего было сказано и я мог что-то
> > > упустить.
> > 
> >   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> > дублированию --provides, которого теперь нет.
> >   И ещё, я попробовал собрать обычный firefox в присутствии
> > libnss-gost. Он собрался вполне обычно, результирующий пакет не требует
> > ничего, где было бы слово "gost".
> >   Поэтому я считаю, что на этот раз из-за появления libnss-gost
> > в Сизифе ничего сломаться не должно.
> 
> Firefox (и не только) при сборке может случайно слинковаться с libnss из
> пакета libnss-gost, а вот это уже будет проблемой. Давайте не плодить
> альтернативные soname'ы.

Случайно уже не может.

Re: [devel] Q: gostcrypto howto

[Mikhail Novosyolov]

03.12.2019 23:32, Dmitry V. Levin пишет:
> On Tue, Dec 03, 2019 at 05:50:53PM +0300, Mikhail Novosyolov wrote:
>> 02.12.2019 18:06, Gleb Fotengauer-Malinovskiy пишет:
>>> On Mon, Dec 02, 2019 at 06:07:33PM +0300, Paul Wolneykien wrote:
>>>> <...>
>>> Пакеты попадают в компонент gostcrypto только если их называние
>>> заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
>>> в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
>>> classic.
>> Название чего? *.git, Name, ..?
> Имени собранного пакета.
>
>> гарантируется совместимость classic и gostcrypto?
> Примерно так же, как и совместимость classic и debuginfo.

То есть, если из foo.src.rpm получатся пакеты foo.rpm, foo-gostcrypro.rpm и gost-debuginfo.rpm, то foo.rpm уйдет в classic, gost-debuginfo.rpm - в debuginfo, a foo-gostcrypro.rpm - в gostcryptо.

Понятно, спасибо.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Wed, Dec 04, 2019 at 04:05:23PM +0000, manowar@altlinux.org wrote:
> Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:
> > On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien wrote:
> > > В Tue, 3 Dec 2019 13:58:48 +0300
> > > Paul Wolneykien <manowar@altlinux.org> пишет:
> > > 
> > > > В Tue, 3 Dec 2019 11:46:12 +0100
> > > > Alexey Gladkov <legion@altlinux.ru> пишет:
> > > > 
> > > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien wrote:  
> > > > > >   Всё же я вчера попробовал убрать все пересечения по --provides
> > > > > > между пакетами libnss и libnss-gost, получилось вот так:
> > > > > >   http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > > > > 
> > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > > > |sort) <(rpmquery --provides -p
> > > > > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > > > > | wc -l 0
> > > > > > 
> > > > > >   Есть ли возражения против отправки в Сизиф?    
> > > > > 
> > > > > Я ничего не могу добавить к объяснению Димы на этот счёт.  
> > > > 
> > > >   Это которое из? Тут уже много всего было сказано и я мог что-то
> > > > упустить.
> > > 
> > >   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> > > дублированию --provides, которого теперь нет.
> > >   И ещё, я попробовал собрать обычный firefox в присутствии
> > > libnss-gost. Он собрался вполне обычно, результирующий пакет не требует
> > > ничего, где было бы слово "gost".
> > >   Поэтому я считаю, что на этот раз из-за появления libnss-gost
> > > в Сизифе ничего сломаться не должно.
> > 
> > Firefox (и не только) при сборке может случайно слинковаться с libnss из
> > пакета libnss-gost, а вот это уже будет проблемой. Давайте не плодить
> > альтернативные soname'ы.
> 
> Случайно уже не может.

Вот только у меня просьба. Если берёте существующий пакет и меняете таким
образом, то не пишите меня пакеджером. Это же неправда.

http://git.altlinux.org/people/manowar/packages/?p=nss.git;a=blob;f=nss.spec;h=0f4590ef5fbc4341daf58beeaf711acdec9c4186;hb=d7acdf997bee09bb9e9dbcbf0be1ae36446c6ad1#l20

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Thu, 5 Dec 2019 10:44:07 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Wed, Dec 04, 2019 at 04:05:23PM +0000, manowar@altlinux.org wrote:
> > Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:  
> > > On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien wrote:  
> > > > В Tue, 3 Dec 2019 13:58:48 +0300
> > > > Paul Wolneykien <manowar@altlinux.org> пишет:
> > > >   
> > > > > В Tue, 3 Dec 2019 11:46:12 +0100
> > > > > Alexey Gladkov <legion@altlinux.ru> пишет:
> > > > >   
> > > > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul Wolneykien
> > > > > > wrote:    
> > > > > > >   Всё же я вчера попробовал убрать все пересечения по
> > > > > > > --provides между пакетами libnss и libnss-gost,
> > > > > > > получилось вот так:
> > > > > > > http://git.altlinux.org/tasks/242157/logs/events.4.1.log .
> > > > > > > 
> > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> > > > > > > | wc -l 0
> > > > > > > 
> > > > > > >   Есть ли возражения против отправки в Сизиф?      
> > > > > > 
> > > > > > Я ничего не могу добавить к объяснению Димы на этот счёт.
> > > > > >  
> > > > > 
> > > > >   Это которое из? Тут уже много всего было сказано и я мог
> > > > > что-то упустить.  
> > > > 
> > > >   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> > > > дублированию --provides, которого теперь нет.
> > > >   И ещё, я попробовал собрать обычный firefox в присутствии
> > > > libnss-gost. Он собрался вполне обычно, результирующий пакет не
> > > > требует ничего, где было бы слово "gost".
> > > >   Поэтому я считаю, что на этот раз из-за появления libnss-gost
> > > > в Сизифе ничего сломаться не должно.  
> > > 
> > > Firefox (и не только) при сборке может случайно слинковаться с
> > > libnss из пакета libnss-gost, а вот это уже будет проблемой.
> > > Давайте не плодить альтернативные soname'ы.  
> > 
> > Случайно уже не может.  
> 
> Вот только у меня просьба. Если берёте существующий пакет и меняете
> таким образом, то не пишите меня пакеджером. Это же неправда.

  Верно подмечено, сейчас исправлю.

> http://git.altlinux.org/people/manowar/packages/?p=nss.git;a=blob;f=nss.spec;h=0f4590ef5fbc4341daf58beeaf711acdec9c4186;hb=d7acdf997bee09bb9e9dbcbf0be1ae36446c6ad1#l20

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Thu, Dec 05, 2019 at 12:50:48PM +0300, Paul Wolneykien wrote:
> > Вот только у меня просьба. Если берёте существующий пакет и меняете
> > таким образом, то не пишите меня пакеджером. Это же неправда.
> 
>   Верно подмечено, сейчас исправлю.

Ну и ваша идея слинковать libnss c libssl выглядит очень свежо. Лично я
не готов к такой свежести в своём пакете.

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Michael Shigorin]

On Thu, Dec 05, 2019 at 11:01:35AM +0100, Alexey Gladkov wrote:
> On Thu, Dec 05, 2019 at 12:50:48PM +0300, Paul Wolneykien wrote:
> > > Вот только у меня просьба. Если берёте существующий пакет и меняете
> > > таким образом, то не пишите меня пакеджером. Это же неправда.
> > Верно подмечено, сейчас исправлю.
> Ну и ваша идея слинковать libnss c libssl выглядит очень свежо.
> Лично я не готов к такой свежести в своём пакете.

Тут даже интересней, готов ли к такому "мостику" апстрим...

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Thu, Dec 05, 2019 at 01:08:44PM +0300, Michael Shigorin wrote:
> > Ну и ваша идея слинковать libnss c libssl выглядит очень свежо.
> > Лично я не готов к такой свежести в своём пакете.
> 
> Тут даже интересней, готов ли к такому "мостику" апстрим...

Я могу только могу пожелать удачи и хорошего настроения тому кто это будет
апстримить :) 

-- 
Rgrds, legion

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Thu, 5 Dec 2019 11:01:35 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Thu, Dec 05, 2019 at 12:50:48PM +0300, Paul Wolneykien wrote:
> > > Вот только у меня просьба. Если берёте существующий пакет и
> > > меняете таким образом, то не пишите меня пакеджером. Это же
> > > неправда.  
> > 
> >   Верно подмечено, сейчас исправлю.  
> 
> Ну и ваша идея слинковать libnss c libssl выглядит очень свежо. Лично
> я не готов к такой свежести в своём пакете.

  Это временное решение.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Thu, 5 Dec 2019 13:22:54 +0300
Aleksey Novodvorsky <aen@basealt.ru> пишет:

> чт, 5 дек. 2019 г., 12:50 Paul Wolneykien <manowar@altlinux.org>:
> 
> > В Thu, 5 Dec 2019 10:44:07 +0100
> > Alexey Gladkov <legion@altlinux.ru> пишет:
> >  
> > > On Wed, Dec 04, 2019 at 04:05:23PM +0000, manowar@altlinux.org
> > > wrote:  
> > > > Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:  
> > > > > On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien
> > > > > wrote:  
> > > > > > В Tue, 3 Dec 2019 13:58:48 +0300
> > > > > > Paul Wolneykien <manowar@altlinux.org> пишет:
> > > > > >  
> > > > > > > В Tue, 3 Dec 2019 11:46:12 +0100
> > > > > > > Alexey Gladkov <legion@altlinux.ru> пишет:
> > > > > > >  
> > > > > > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul
> > > > > > > > Wolneykien wrote:  
> > > > > > > > >   Всё же я вчера попробовал убрать все пересечения по
> > > > > > > > > --provides между пакетами libnss и libnss-gost,
> > > > > > > > > получилось вот так:
> > > > > > > > > http://git.altlinux.org/tasks/242157/logs/events.4.1.log
> > > > > > > > > .
> > > > > > > > >
> > > > > > > > > $ comm -12 <(rpmquery --provides -p
> > > > > > > > > /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
> > > > > > > > > |sort) <(rpmquery --provides -p
> > > > > > > > >  
> > /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
> >  
> > > > > > > > > | wc -l 0
> > > > > > > > >
> > > > > > > > >   Есть ли возражения против отправки в Сизиф?  
> > > > > > > >
> > > > > > > > Я ничего не могу добавить к объяснению Димы на этот
> > > > > > > > счёт. 
> > > > > > >
> > > > > > >   Это которое из? Тут уже много всего было сказано и я мог
> > > > > > > что-то упустить.  
> > > > > >
> > > > > >   Я ещё раз прочитал сообщения в данной теме: всё сводится к
> > > > > > дублированию --provides, которого теперь нет.
> > > > > >   И ещё, я попробовал собрать обычный firefox в присутствии
> > > > > > libnss-gost. Он собрался вполне обычно, результирующий
> > > > > > пакет не требует ничего, где было бы слово "gost".
> > > > > >   Поэтому я считаю, что на этот раз из-за появления
> > > > > > libnss-gost в Сизифе ничего сломаться не должно.  
> > > > >
> > > > > Firefox (и не только) при сборке может случайно слинковаться с
> > > > > libnss из пакета libnss-gost, а вот это уже будет проблемой.
> > > > > Давайте не плодить альтернативные soname'ы.  
> > > >
> > > > Случайно уже не может.  
> > >
> > > Вот только у меня просьба. Если берёте существующий пакет и
> > > меняете таким образом, то не пишите меня пакеджером. Это же
> > > неправда.  
> >
> >   Верно подмечено, сейчас исправлю.
> >  
> 
> Павел, очень прошу не трогать пакеты legion@.

  Я поменял Packager: http://git.altlinux.org/tasks/242157/ . 
Таким образом, теперь это уже не пакеты legion@ и у него, надеюсь, не
будет повода для беспокойства за свою репутацию.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 05.12.2019 19:02, Aleksey Novodvorsky wrote:
>
>
>
>
> чт, 5 дек. 2019 г., 18:29 Paul Wolneykien <manowar@altlinux.org 
> <mailto:manowar@altlinux.org>>:
>
>     В Thu, 5 Dec 2019 13:22:54 +0300
>     Aleksey Novodvorsky <aen@basealt.ru <mailto:aen@basealt.ru>> пишет:
>
>     > чт, 5 дек. 2019 г., 12:50 Paul Wolneykien <manowar@altlinux.org
>     <mailto:manowar@altlinux.org>>:
>     >
>     > > В Thu, 5 Dec 2019 10:44:07 +0100
>     > > Alexey Gladkov <legion@altlinux.ru
>     <mailto:legion@altlinux.ru>> пишет:
>     > >
>     > > > On Wed, Dec 04, 2019 at 04:05:23PM +0000,
>     manowar@altlinux.org <mailto:manowar@altlinux.org>
>     > > > wrote:
>     > > > > Среда, 4 декабря 2019 г получено от Vladimir D. Seleznev:
>     > > > > > On Wed, Dec 04, 2019 at 03:08:39PM +0300, Paul Wolneykien
>     > > > > > wrote:
>     > > > > > > В Tue, 3 Dec 2019 13:58:48 +0300
>     > > > > > > Paul Wolneykien <manowar@altlinux.org
>     <mailto:manowar@altlinux.org>> пишет:
>     > > > > > >
>     > > > > > > > В Tue, 3 Dec 2019 11:46:12 +0100
>     > > > > > > > Alexey Gladkov <legion@altlinux.ru
>     <mailto:legion@altlinux.ru>> пишет:
>     > > > > > > >
>     > > > > > > > > On Tue, Dec 03, 2019 at 12:53:03PM +0300, Paul
>     > > > > > > > > Wolneykien wrote:
>     > > > > > > > > >   Всё же я вчера попробовал убрать все
>     пересечения по
>     > > > > > > > > > --provides между пакетами libnss и libnss-gost,
>     > > > > > > > > > получилось вот так:
>     > > > > > > > > >
>     http://git.altlinux.org/tasks/242157/logs/events.4.1.log
>     > > > > > > > > > .
>     > > > > > > > > >
>     > > > > > > > > > $ comm -12 <(rpmquery --provides -p
>     > > > > > > > > >
>     /ALT/Sisyphus/files/x86_6/RPMS/libnss-3.47.1-alt1.x86_64.rpm
>     > > > > > > > > > |sort) <(rpmquery --provides -p
>     > > > > > > > > >
>     > >
>     /tmp/.private/manowar/hasher/repo/x86_64/RPMS.hasher/libnss-gost-3.47.1-alt1.gost1.2.x86_64.rpm|sort)
>     > >
>     > > > > > > > > > | wc -l 0
>     > > > > > > > > >
>     > > > > > > > > >   Есть ли возражения против отправки в Сизиф?
>     > > > > > > > >
>     > > > > > > > > Я ничего не могу добавить к объяснению Димы на этот
>     > > > > > > > > счёт.
>     > > > > > > >
>     > > > > > > >   Это которое из? Тут уже много всего было сказано и
>     я мог
>     > > > > > > > что-то упустить.
>     > > > > > >
>     > > > > > >   Я ещё раз прочитал сообщения в данной теме: всё
>     сводится к
>     > > > > > > дублированию --provides, которого теперь нет.
>     > > > > > >   И ещё, я попробовал собрать обычный firefox в
>     присутствии
>     > > > > > > libnss-gost. Он собрался вполне обычно, результирующий
>     > > > > > > пакет не требует ничего, где было бы слово "gost".
>     > > > > > >   Поэтому я считаю, что на этот раз из-за появления
>     > > > > > > libnss-gost в Сизифе ничего сломаться не должно.
>     > > > > >
>     > > > > > Firefox (и не только) при сборке может случайно
>     слинковаться с
>     > > > > > libnss из пакета libnss-gost, а вот это уже будет проблемой.
>     > > > > > Давайте не плодить альтернативные soname'ы.
>     > > > >
>     > > > > Случайно уже не может.
>     > > >
>     > > > Вот только у меня просьба. Если берёте существующий пакет и
>     > > > меняете таким образом, то не пишите меня пакеджером. Это же
>     > > > неправда.
>     > >
>     > >   Верно подмечено, сейчас исправлю.
>     > >
>     >
>     > Павел, очень прошу не трогать пакеты legion@.
>
>       Я поменял Packager: http://git.altlinux.org/tasks/242157/ .
>     Таким образом, теперь это уже не пакеты legion@ и у него, надеюсь, не
>     будет повода для беспокойства за свою репутацию.
>
>
>
> Паша, это пакеты legion. Были и будут.
>
> Верните, пожалуйста.
> Свои пакеты собирайте отдельно.

Алексей, они и собраны _отдельно_ под другим именем.

http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>
>     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>
>
> Ок. Почему их не собрать в gostcryрto?

Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда можно 
без него.

gostcrypto выглядит костылём.

Re: [devel] nss-gost и firefox-gost в Сизифе

[manowar]

Четверг, 5 декабря 2019 г получено от Aleksey Novodvorsky:
> чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru>:
> 
> > On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
> > >
> > >     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
> > >
> > >
> > > Ок. Почему их не собрать в gostcryрto?

А я бы поставил вопрос как раз наоборот: почему бы не собрать в classic, раз теперь есть такая возможность? 

> >
> > Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда можно
> > без него.
> >
> > gostcrypto выглядит костылём

Похоже. Например, legion@ не беспокоился насчёт данных пакетов в gostcrypto, но сразу обратил внимание, как речь зашла о classic. Вывод: сборка в classic способствует критике и повышению качества упаковки. 
 
> Я не согласен. Но подождем мнения ldv

Подождём, но, между прочим, именно Дима предложил сменить soname, как условие сборки в Сизиф (classic). Что и было сделано.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 05.12.2019 19:27, Aleksey Novodvorsky wrote:
>
>
>
>
> чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru 
> <mailto:rider@basealt.ru>>:
>
>     On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>     >
>     > http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>     >
>     >
>     > Ок. Почему их не собрать в gostcryрto?
>
>     Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда
>     можно
>     без него.
>
>     gostcrypto выглядит костылём.
>
>
> Я не согласен. Но подождем мнения ldv
>
Я знаю что ты не согласен, но это моё мнение, оно может быть правильным, 
не правильным но оно такое - компонента gostcrypto выглядит костылём.

Мнение ldv мне известно и оно имеет право на жизнь, не вижу никаких проблем.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Dmitry V. Levin]

On Thu, Dec 05, 2019 at 05:03:06PM +0000, manowar@altlinux.org wrote:
> Четверг, 5 декабря 2019 г получено от Aleksey Novodvorsky:
> > чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru>:
> > 
> > > On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
> > > >
> > > >     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
> > > >
> > > >
> > > > Ок. Почему их не собрать в gostcryрto?
> 
> А я бы поставил вопрос как раз наоборот: почему бы не собрать в classic, раз теперь есть такая возможность? 
> 
> > >
> > > Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда можно
> > > без него.
> > >
> > > gostcrypto выглядит костылём
> 
> Похоже. Например, legion@ не беспокоился насчёт данных пакетов в gostcrypto, но сразу обратил внимание, как речь зашла о classic. Вывод: сборка в classic способствует критике и повышению качества упаковки. 
>  
> > Я не согласен. Но подождем мнения ldv
> 
> Подождём, но, между прочим, именно Дима предложил сменить soname, как условие сборки в Сизиф (classic). Что и было сделано.

Поместить в gostcrypto или сменить soname - два разных подхода,
выбор зависит от решаемой задачи.  Если нужна библиотека, которую можно
использовать одновременно с обычной, то смена soname и полный развод
provides.  Если нужна библиотека, которую можно использовать вместо
обычной, то сохранение soname и помещение в gostcrypto.


-- 
ldv

Re: [devel] nss-gost и firefox-gost в Сизифе

[manowar]

Четверг, 5 декабря 2019 г получено от Dmitry V. Levin:
> On Thu, Dec 05, 2019 at 05:03:06PM +0000, manowar@altlinux.org wrote:
> > Четверг, 5 декабря 2019 г получено от Aleksey Novodvorsky:
> > > чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru>:
> > > 
> > > > On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
> > > > >
> > > > >     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
> > > > >
> > > > >
> > > > > Ок. Почему их не собрать в gostcryрto?
> > 
> > А я бы поставил вопрос как раз наоборот: почему бы не собрать в classic, раз теперь есть такая возможность? 
> > 
> > > >
> > > > Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда можно
> > > > без него.
> > > >
> > > > gostcrypto выглядит костылём
> > 
> > Похоже. Например, legion@ не беспокоился насчёт данных пакетов в gostcrypto, но сразу обратил внимание, как речь зашла о classic. Вывод: сборка в classic способствует критике и повышению качества упаковки. 
> >  
> > > Я не согласен. Но подождем мнения ldv
> > 
> > Подождём, но, между прочим, именно Дима предложил сменить soname, как условие сборки в Сизиф (classic). Что и было сделано.
> 
> Поместить в gostcrypto или сменить soname - два разных подхода,
> выбор зависит от решаемой задачи.  Если нужна библиотека, которую можно
> использовать одновременно с обычной, то смена soname и полный развод
> provides.  Если нужна библиотека, которую можно использовать вместо
> обычной, то сохранение soname и помещение в gostcrypto.

Вариант "вместо" (gostcrypto) будет особенно интересен, если мы договоримся включить номера ГОСТовых шифронаборов в базовую версию Firefox.
  Поясню. Сейчас у меня эти номера берутся из констант, добавленных в NSS. Но ничто не мешает определить эти номера непосредственно в коде firefox, потому что они не с неба свалились, а определены в стандарте.
  И тогда, действительно, мы получим систему, в которой ГОСТ включается простой заменой одной библиотеки на другую, без переустановки пакетов.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 05.12.2019 21:45, Aleksey Novodvorsky wrote:
>
>
>
>
> чт, 5 дек. 2019 г., 20:17 Anton Farygin <rider@basealt.ru 
> <mailto:rider@basealt.ru>>:
>
>     On 05.12.2019 19:27, Aleksey Novodvorsky wrote:
>     >
>     >
>     >
>     >
>     > чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>:
>     >
>     >     On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>     >     >
>     >     > http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>     >     >
>     >     >
>     >     > Ок. Почему их не собрать в gostcryрto?
>     >
>     >     Не знаю, но по мне этот gostcrypto не нужен в тех случаях. когда
>     >     можно
>     >     без него.
>     >
>     >     gostcrypto выглядит костылём.
>     >
>     >
>     > Я не согласен. Но подождем мнения ldv
>     >
>     Я знаю что ты не согласен, но это моё мнение, оно может быть
>     правильным,
>     не правильным но оно такое - компонента gostcrypto выглядит костылём.
>
>     Мнение ldv мне известно и оно имеет право на жизнь, не вижу
>     никаких проблем.
>
>
> Принципиально важно, чтобы эти пакеты не мешали ни сборке, ни 
> установке, ни обновлению .
> В gostcryto с этим проще.
>
Принципиально важно сделать так, что бы этими пакетами можно было 
реально пользоваться в составе дистрибутивов. Наличие их в отдельной 
компоненте не упрощает этот процесс, а усложняет.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 06.12.2019 0:08, Aleksey Novodvorsky wrote:
>
>
>
>
> чт, 5 дек. 2019 г., 23:15 Anton Farygin <rider@basealt.ru 
> <mailto:rider@basealt.ru>>:
>
>     On 05.12.2019 21:45, Aleksey Novodvorsky wrote:
>     >
>     >
>     >
>     >
>     > чт, 5 дек. 2019 г., 20:17 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>:
>     >
>     >     On 05.12.2019 19:27, Aleksey Novodvorsky wrote:
>     >     >
>     >     >
>     >     >
>     >     >
>     >     > чт, 5 дек. 2019 г., 19:18 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>
>     >     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>>:
>     >     >
>     >     >     On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>     >     >     >
>     >     >     >
>     http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>     >     >     >
>     >     >     >
>     >     >     > Ок. Почему их не собрать в gostcryрto?
>     >     >
>     >     >     Не знаю, но по мне этот gostcrypto не нужен в тех
>     случаях. когда
>     >     >     можно
>     >     >     без него.
>     >     >
>     >     >     gostcrypto выглядит костылём.
>     >     >
>     >     >
>     >     > Я не согласен. Но подождем мнения ldv
>     >     >
>     >     Я знаю что ты не согласен, но это моё мнение, оно может быть
>     >     правильным,
>     >     не правильным но оно такое - компонента gostcrypto выглядит
>     костылём.
>     >
>     >     Мнение ldv мне известно и оно имеет право на жизнь, не вижу
>     >     никаких проблем.
>     >
>     >
>     > Принципиально важно, чтобы эти пакеты не мешали ни сборке, ни
>     > установке, ни обновлению .
>     > В gostcryto с этим проще.
>     >
>     Принципиально важно сделать так, что бы этими пакетами можно было
>     реально пользоваться в составе дистрибутивов. Наличие их в отдельной
>     компоненте не упрощает этот процесс, а усложняет.
>
> Я не включал бы эти пакеты в состав дистрибутивов до включения патчей 
> в апстрим.
К нам предъявляют другие требования, а включение в апстрим может занять 
годы если не десятилетия.
> Кроме того, как раз для коробочных продуктов нет проблем включения 
> компонент, это вполне прозрачно.

Неясен жизненный цикл этих пакетов, о чём ты написал ниже и я спрашивал 
в соседних письмах

> Компонента gostcryрto появилась, насколько я понял , потому, что Глеб 
> и sem не готовы к вечной оперативной поддержке патчей ГОСТ к oрenssh и 
> oрenvрn.
А вообще процесс по включению патчей в апстримы уже начался ?

Re: [devel] nss-gost и firefox-gost в Сизифе

[Dmitry V. Levin]

On Fri, Dec 06, 2019 at 06:52:16AM +0300, Anton Farygin wrote:
[...]
> К нам предъявляют другие требования, а включение в апстрим может занять 
> годы если не десятилетия.

Если к вам предъявляют другие требования, то это ваши проблемы.
Возможно, твоя реплика предназначалась для какого-то другого списка рассылки.

К ALT Linux Team никто таких требований не предъявляет.
Более того, люди могут инстинктивно избегать реализаций криптографии,
сделанных в обход апстрима, это их право.


-- 
ldv

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 06.12.2019 7:17, Dmitry V. Levin wrote:
> On Fri, Dec 06, 2019 at 06:52:16AM +0300, Anton Farygin wrote:
> [...]
>> К нам предъявляют другие требования, а включение в апстрим может занять
>> годы если не десятилетия.
> Если к вам предъявляют другие требования, то это ваши проблемы.
> Возможно, твоя реплика предназначалась для какого-то другого списка рассылки.
>
> К ALT Linux Team никто таких требований не предъявляет.
> Более того, люди могут инстинктивно избегать реализаций криптографии,
> сделанных в обход апстрима, это их право.

Речь идёт про некоторые дистрибутивы, естественно.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 06.12.2019 7:22, Aleksey Novodvorsky wrote:
>
>
>
> пт, 6 дек. 2019 г., 6:52 Anton Farygin <rider@basealt.ru 
> <mailto:rider@basealt.ru>>:
>
>     On 06.12.2019 0:08, Aleksey Novodvorsky wrote:
>     >
>     >
>     >
>     >
>     > чт, 5 дек. 2019 г., 23:15 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>:
>     >
>     >     On 05.12.2019 21:45, Aleksey Novodvorsky wrote:
>     >     >
>     >     >
>     >     >
>     >     >
>     >     > чт, 5 дек. 2019 г., 20:17 Anton Farygin <rider@basealt.ru
>     <mailto:rider@basealt.ru>
>     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>
>     >     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>>:
>     >     >
>     >     >     On 05.12.2019 19:27, Aleksey Novodvorsky wrote:
>     >     >     >
>     >     >     >
>     >     >     >
>     >     >     >
>     >     >     > чт, 5 дек. 2019 г., 19:18 Anton Farygin
>     <rider@basealt.ru <mailto:rider@basealt.ru>
>     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>
>     >     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>
>     >     >     > <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>
>     >     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>
>     <mailto:rider@basealt.ru <mailto:rider@basealt.ru>>>>>:
>     >     >     >
>     >     >     >     On 05.12.2019 19:15, Aleksey Novodvorsky wrote:
>     >     >     >     >
>     >     >     >     >
>     > http://git.altlinux.org/tasks/242157/build/1000/x86_64/srpm/
>     >     >     >     >
>     >     >     >     >
>     >     >     >     > Ок. Почему их не собрать в gostcryрto?
>     >     >     >
>     >     >     >     Не знаю, но по мне этот gostcrypto не нужен в тех
>     >     случаях. когда
>     >     >     >     можно
>     >     >     >     без него.
>     >     >     >
>     >     >     >     gostcrypto выглядит костылём.
>     >     >     >
>     >     >     >
>     >     >     > Я не согласен. Но подождем мнения ldv
>     >     >     >
>     >     >     Я знаю что ты не согласен, но это моё мнение, оно
>     может быть
>     >     >     правильным,
>     >     >     не правильным но оно такое - компонента gostcrypto
>     выглядит
>     >     костылём.
>     >     >
>     >     >     Мнение ldv мне известно и оно имеет право на жизнь, не
>     вижу
>     >     >     никаких проблем.
>     >     >
>     >     >
>     >     > Принципиально важно, чтобы эти пакеты не мешали ни сборке, ни
>     >     > установке, ни обновлению .
>     >     > В gostcryto с этим проще.
>     >     >
>     >     Принципиально важно сделать так, что бы этими пакетами можно
>     было
>     >     реально пользоваться в составе дистрибутивов. Наличие их в
>     отдельной
>     >     компоненте не упрощает этот процесс, а усложняет.
>     >
>     > Я не включал бы эти пакеты в состав дистрибутивов до включения
>     патчей
>     > в апстрим.
>     К нам предъявляют другие требования, а включение в апстрим может
>     занять
>     годы если не десятилетия.
>     > Кроме того, как раз для коробочных продуктов нет проблем включения
>     > компонент, это вполне прозрачно.
>
>     Неясен жизненный цикл этих пакетов, о чём ты написал ниже и я
>     спрашивал
>     в соседних письмах
>
>
> Да.
> Также непонятна легитимность их применения для реальных задач .
Ну кто же запретит желающим.
> Конечно, хорошо дать всему миру свободно использовать наши 
> замечательные отечественные алгоритмы. Правда, желающих не слишком 
> много, больше оппонентов,но это политика.
Да, если отвлекаться от политики, то тут два варианта - либо этот код 
писали настолько плохие программисты что его стыдно отправлять в 
апстрим, либо просто перед ними не ставили такой задачи. И в данном 
случае я склоняюсь к последнему.
>   Хорошо также, хоть это тут оффтопик, иметь реализацию 
> свойств,которые бывают в конкурсных ТЗ. Но вот использование их в 
> работе госов , видимо, сомнительно. Я не могу говорить более 
> определенно, так как это выходит за рамки моей компетенции.
>
> С точки зрения российских пользователей, по-видимому, решения типа 
> Криптопро с chromium-gost оптимальны. Особенно при возможности 
> месячного (?) права бесплатного использования их проприетарных 
> модулей. Да и цена божеская . Но даже если ты не принял решение о 
> покупке, твой браузер не превратится в тыкву. .

Конечно, но это проприетарщина чистой воды со всеми вытекающими 
последствиями (и ещё более непонятным жизненным циклом). При всех равных 
я бы предпочёл пользоваться свободными продуктами для доступа к тем же 
госуслугам.


>
>
>     > Компонента gostcryрto появилась, насколько я понял , потому, что
>     Глеб
>     > и sem не готовы к вечной оперативной поддержке патчей ГОСТ к
>     oрenssh и
>     > oрenvрn.
>     А вообще процесс по включению патчей в апстримы уже начался ?
>
> Нет. Тут нужны или энтузиасты русского крипто (не путать с 
> криптоэнтузиасиами), или точное понимание зачем это делать, кроме как 
> защищаться от чужих ТЗ.
> Задачка хорошая, она решена, ну и с ней.

В этой рассылке, всё-таки, лучше говорить про opensource разработку, 
которой и являются реализованные функции в openvpn и openssh.

Врятли кто-то кроме авторов данных патчей сможет внятно работать по ним 
с апстримом.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Fri, 6 Dec 2019 07:59:14 +0300
Anton Farygin <rider@basealt.ru> пишет:

> С точки зрения российских пользователей, по-видимому, решения типа 
> > Криптопро с chromium-gost оптимальны. Особенно при возможности 
> > месячного (?) права бесплатного использования их проприетарных 
> > модулей. Да и цена божеская . Но даже если ты не принял решение о 
> > покупке, твой браузер не превратится в тыкву. .  
> 
> Конечно, но это проприетарщина чистой воды со всеми вытекающими 
> последствиями (и ещё более непонятным жизненным циклом). При всех
> равных я бы предпочёл пользоваться свободными продуктами для доступа
> к тем же госуслугам.

  Да, мне тоже очень показалось странным, что Алексей защищает
проприетарную программу.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Fri, 6 Dec 2019 06:52:16 +0300
Anton Farygin <rider@basealt.ru> пишет:

> > Я не включал бы эти пакеты в состав дистрибутивов до включения
> > патчей в апстрим.  
> К нам предъявляют другие требования, а включение в апстрим может
> занять годы если не десятилетия.

  При этом условием попадания в апстрим является наличие пользователей
патченной версии — апстрим спросил меня об этом прямым текстом. Таким
образом, мы должны начать распространять патченные версии раньше, чем
патчи будут включены в апстрим.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Fri, 6 Dec 2019 14:43:40 +0300
Aleksey Novodvorsky <aen@altlinux.ru> пишет:

> пт, 6 дек. 2019 г., 13:10 Paul Wolneykien <manowar@altlinux.org>:
> 
> > В Fri, 6 Dec 2019 07:59:14 +0300
> > Anton Farygin <rider@basealt.ru> пишет:
> >  
> > > С точки зрения российских пользователей, по-видимому, решения
> > > типа  
> > > > Криптопро с chromium-gost оптимальны. Особенно при возможности
> > > > месячного (?) права бесплатного использования их проприетарных
> > > > модулей. Да и цена божеская . Но даже если ты не принял решение
> > > > о покупке, твой браузер не превратится в тыкву. .  
> > >
> > > Конечно, но это проприетарщина чистой воды со всеми вытекающими
> > > последствиями (и ещё более непонятным жизненным циклом). При всех
> > > равных я бы предпочёл пользоваться свободными продуктами для
> > > доступа к тем же госуслугам.  
> >
> >   Да, мне тоже очень показалось странным, что Алексей защищает
> > проприетарную программу.
> >  
> 
> Я ее не защищаю. Я говорю о
> -- легальности для основных потребителей отечественного крипто;
> -- удобстве основной массы пользователей,

  Алексей, я уверен, что среди адресатов списков рассылки devel@ и
sisyphus@ исчезающе мало лицензиатов КриптоПро. А вот желание и
даже необходимость получить доступ к одному из сайтов, отдающих
страницы по ГОСТ TLS, у них вполне может быть. Стало быть есть
достаточно классическое ущемление прав пользователей, которых, в
конечном итоге, вынуждают приобрести лицензию для доступа к сайту.
Стало быть, в рамках репозитория Sisyphus, это _ограничение свободы_
может быть ликвидировано только свободным аналогом проприетарного
решения. Стало быть, вывод о том, что решение, построенное на
проприетарной библиотеке, является более доступным для пользователей
Sisyphus вряд ли корректен.

> которые это крипто
> используют. Свободные реализации ГОСТ -- очень хорошее дело. Но очень
> непростое с разных точек зрения и его востребованность мне неясна.
> Тем более, что законодательство наше в части крипто рестриктивно и
> рынок поделён. Если есть достаточно энтузиазма -- отлично,вперёд.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Mikhail Efremov]

On Fri, 6 Dec 2019 06:52:16 +0300 Anton Farygin wrote:
> On 06.12.2019 0:08, Aleksey Novodvorsky wrote:
> 
> > Компонента gostcryрto появилась, насколько я понял , потому, что Глеб 
> > и sem не готовы к вечной оперативной поддержке патчей ГОСТ к oрenssh и 
> > oрenvрn.  
> А вообще процесс по включению патчей в апстримы уже начался ?

В oрenvрn за основу я взял патчи, найденные в апстримном списке
рассылки, собственно. Тогда они апстрим не заинтересовали и я не думаю,
что с тех пор что-то изменилось.

-- 
WBR, Mikhail Efremov

Re: [devel] nss-gost и firefox-gost в Сизифе

[Anton Farygin]

On 06.12.2019 15:23, Paul Wolneykien wrote:
> В Fri, 6 Dec 2019 14:43:40 +0300
> Aleksey Novodvorsky<aen@altlinux.ru>  пишет:
>
>> пт, 6 дек. 2019 г., 13:10 Paul Wolneykien<manowar@altlinux.org>:
>>
>>> В Fri, 6 Dec 2019 07:59:14 +0300
>>> Anton Farygin<rider@basealt.ru>  пишет:
>>>   
>>>> С точки зрения российских пользователей, по-видимому, решения
>>>> типа
>>>>> Криптопро с chromium-gost оптимальны. Особенно при возможности
>>>>> месячного (?) права бесплатного использования их проприетарных
>>>>> модулей. Да и цена божеская . Но даже если ты не принял решение
>>>>> о покупке, твой браузер не превратится в тыкву. .
>>>> Конечно, но это проприетарщина чистой воды со всеми вытекающими
>>>> последствиями (и ещё более непонятным жизненным циклом). При всех
>>>> равных я бы предпочёл пользоваться свободными продуктами для
>>>> доступа к тем же госуслугам.
>>>    Да, мне тоже очень показалось странным, что Алексей защищает
>>> проприетарную программу.
>>>   
>> Я ее не защищаю. Я говорю о
>> -- легальности для основных потребителей отечественного крипто;
>> -- удобстве основной массы пользователей,
>    Алексей, я уверен, что среди адресатов списков рассылки devel@ и
> sisyphus@ исчезающе мало лицензиатов КриптоПро. А вот желание и
> даже необходимость получить доступ к одному из сайтов, отдающих
> страницы по ГОСТ TLS, у них вполне может быть. Стало быть есть
> достаточно классическое ущемление прав пользователей, которых, в
> конечном итоге, вынуждают приобрести лицензию для доступа к сайту.
> Стало быть, в рамках репозитория Sisyphus, это_ограничение свободы_
> может быть ликвидировано только свободным аналогом проприетарного
> решения. Стало быть, вывод о том, что решение, построенное на
> проприетарной библиотеке, является более доступным для пользователей
> Sisyphus вряд ли корректен.
>
Да, я писал про это же.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Mikhail Novosyolov]

<...>
>      Вариант "вместо" (gostcrypto) будет особенно интересен, если мы договоримся включить номера ГОСТовых шифронаборов в базовую версию Firefox.
>        Поясню. Сейчас у меня эти номера берутся из констант, добавленных в NSS. Но ничто не мешает определить эти номера непосредственно в коде firefox, потому что они не с неба свалились, а определены в стандарте.
>        И тогда, действительно, мы получим систему, в которой ГОСТ включается простой заменой одной библиотеки на другую, без переустановки пакетов.
>
>
> В chromium-gost проверяется наличие cryptopro cspи если есть, то используется

 ...и делается это в разрез с апстримом, который запихивает Хромиум в песочницу, а здесь обходными путями подгружаются сторонние библиотеки, что очень плохо совместимо с песочницей, подробнее см. здесь: https://github.com/deemru/chromium-gost/issues/7#issuecomment-548129417 , ниже цитаты:

> А в чем был смысл перехода на новую схему линковки, можно в кратце, если не секрет?

> Не секрет.
>
> Chromium постоянно движется в сторону закручивания гаек от уязвимостей, вирусам больно, но сторонним библиотекам и приложениям от этого тоже жить с каждой версией всё сложнее.
>
> Вот например классная история с антивирусом: https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=107684#post107684
>
> Итого, начиная с 77 версии на Windows была запрещена любая загрузка библиотек не из системного каталога ОС, что просто нивелировало наш подход с динамической загрузкой.
>
> Было решено перебраться в общий с Chromium-ом бинарник, здесь хоть как-то можно жить.
>
> На остальных системах вектор тот же, например на MacOS уже начали экспериментальное тестирование ограничений системных вызовов предопределённым заранее набором: https://chromium.googlesource.com/chromium/src.git/+/46f318737e0c51ef280dd89106d37ce253c1ade%5E%21/#F10

Это не долгоживущее решение, а бег на перегонки с апстримом, направления развития которого неподконтрольны сообществу.

Re: [devel] Q: gostcrypto howto

[Mikhail Novosyolov]

03.12.2019 01:15, Dmitry V. Levin пишет:

>
> В openssh поддержка gost реализована посредством динамической загрузки
> алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> мне бы этого не хотелось в том openssh, которым я пользуюсь.
>
В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые so name, но разные мажорные версии, поэтому они нормально уживаются рядом с друг другом.

Это позволит избежать dlopen() внешней библиотеки libgost.so и избежать вызова depreceated функций, например, OpenSSL_add_all_algorithms(). С учетом близости близости апстримов libressl и openssh не вижу особой проблемы в применении альтернативной libssl.

А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов "правильна" и почему не хотелось бы ее иметь в своем openssh?

Мне не нравится идея подгружать внешние библиотеки в таком компоненте, как ssh, но затрудняюсь придумать хорошее обоснование. На ум приходят, например, потенциальные сложности с chroot, selinux (в openssh-gostcryptro нет правок чрутования для прокидывания libgost.so в chroot, интересно, как это должно работать).

Re: [devel] Q: gostcrypto howto

[Vladimir D. Seleznev]

On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> 03.12.2019 01:15, Dmitry V. Levin пишет:
> 
> >
> > В openssh поддержка gost реализована посредством динамической загрузки
> > алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> > мне бы этого не хотелось в том openssh, которым я пользуюсь.
> >
> В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка
> ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо
> openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые
> so name, но разные мажорные версии, поэтому они нормально уживаются
> рядом с друг другом.

У libssl и libcrypto из OpenSSL и LibreSSL разные soname'ы:

$ objdump -x /lib64/libcrypto.so.1.1 |grep SONAME
  SONAME               libcrypto.so.1.1
$ objdump -x /lib64/libssl.so.1.1 |grep SONAME
  SONAME               libssl.so.1.1
$ objdump -x /usr/lib64/libcrypto.so.45 |grep SONAME
  SONAME               libcrypto.so.45
$ objdump -x /usr/lib64/libssl.so.47 |grep SONAME
  SONAME               libssl.so.47

> Это позволит избежать dlopen() внешней библиотеки libgost.so и
> избежать вызова depreceated функций, например,
> OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
> libressl и openssh не вижу особой проблемы в применении альтернативной
> libssl.
> 
> А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
> "правильна" и почему не хотелось бы ее иметь в своем openssh?

По-моему, динамическая подгрузка алгоритмов — неправильное решение.

> Мне не нравится идея подгружать внешние библиотеки в таком компоненте,
> как ssh, но затрудняюсь придумать хорошее обоснование. На ум приходят,
> например, потенциальные сложности с chroot, selinux (в
> openssh-gostcryptro нет правок чрутования для прокидывания libgost.so
> в chroot, интересно, как это должно работать).

-- 
   С уважением,
   Владимир Селезнев

Re: [devel] Q: gostcrypto howto

[Mikhail Novosyolov]

09.12.2019 22:10, Vladimir D. Seleznev пишет:
> On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> <...>
>> Это позволит избежать dlopen() внешней библиотеки libgost.so и
>> избежать вызова depreceated функций, например,
>> OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
>> libressl и openssh не вижу особой проблемы в применении альтернативной
>> libssl.
>>
>> А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
>> "правильна" и почему не хотелось бы ее иметь в своем openssh?
> По-моему, динамическая подгрузка алгоритмов — неправильное решение.
А какие обоснования?

Re: [devel] Q: gostcrypto howto

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 2616 bytes --]

On Mon, 9 Dec 2019 22:10:24 +0300 Vladimir D. Seleznev wrote:
> On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> > 03.12.2019 01:15, Dmitry V. Levin пишет:
> > 
> > >
> > > В openssh поддержка gost реализована посредством динамической загрузки
> > > алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> > > мне бы этого не хотелось в том openssh, которым я пользуюсь.
> > >
> > В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка
> > ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо
> > openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые
> > so name, но разные мажорные версии, поэтому они нормально уживаются
> > рядом с друг другом.
> 
> У libssl и libcrypto из OpenSSL и LibreSSL разные soname'ы:
> 
> $ objdump -x /lib64/libcrypto.so.1.1 |grep SONAME
>   SONAME               libcrypto.so.1.1
> $ objdump -x /lib64/libssl.so.1.1 |grep SONAME
>   SONAME               libssl.so.1.1
> $ objdump -x /usr/lib64/libcrypto.so.45 |grep SONAME
>   SONAME               libcrypto.so.45
> $ objdump -x /usr/lib64/libssl.so.47 |grep SONAME
>   SONAME               libssl.so.47
> 
> > Это позволит избежать dlopen() внешней библиотеки libgost.so и
> > избежать вызова depreceated функций, например,
> > OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
> > libressl и openssh не вижу особой проблемы в применении альтернативной
> > libssl.
> > 
> > А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
> > "правильна" и почему не хотелось бы ее иметь в своем openssh?
> 
> По-моему, динамическая подгрузка алгоритмов — неправильное решение.

Использование криптобиблиотеки, отличной от поддерживаемой
апстримом,— тоже неправильно, на мой вгзляд. Но, тем не менее, мы
линкуем openssh с openssl, а не libressl.

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

[-- Attachment #1: Type: text/plain, Size: 2983 bytes --]

В Thu, 5 Dec 2019 19:05:35 +0000
manowar@altlinux.org пишет:

> Четверг, 5 декабря 2019 г получено от Dmitry V. Levin:
> > 
> > Поместить в gostcrypto или сменить soname - два разных подхода,
> > выбор зависит от решаемой задачи.  Если нужна библиотека, которую
> > можно использовать одновременно с обычной, то смена soname и полный
> > развод provides.  Если нужна библиотека, которую можно использовать
> > вместо обычной, то сохранение soname и помещение в gostcrypto.  
> 
>   Вариант "вместо" (gostcrypto) будет особенно интересен, если мы
> договоримся включить номера ГОСТовых шифронаборов в базовую версию
> Firefox.

  Прилагаю патч, который разрешает использование шифронаборов с
номерами C100--C102 и 81 для HTTPS. Смысл его в том, что он разрешает
принять данные шифронаборы к рассмотрению в рамках процедуры установки
соединения. При этом фактическое использование шифронабора зависит от
соблюдения двух условий: 1) шифронабор поддерживается каким-либо
модулем NSS; 2) шифронабор поддерживается сайтом. Таким образом, с
обыкновенной сборкой NSS поведение браузера никак не изменится,
поскольку не будет соблюдено условие (1). Но при замене libnss на
libnss-gostcrypto оно, напротив, будет соблюдено и тем самым откроется
доступ к сайтам (2).

  2legion@: Насколько вероятно, по вашему, одобрение данного патча
Mozilla для использования в нашей сборке Firefox (т.е. в Сизифе)?

>   Поясню. Сейчас у меня эти номера берутся из констант,
> добавленных в NSS. Но ничто не мешает определить эти номера
> непосредственно в коде firefox, потому что они не с неба свалились, а
> определены в стандарте.
>   И тогда, действительно, мы получим систему, в
> которой ГОСТ включается простой заменой одной библиотеки на другую,
> без переустановки пакетов.


[-- Attachment #2: firefox-70.0.1-gost-ciphersuites.patch --]
[-- Type: text/x-patch, Size: 1706 bytes --]

diff --git a/mozilla/security/manager/ssl/nsNSSComponent.cpp b/mozilla/security/manager/ssl/nsNSSComponent.cpp
index c091ce7a763..5fd5a9bb549 100644
--- a/mozilla/security/manager/ssl/nsNSSComponent.cpp
+++ b/mozilla/security/manager/ssl/nsNSSComponent.cpp
@@ -903,6 +903,16 @@ nsresult LoadLoadableRootsTask::LoadLoadableRoots() {
   return NS_ERROR_FAILURE;
 }
 
+// These cipher suites are already assigned to GOST by IANA --- see
+// https://www.iana.org/assignments/tls-parameters/tls-parameters-4.csv .
+#define TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC 0xC100
+#define TLS_GOSTR341112_256_WITH_MAGMA_CTR_OMAC      0xC101
+#define TLS_GOSTR341112_256_WITH_28147_CNT_IMIT      0xC102
+
+// This cipher suite is known to be used by https://eruz.zakupki.gov.ru/
+// for GOST-R-3411.94 with GOST-28147 IMIT mode cipher:
+#define TLS_GOSTR341194_WITH_28147_CNT_IMIT          0x0081
+
 // Table of pref names and SSL cipher ID
 typedef struct {
   const char* pref;
@@ -956,6 +966,18 @@ static const CipherPref sCipherPrefs[] = {
     {"security.ssl3.rsa_des_ede3_sha", TLS_RSA_WITH_3DES_EDE_CBC_SHA,
      true},  // deprecated (RSA key exchange, 3DES)
 
+    {"security.ssl3.ecdhe_gostr_3411_12_256_kuznyechik_ctr_omac",
+     TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC, true},
+
+    {"security.ssl3.ecdhe_gostr_3411_12_256_magma_ctr_omac",
+     TLS_GOSTR341112_256_WITH_MAGMA_CTR_OMAC, true},
+
+    {"security.ssl3.ecdhe_gostr_3411_12_256_28147_cnt_imit",
+     TLS_GOSTR341112_256_WITH_28147_CNT_IMIT, true},
+
+    {"security.ssl3.ecdhe_gostr_3411_94_256_28147_cnt_imit",
+     TLS_GOSTR341194_WITH_28147_CNT_IMIT, true},
+
     // All the rest are disabled
 
     {nullptr, 0}  // end marker

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Tue, Dec 10, 2019 at 02:40:14PM +0300, Paul Wolneykien wrote:
> > > Поместить в gostcrypto или сменить soname - два разных подхода,
> > > выбор зависит от решаемой задачи.  Если нужна библиотека, которую
> > > можно использовать одновременно с обычной, то смена soname и полный
> > > развод provides.  Если нужна библиотека, которую можно использовать
> > > вместо обычной, то сохранение soname и помещение в gostcrypto.  
> > 
> >   Вариант "вместо" (gostcrypto) будет особенно интересен, если мы
> > договоримся включить номера ГОСТовых шифронаборов в базовую версию
> > Firefox.
> 
>   Прилагаю патч, который разрешает использование шифронаборов с
> номерами C100--C102 и 81 для HTTPS. Смысл его в том, что он разрешает
> принять данные шифронаборы к рассмотрению в рамках процедуры установки
> соединения. При этом фактическое использование шифронабора зависит от
> соблюдения двух условий: 1) шифронабор поддерживается каким-либо
> модулем NSS; 2) шифронабор поддерживается сайтом. Таким образом, с
> обыкновенной сборкой NSS поведение браузера никак не изменится,
> поскольку не будет соблюдено условие (1). Но при замене libnss на
> libnss-gostcrypto оно, напротив, будет соблюдено и тем самым откроется
> доступ к сайтам (2).
> 
>   2legion@: Насколько вероятно, по вашему, одобрение данного патча
> Mozilla для использования в нашей сборке Firefox (т.е. в Сизифе)?

Вы говорите про одобрение мозиллой патча в нашем репозитории ?

Простите, но я не буду даже спрашивать про такой патч. Я считаю его
опасным и не буду брать на себя ответственность. Вы добавляете возможность
фейкать библиотеку и использовать не верифицированные апстримом реализации
алгоритмов.

Если хотите, то попробуйте заапстимить его и/или реализацию алгоритмов
ГОСТ в NSS. Когда они попадут в этот проект, тогда они очень быстро
попадут в сизиф.

Не нужно подвергать угрозам пользователей сизифа.

-- 
Rgrds, legion

Re: [devel] Q: gostcrypto howto

[Vladimir D. Seleznev]

On Tue, Dec 10, 2019 at 11:50:16AM +0300, Andrey Savchenko wrote:
> On Mon, 9 Dec 2019 22:10:24 +0300 Vladimir D. Seleznev wrote:
> > On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> > > 03.12.2019 01:15, Dmitry V. Levin пишет:
> > > 
> > > >
> > > > В openssh поддержка gost реализована посредством динамической загрузки
> > > > алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> > > > мне бы этого не хотелось в том openssh, которым я пользуюсь.
> > > >
> > > В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка
> > > ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо
> > > openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые
> > > so name, но разные мажорные версии, поэтому они нормально уживаются
> > > рядом с друг другом.
> > 
> > У libssl и libcrypto из OpenSSL и LibreSSL разные soname'ы:
> > 
> > $ objdump -x /lib64/libcrypto.so.1.1 |grep SONAME
> >   SONAME               libcrypto.so.1.1
> > $ objdump -x /lib64/libssl.so.1.1 |grep SONAME
> >   SONAME               libssl.so.1.1
> > $ objdump -x /usr/lib64/libcrypto.so.45 |grep SONAME
> >   SONAME               libcrypto.so.45
> > $ objdump -x /usr/lib64/libssl.so.47 |grep SONAME
> >   SONAME               libssl.so.47
> > 
> > > Это позволит избежать dlopen() внешней библиотеки libgost.so и
> > > избежать вызова depreceated функций, например,
> > > OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
> > > libressl и openssh не вижу особой проблемы в применении альтернативной
> > > libssl.
> > > 
> > > А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
> > > "правильна" и почему не хотелось бы ее иметь в своем openssh?
> > 
> > По-моему, динамическая подгрузка алгоритмов — неправильное решение.
> 
> Использование криптобиблиотеки, отличной от поддерживаемой
> апстримом,— тоже неправильно, на мой вгзляд. Но, тем не менее, мы
> линкуем openssh с openssl, а не libressl.

Если ты имеешь в виду под апстримом openssh-portable, то они
поддерживают сборку как с LibreSSL, так и с OpenSSL. А если ты имеешь в
виду апстрим самого OpenSSH, то они не поддерживают сборку под Linux.

-- 
   С уважением,
   Владимир Селезнев

Re: [devel] Q: gostcrypto howto

[Andrey Savchenko]

[-- Attachment #1: Type: text/plain, Size: 3392 bytes --]

On Tue, 10 Dec 2019 18:57:03 +0300 Vladimir D. Seleznev wrote:
> On Tue, Dec 10, 2019 at 11:50:16AM +0300, Andrey Savchenko wrote:
> > On Mon, 9 Dec 2019 22:10:24 +0300 Vladimir D. Seleznev wrote:
> > > On Mon, Dec 09, 2019 at 08:35:30PM +0300, Mikhail Novosyolov wrote:
> > > > 03.12.2019 01:15, Dmitry V. Levin пишет:
> > > > 
> > > > >
> > > > > В openssh поддержка gost реализована посредством динамической загрузки
> > > > > алгоритмов, что, с одной стороны, правильно, но, с другой стороны,
> > > > > мне бы этого не хотелось в том openssh, которым я пользуюсь.
> > > > >
> > > > В LibreSSL, у которой общий с OpenSSH апстрим, есть поддержка
> > > > ГОСТ-ов. Технически не проблема собрать openssh с libressl вместо
> > > > openssl, у libtls, libssl, libcrypto из opensls и libressl одинаковые
> > > > so name, но разные мажорные версии, поэтому они нормально уживаются
> > > > рядом с друг другом.
> > > 
> > > У libssl и libcrypto из OpenSSL и LibreSSL разные soname'ы:
> > > 
> > > $ objdump -x /lib64/libcrypto.so.1.1 |grep SONAME
> > >   SONAME               libcrypto.so.1.1
> > > $ objdump -x /lib64/libssl.so.1.1 |grep SONAME
> > >   SONAME               libssl.so.1.1
> > > $ objdump -x /usr/lib64/libcrypto.so.45 |grep SONAME
> > >   SONAME               libcrypto.so.45
> > > $ objdump -x /usr/lib64/libssl.so.47 |grep SONAME
> > >   SONAME               libssl.so.47
> > > 
> > > > Это позволит избежать dlopen() внешней библиотеки libgost.so и
> > > > избежать вызова depreceated функций, например,
> > > > OpenSSL_add_all_algorithms(). С учетом близости близости апстримов
> > > > libressl и openssh не вижу особой проблемы в применении альтернативной
> > > > libssl.
> > > > 
> > > > А не могли бы Вы пояснить, чем динамическая загрузка алгоритмов
> > > > "правильна" и почему не хотелось бы ее иметь в своем openssh?
> > > 
> > > По-моему, динамическая подгрузка алгоритмов — неправильное решение.
> > 
> > Использование криптобиблиотеки, отличной от поддерживаемой
> > апстримом,— тоже неправильно, на мой вгзляд. Но, тем не менее, мы
> > линкуем openssh с openssl, а не libressl.
> 
> Если ты имеешь в виду под апстримом openssh-portable, то они
> поддерживают сборку как с LibreSSL, так и с OpenSSL. А если ты имеешь в
> виду апстрим самого OpenSSH, то они не поддерживают сборку под Linux.
 
Насколько я помню, openssh-portable собирался отказаться от
поддержки openssl в будущем.

Best regards,
Andrew Savchenko

[-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --]

Re: [devel] nss-gost и firefox-gost в Сизифе

[Paul Wolneykien]

В Tue, 10 Dec 2019 16:43:59 +0100
Alexey Gladkov <legion@altlinux.ru> пишет:

> On Tue, Dec 10, 2019 at 02:40:14PM +0300, Paul Wolneykien wrote:
> > > > Поместить в gostcrypto или сменить soname - два разных подхода,
> > > > выбор зависит от решаемой задачи.  Если нужна библиотека,
> > > > которую можно использовать одновременно с обычной, то смена
> > > > soname и полный развод provides.  Если нужна библиотека,
> > > > которую можно использовать вместо обычной, то сохранение soname
> > > > и помещение в gostcrypto.    
> > > 
> > >   Вариант "вместо" (gostcrypto) будет особенно интересен, если мы
> > > договоримся включить номера ГОСТовых шифронаборов в базовую версию
> > > Firefox.  
> > 
> >   Прилагаю патч, который разрешает использование шифронаборов с
> > номерами C100--C102 и 81 для HTTPS. Смысл его в том, что он
> > разрешает принять данные шифронаборы к рассмотрению в рамках
> > процедуры установки соединения. При этом фактическое использование
> > шифронабора зависит от соблюдения двух условий: 1) шифронабор
> > поддерживается каким-либо модулем NSS; 2) шифронабор поддерживается
> > сайтом. Таким образом, с обыкновенной сборкой NSS поведение
> > браузера никак не изменится, поскольку не будет соблюдено условие
> > (1). Но при замене libnss на libnss-gostcrypto оно, напротив, будет
> > соблюдено и тем самым откроется доступ к сайтам (2).
> > 
> >   2legion@: Насколько вероятно, по вашему, одобрение данного патча
> > Mozilla для использования в нашей сборке Firefox (т.е. в Сизифе)?  
> 
> Вы говорите про одобрение мозиллой патча в нашем репозитории ?
> 
> Простите, но я не буду даже спрашивать про такой патч. Я считаю его
> опасным и не буду брать на себя ответственность. Вы добавляете
> возможность фейкать библиотеку и использовать не верифицированные
> апстримом реализации алгоритмов.

  Этот патч, конечно, ничего не добавляет в отношении
существующей возможности подмены библиотеки или использования
"неверифицированных" алгоритмов. До тех пор, пока есть LD_PRELOAD и
LD_LIBRARY_PATH, существует и возможность подмены библиотеки.
Поскольку же в NSS остаётся динамическая подгрузка модулей
(в Firefox за него отвечает диалог "Устройства защиты"), постольку
остаётся возможность использования любых алгоритмов, на
усмотрение пользователя.

Re: [devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Wed, Dec 11, 2019 at 01:48:49PM +0300, Paul Wolneykien wrote:
> > Простите, но я не буду даже спрашивать про такой патч. Я считаю его
> > опасным и не буду брать на себя ответственность. Вы добавляете
> > возможность фейкать библиотеку и использовать не верифицированные
> > апстримом реализации алгоритмов.
> 
>   Этот патч, конечно, ничего не добавляет в отношении
> существующей возможности подмены библиотеки или использования
> "неверифицированных" алгоритмов. 

Вы добавляете новые константы для алгоритмов и делаете их по умолчанию
включенными.

> До тех пор, пока есть LD_PRELOAD и
> LD_LIBRARY_PATH, существует и возможность подмены библиотеки.
> Поскольку же в NSS остаётся динамическая подгрузка модулей
> (в Firefox за него отвечает диалог "Устройства защиты"), постольку
> остаётся возможность использования любых алгоритмов, на
> усмотрение пользователя.

Насколько я помню, сторонние модули не подключатся автоматически.

-- 
Rgrds, legion

Re: [devel] Q: gostcrypto howto

[Sergey V Turchin]

On Monday, 2 December 2019 18:06:08 MSK Gleb Fotengauer wrote:

[...]
> Пакеты попадают в компонент gostcrypto только если их называние
> заканчивается на -gostcrypto , в этом случае пакет libnss-gostcrypto попал
> в компонент gostcrypto, а пакет libnss-gostcrypto-devel попал в компонент
> classic.
Т.е. валидно из одного исходного пакета делать половину подпакетов для 
classic, а вторую для gostcrypto?

-- 
Regards, Sergey.