From: Alexander Bokovoy <ab@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Вопросы новичка
Date: Tue, 5 May 2009 15:44:17 +0300
Message-ID: <6062a6e60905050544g48d6761bm167589e68b321a97@mail.gmail.com> (raw)
In-Reply-To: <20090505121608.GB11802@cryptocom.ru>
2009/5/5 Victor B. Wagner <vitus@altlinux.org>:
> On 2009.05.05 at 14:47:33 +0300, Alexander Bokovoy wrote:
>
>> http://fedoraproject.org/wiki/CryptoConsolidationScorecard имеет
>> практический смысл, поскольку позволяет оценить объем требуемых
>> изменений пакетной базы, а также оценить последствия таких изменений
>> или их неисполнения. Всю эту работу пришлось бы делать самостоятельно.
>
> Неужели пакетная база Alt настолько близка к пакетной базе федоры?
> Если бы речь шла об ASP то было бы понятно. Alt, насколько я понимаю,
> гораздо сильнее отличается.
У меня сильное сомнение, что у нас какие-то другие программы, чем
указанные в том списке. Может быть старее, может быть свежее, но явно
не с другими реализациями криптографической части, например, в GNOME
или bind. С этой точки зрения приведенный выше список является
актуальным для ALT.
>> > Формат должен быть такой, чтобы код для доступа умещался в экран.
>> Это нефункциональное требование.
>
> Функциональное требование "код должен быть удобным для security аудита".
Это очень хрупкое требование. Мой опыт работы с сертификаторами
показывает, что у них несколько иные взгляды на "удобство кода", чем у
разработчиков и специалистов в вопросах безопасности. Слово "удобный"
вообще с моей точки зрения неприменимо в области безопасности.
Впрочем, мы отклоняемся от темы.
>> > Вообще-то Maemo не многопользовательская система и не особенно
>> > рассчитана на поддержку интернет-серверов, у которых совершенно свои
>> > требования к тому, кому доверять, а кому нет. Поэтому там задача проще.
>> Я бы вот так и отделил задачи -- клиентскую и серверную сторону.
>
> Вот так отделить очень непросто. Например, postfix - с одной стороны
> сервер протокола SMTP, с другой - клиент протокола LDAP или даже
> PostgreSQL/MySQL.
Давай хотя бы по линии десктоп/сервер проведем разделение. Для явных
десктопных приложений, для явных серверов. Типичный ноутбук типичного
частного налогоплательщика, например. На примере Финляндии: необходима
работа карт-ридера, взаимодействие с libcryptoki от государственного
поставщика, интеграция в браузер, чтобы при входе на государственные
сайты сертификат из карты использовался для авторизации и
идентификации личности. ALT сейчас с этим справляется. Однако
использовать s/mime на основе этого сертификата в разных почтовых
программах не получается без дополнительной и различающейся настройки
каждой из них (работает пока только в Thunderbird).
Приведенное выше -- лишь пример. Типовые сценарии, реализация каждого
из них после приоритезации, шаг за шагом.
>> > Из приложений, которые используют обычный tls, единственное на сей
>> > момент найденное приложение, которому требуется нетривиальный патч - это
>> > Apache (насколько понимаю, в случае Maemo - не шибко интересно).
>> Поэтому я и отделяю централизацию и поддержку российской криптографии.
>
> Вообще говоря, надо говорить не о "поддержке российской криптографии", а
> о "поддержке возможностей современной OpenSSL". Мы старательно делали
> поддержку российской криптографии так, чтобы она ничего специфического
> не требовала.
И это хорошо. Но, например, белорусская криптография сейчас в
GNU/Linux вообще не поддерживается, ни свободными, ни проприетарными
средствами.
Давай сконцентрируемся на выделении таких типовых сценариев, которые
полезны нам как пользователям этой пакетной базы. Оценим их сложность
и важность в реализации, затем посмотрим как и в каком порядке делать.
А то сегодня мы сломаем одно, завтра другое, а потом окажется, что все
это не так уж и нужно.
--
/ Alexander Bokovoy
next prev parent reply other threads:[~2009-05-05 12:44 UTC|newest]
Thread overview: 43+ messages / expand[flat|nested] mbox.gz Atom feed top
2009-05-04 15:00 Victor B. Wagner
2009-05-04 15:06 ` Andrey Rahmatullin
2009-05-04 15:22 ` Victor B. Wagner
2009-05-04 15:24 ` Mikhail Gusarov
2009-05-04 15:27 ` Andrey Rahmatullin
2009-05-04 15:27 ` Alexey I. Froloff
2009-05-04 15:51 ` Victor B. Wagner
2009-05-04 16:51 ` Max Ivanov
2009-05-04 17:31 ` Alexey I. Froloff
2009-05-05 8:10 ` Victor B. Wagner
2009-05-05 13:06 ` Alexey I. Froloff
2009-05-05 13:25 ` Victor B. Wagner
2009-05-05 15:06 ` Max Ivanov
2009-05-04 17:44 ` Alexander Bokovoy
2009-05-05 8:39 ` Victor B. Wagner
2009-05-05 9:43 ` Alexander Bokovoy
2009-05-05 10:36 ` Victor B. Wagner
2009-05-05 11:47 ` Alexander Bokovoy
2009-05-05 12:16 ` Victor B. Wagner
2009-05-05 12:44 ` Alexander Bokovoy [this message]
2009-05-05 12:57 ` Victor B. Wagner
2009-05-05 13:26 ` Alexander Bokovoy
2009-05-05 14:11 ` Victor B. Wagner
2009-05-07 6:13 ` Afanasov Dmitry
2009-05-07 21:26 ` Денис Смирнов
2009-05-08 7:41 ` Victor B. Wagner
2009-05-08 16:38 ` Денис Смирнов
2009-05-09 5:48 ` Alexander Bokovoy
2009-05-09 5:50 ` Andrey Rahmatullin
2009-05-09 6:04 ` Alexander Bokovoy
2009-05-09 6:06 ` Andrey Rahmatullin
2009-05-09 6:04 ` Alexander Bokovoy
2009-05-06 21:26 ` Dmitry V. Levin
2009-05-06 21:35 ` [devel] alt-rpm signature verification Dmitry V. Levin
2009-05-07 7:35 ` Afanasov Dmitry
2009-05-07 8:47 ` Victor B. Wagner
2009-05-07 15:37 ` Dmitry V. Levin
2009-05-07 17:17 ` Evgeny Sinelnikov
2009-05-07 17:21 ` Dmitry V. Levin
2009-05-07 17:22 ` Mikhail Gusarov
2009-05-07 17:31 ` Evgeny Sinelnikov
2009-05-07 18:23 ` Evgeny Sinelnikov
2009-05-07 15:36 ` Dmitry V. Levin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=6062a6e60905050544g48d6761bm167589e68b321a97@mail.gmail.com \
--to=ab@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git