From: Alexander Bokovoy <ab@altlinux.org> To: ALT Linux Team development discussions <devel@lists.altlinux.org> Subject: Re: [devel] Вопросы новичка Date: Thu, 7 May 2009 12:45:08 +0300 Message-ID: <6062a6e60905070245q7b064e68w805eb5b9302c1164@mail.gmail.com> (raw) In-Reply-To: <20090507090045.GD7433@cryptocom.ru> 2009/5/7 Victor B. Wagner <vitus@altlinux.org>: >> Чем он кому-то не угодил ? > > Требования, предьявляемые к сертифицированным средствам > криптографической защиты вступают в прямое противоречие с по крайней > мере с духом (L)GPL. > > Не уверен, что не вступают в противоречие и с буквой v3. Я не юрист, а > тут нужно в юридическом крючкотворстве разбираться. > > (L)GPL требует предоставить пользователю свободу модифицировать софт. > А сертифицирующие органы сертифицируют определенный бинарник, и любой > секьюрити фикс или пересборка под более новый дистрибутив требует > пересертификации. LGPL требует, чтобы пользователь мог заменить LGPL компоненту закрытого решения без необходимости пересобирать это решение заново. Сертифицированная версия LGPL компоненты формально такому удовлетворяет, поскольку само понятие сертификата вынесено за пределы LGPL, а потому никаким образом не фигурирует в требованиях лицензии. То, что при этом пользователь может потерять (другой) сертификат -- не проблема LGPL. > > Сертифицируется набор бинарников с определенными хэш-суммами. > Просто пересобрать библиотеку из тех же исходников, не меняя ни одной > буквы, компилятор впишет в бинарник другую дату компиляции - и приехали > - это уже не сертифицированный бинарник. Это ерунда и по крайней мере в рамках сертификации RHEL в России нами было продемонстрировано сертификаторам, что применяемый ими алгоритм верификации кода ущербен, поскольку не учитывает подобные инвариантные изменения скомпилированного кода. Ущербность была признана, однако отказаться от нее сертификатор не смог в связи с тем, что "... у нас уже этим алгоритмом куча проприетарщины сертифицирована". Так что сертификат на свободное ПО при пересборке получен был, даже при формальной разнице в коде на датах и прочих подобных инвариантах. В рамках той сертификации даже был разработан специальный набор скриптов, которые верифицируют правильно, с учетом специфичных gcc-инвариантов. > Мы, конечно, можем предоставить ради удовлетворения буквы LGPL исходники > наших модификаций. Но то, что пользователи из них соберут, > сертифицированным уже не будет (собственно поэтому нам абсолютно не > жалко эти модификации раздавать). А по-моему GPLv3 подобные выкрутасы > явно змпрещает. Запрещено несколько другое -- невозможность эксплуатации замененного кода на оригинальном программно-аппаратном комплексе. Требования государственной сертификации не имеют отношения к условиям, в которых осуществляется право пользователя на модификацию кода и запуск его в оригинальных условиях. Проблемы взаимодействия частно-собственнических лицензионных соглашений и государственной тайны/законов страны использования не имеют никакого отношения к коду. Гостайной, например, можно вообще все что угодно закрыть и что? > Далее, (L)GPL требует предоставить пользователю свободу дальнейшего > распространения софта. А для сертифицированных криптосредств существует > поэкземплярный учет. Насколько я понимаю, неотъемлемой частью такого сертифицированного криптосредства является материальная сущность "бумажка", распространение которой ограничено ее уникальным контролируемым происхождением без возможности признания подделки за легитимную копию. Соответственно, свободное распространение кода возможно, а свойства сертифицированности -- нет. Но это не имеет никакого отношения к LGPL, как я уже указал выше. > В случае с OpenSSL с её BSD-like лицензией я по крайней мере уверен, что > распространяя сертифицированные бинарники, собранные из доступных > сообществу исходников, мы ничего не нарушаем. > > В случае LGPL я как-то не очень в этом уверен. IANAL и все такое, но если учесть, что nss сертифицирована под тройной лицензией, включая LGPL, и при этом также сертифицирована по стандартам США, как и openssl, это по крайней мере показывает, что на западном рынке проблема не существует в том виде, в котором ты ее формулируешь. -- / Alexander Bokovoy
next prev parent reply other threads:[~2009-05-07 9:45 UTC|newest] Thread overview: 24+ messages / expand[flat|nested] mbox.gz Atom feed top 2009-05-07 8:38 Victor B. Wagner 2009-05-07 8:41 ` Anton Farygin 2009-05-07 9:00 ` Victor B. Wagner 2009-05-07 9:14 ` Max Ivanov 2009-05-07 9:45 ` Alexander Bokovoy [this message] 2009-05-07 10:16 ` Anton Farygin 2009-05-07 10:55 ` Mykola S. Grechukh 2009-05-07 11:10 ` Victor B. Wagner 2009-05-07 11:13 ` Mikhail Gusarov 2009-05-07 8:45 ` Aleksey Avdeev 2009-05-07 9:12 ` Victor B. Wagner 2009-05-07 9:26 ` Aleksey Avdeev 2009-05-07 9:53 ` Victor B. Wagner 2009-05-07 11:08 ` Aleksey Avdeev 2009-05-07 9:20 ` Afanasov Dmitry 2009-05-07 9:24 ` Afanasov Dmitry 2009-05-07 9:24 ` Afanasov Dmitry 2009-05-07 10:01 ` Victor B. Wagner 2009-05-07 10:12 ` Ivan Fedorov 2009-05-07 11:21 ` Ivan Fedorov 2009-05-07 13:43 ` Victor B. Wagner 2009-05-07 13:49 ` Ivan Fedorov 2009-05-07 14:08 ` Victor B. Wagner 2009-05-07 15:51 ` Ivan Fedorov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=6062a6e60905070245q7b064e68w805eb5b9302c1164@mail.gmail.com \ --to=ab@altlinux.org \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git