Есть в ALT Linux такие пакеты, как ca-gost-certificates и ca-gost-certificates-auc (кстати, ссылки на них с сайта битые) 1. Эти пакетв не имеют смысла без поддержки. Пакет годовой давности даже вреден 2. Скрипты из пакетов, которые генерируют сертификаты и списки отзыва, содержат грубые ошибки и похоже никогда не тестировались. Типа запустили, что-то получили и ладно. Основа ошибок - использование расширения .crl в условиях. Проблема в том, что не все URL для CRL оканчиваются на .crl. Использование утилиты mimetype вообще никакого смысла не имеет - она только расширение проверяет, даже не смотрит есть ли файл такой. Я конечно благодарен за возможность развивать https://github.com/schors/gost-russian-ca без какой-либо конкуренции. Но всё же совесть не позволяет не сообщить о явных ошибках. -- Non nobis Domine non nobis sed Nomini Tuo da gloriam Phil Kulin
Добрый день, спасибо за обратную связь. Пт, 05 окт 2018, 20:22, Phil Kulin: > Есть в ALT Linux такие пакеты, как ca-gost-certificates и > ca-gost-certificates-auc (кстати, ссылки на них с сайта битые) Уточните, пожалуйста, с какого сайта и в каком месте ссылки. Постараемся исправить. > 1. Эти пакетв не имеют смысла без поддержки. Пакет годовой давности даже вреден Да, пакеты с сертификатами нужно обновлять. И мы планируем их обновить в ближайшее время. Инфраструктура для их поддержки готова и после тестирования будет введена в строй. После этого планируем поддерживать набор сертификатов в актуальном состоянии. Кстати, расскажите, пожалуйста, каким образом вам удалось задействовать сертификаты из этих пакетов. Пока предполагалась только одна не очевидная возможность. Очень интересно, как именно вы используете их в ОС Альт. > Я конечно благодарен за возможность развивать > https://github.com/schors/gost-russian-ca без какой-либо конкуренции. Спасибо, интересно, посмотрим. > Но всё же совесть не позволяет не сообщить о явных ошибках. Сообщения об ошибках принято оформлять в виде записей в bugzilla.altlinux.org. Так ошибки проще отслеживать и исправлять. Сюда можно сообщать номера ошибок в bugzilla, это тоже будет очень полезно. Ещё раз спасибо за обратную связь. -- Дмитрий Державин, BaseALT/Базальт СПО
On Fri, Oct 5, 2018 at 11:59 PM Дмитрий Державин <dd@basealt.ru> wrote: > Добрый день, спасибо за обратную связь. Всегда пожалуйста. > > Есть в ALT Linux такие пакеты, как ca-gost-certificates и > > ca-gost-certificates-auc (кстати, ссылки на них с сайта битые) > Уточните, пожалуйста, с какого сайта и в каком месте ссылки. > Постараемся исправить. У вас есть какое-то множество сайтов с пакетами? https://packages.altlinux.org/ru/Sisyphus/srpms/ca-gost-certificates/get https://packages.altlinux.org/ru/Sisyphus/srpms/ca-gost-certificates-auc/get Нет у вас никакого ftp. А на исходники и вообще ссылки неактивные > > 1. Эти пакетв не имеют смысла без поддержки. Пакет годовой давности даже вреден > Да, пакеты с сертификатами нужно обновлять. И мы планируем их обновить > в ближайшее время. Инфраструктура для их поддержки готова и после > тестирования будет введена в строй. После этого планируем поддерживать > набор сертификатов в актуальном состоянии. Это хорошо. > Кстати, расскажите, пожалуйста, каким образом вам удалось задействовать > сертификаты из этих пакетов. Пока предполагалась только одна > не очевидная возможность. Очень интересно, как именно вы используете их > в ОС Альт. Я вообще не использую ОС Альт. Мне Вартан Хачатуров подсказал о наличии этих пакетов в связи с публикацией мною моего репозитория сертификатов (аккуратно обновляемого), Меня интересовало, как использовать CRL (судя по всему почти никак сходу, только отдельной проверкой). Моя задача простая. Для наполнения графика на сайте https://usher2.club я собираю у нескольких операторов связи "выгрузки" так называемого "реестра запрещенных сайтов". Поскольку мой сайт и моя деятельность имеет большой общественный резонанс и неприятны Роскомнадзору и Минкомсвязи, я хотел бы проверять подписи "выгрузок" не только на целостность, но и на легитимность. Для избежания, так сказать, подпихивания мне недостоверных данных, что операторами связи, что злоумышленниками, получившими несанкционированный доступ к моей системе загрузки документов, что Роскомнадзором (а они похожи на людей, способных на такое). Но проблема выявить CA и промежуточные сертификаты. Я озаботился вопросом, потратил полдня и сделал вот такой репозиторий сертификатов. Теперь думаю о CRL. Но там мне открылась преисподняя. То CRL "протухшие", то их нет по ссылкам, то ссылки в XML и в самом сертификате разные... Пока не нашёл времени с ней справиться. > > Я конечно благодарен за возможность развивать > > https://github.com/schors/gost-russian-ca без какой-либо конкуренции. > Спасибо, интересно, посмотрим. > > Но всё же совесть не позволяет не сообщить о явных ошибках. > Сообщения об ошибках принято оформлять в виде записей в > bugzilla.altlinux.org. Так ошибки проще отслеживать и исправлять. > Сюда можно сообщать номера ошибок в bugzilla, это тоже будет очень > полезно. Для этого мне надо было найти эту ссылку, быть заинтересованным в ОС Альт и вот это всё :) А тут под рукой оказался тематический список рассылки. Заодно мы поговорили о существовании таких пакетов. -- Non nobis Domine non nobis sed Nomini Tuo da gloriam Phil Kulin
Вс, 07 окт 2018, 23:45, Phil Kulin: > У вас есть какое-то множество сайтов с пакетами? > https://packages.altlinux.org/ru/Sisyphus/srpms/ca-gost-certificates/get > https://packages.altlinux.org/ru/Sisyphus/srpms/ca-gost-certificates-auc/get > Нет у вас никакого ftp. А на исходники и вообще ссылки неактивные Не успеваю за полётом вашей мысли. Сформулируйте, пожалуйста, наконец-то внятно, что именно неправильно отображается и в какой ситуации. Начните с браузера. Желательно, пожалуйста, не здесь, а в bugzilla.altlinux.org. Продукт «Infrastructure», компонент «packages.altlinux.org». > […] Поскольку мой сайт и моя деятельность имеет большой общественный > резонанс и неприятны Роскомнадзору и Минкомсвязи, я хотел бы […] Уверен, что для рекламы оппозиционных сайтов имеет смысл найти более подходящее место. Здесь предлагаю ограничиться обсуждением технических вопросов. > […] А тут под рукой оказался тематический список рассылки. PS: Кстати, проследите, пожалуйста, чтобы ваши ответы уходили только в рассылку, а не в личную почту. Спасибо! -- Дмитрий Державин, BaseALT/Базальт СПО
Пн, 08 окт 2018, 09:45, Dmitry Belyavsky:
>> PS: Кстати, проследите, пожалуйста, чтобы ваши ответы уходили только
>> в рассылку, а не в личную почту. Спасибо!
>
> Список рассылки не выставляет заголовок Reply-To, поэтому по умолчанию
> письма уходят и в список, и отвечающему.
Это если нажать «Ответить всем». А так, насколько я понимаю, «Reply» —
отправителю, «Followup» — в рассылку. Довольно удобно, по-моему.
--
Дмитрий Державин,
BaseALT/Базальт СПО
Hi,
On Mon, Oct 08, 2018 at 09:45:33AM +0300, Dmitry Belyavsky wrote:
>
> > […] А тут под рукой оказался тематический список рассылки.
> PS: Кстати, проследите, пожалуйста, чтобы ваши ответы уходили только
> в рассылку, а не в личную почту. Спасибо!
>
> Список рассылки не выставляет заголовок Reply-To, поэтому по умолчанию
> письма уходят и в список, и отвечающему.
Сейчас в Mailman стоит настройка reply_goes_to_list: "Poster", которая
является "рекомендованной" с точки зрения Mailman'а, и не меняет
Reply-To в письмах. Но можно её заменить на 'This list', тогда будет
добавляться Reply-To на адрес списка рассылки. (Как в devel.)
Пожалуй, включу её прямо сейчас.
Пн, 08 окт 2018, 10:09, Wartan Hachaturow:
>> Не успеваю за полётом вашей мысли. Сформулируйте, пожалуйста,
>> наконец-то внятно, что именно неправильно отображается и в какой
>> ситуации. Начните с браузера. Желательно, пожалуйста, не здесь, а в
>> bugzilla.altlinux.org. Продукт «Infrastructure», компонент
>> «packages.altlinux.org».
>
> На packages.altlinux.org действительно не работают ссылки на вкладках
> "Исходники", но это, полагаю, уже лет 8 так, с момента переезда всех
> на Git.
Не воспроизводится. Коллеги, предлагаю прекратить играть в «угадайку».
Не работает — добро пожаловать в bugzilla с подробным описанием. И номер
бага сюда. Иначе это очень напоминает пустую болтовню.
--
Дмитрий Державин,
BaseALT/Базальт СПО
Пн, 08 окт 2018, 10:09, Wartan Hachaturow: > Если подвести черту, то выгрузки реестра блокировок (и кстати еще куча > других документов органов власти) подписываются. Я обратил внимание > на то, что простого способа проверить эту подпись по всей цепочке не > существует, и большая часть людей просто плюют на такую проверку. С помощью КриптоПро CSP или VipNet CSP такую проверку провести нельзя? Или не пробовали? Понятно, что это не OSS, просто речь зашла про «простой способ» и «большую часть людей». ;) > Фил пошел и сделал набор скриптов. Ссылки на репозиторий было вполне достаточно. -- Дмитрий Державин, BaseALT/Базальт СПО
Там явная ошибка - в ссылке "/Sisyphus" указан дважды.
Спасибо.
08.10.2018 11:57, Dmitry Belyavsky пишет:
> Приветствую!
>
> http://sisyphus.ru/ru/srpm/Sisyphus/ca-gost-certificates-auc/get
>
> Ни одна ссылка с этой страницы не работает.
>
>
>
>
> On Mon, Oct 8, 2018 at 11:41 AM Дмитрий Державин <dd@basealt.ru
> <mailto:dd@basealt.ru>> wrote:
>
> Пн, 08 окт 2018, 10:09, Wartan Hachaturow:
>
> >> Не успеваю за полётом вашей мысли. Сформулируйте, пожалуйста,
> >> наконец-то внятно, что именно неправильно отображается и в какой
> >> ситуации. Начните с браузера. Желательно, пожалуйста, не
> здесь, а в
> >> bugzilla.altlinux.org <http://bugzilla.altlinux.org>. Продукт
> «Infrastructure», компонент
> >> «packages.altlinux.org <http://packages.altlinux.org>».
> >
> > На packages.altlinux.org <http://packages.altlinux.org>
> действительно не работают ссылки на вкладках
> > "Исходники", но это, полагаю, уже лет 8 так, с момента переезда всех
> > на Git.
>
> Не воспроизводится. Коллеги, предлагаю прекратить играть в «угадайку».
> Не работает — добро пожаловать в bugzilla с подробным описанием. И
> номер
> бага сюда. Иначе это очень напоминает пустую болтовню.
>
> --
> Дмитрий Державин,
> BaseALT/Базальт СПО
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> <mailto:oss-gost-crypto@lists.altlinux.org>
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
>
>
>
> --
> SY, Dmitry Belyavsky
>
>
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
на http://packages.altlinux.org такой ошибки нет. Синхронизация этих двух ресурсов - вопрос ближайшего времени. Разрабатывается новая версия и в ней этих ошибок нет. 08.10.2018 11:59, Anton Farygin пишет: > Там явная ошибка - в ссылке "/Sisyphus" указан дважды. > Спасибо. > > 08.10.2018 11:57, Dmitry Belyavsky пишет: >> Приветствую! >> >> http://sisyphus.ru/ru/srpm/Sisyphus/ca-gost-certificates-auc/get >> >> Ни одна ссылка с этой страницы не работает. >> >> >> >> >> On Mon, Oct 8, 2018 at 11:41 AM Дмитрий Державин <dd@basealt.ru >> <mailto:dd@basealt.ru>> wrote: >> >> Пн, 08 окт 2018, 10:09, Wartan Hachaturow: >> >> >> Не успеваю за полётом вашей мысли. Сформулируйте, пожалуйста, >> >> наконец-то внятно, что именно неправильно отображается и в какой >> >> ситуации. Начните с браузера. Желательно, пожалуйста, не >> здесь, а в >> >> bugzilla.altlinux.org <http://bugzilla.altlinux.org>. Продукт >> «Infrastructure», компонент >> >> «packages.altlinux.org <http://packages.altlinux.org>». >> > >> > На packages.altlinux.org <http://packages.altlinux.org> >> действительно не работают ссылки на вкладках >> > "Исходники", но это, полагаю, уже лет 8 так, с момента переезда >> всех >> > на Git. >> >> Не воспроизводится. Коллеги, предлагаю прекратить играть в >> «угадайку». >> Не работает — добро пожаловать в bugzilla с подробным описанием. И >> номер >> бага сюда. Иначе это очень напоминает пустую болтовню. >> >> -- Дмитрий Державин, >> BaseALT/Базальт СПО >> _______________________________________________ >> oss-gost-crypto mailing list >> oss-gost-crypto@lists.altlinux.org >> <mailto:oss-gost-crypto@lists.altlinux.org> >> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto >> >> >> >> -- >> SY, Dmitry Belyavsky >> >> >> _______________________________________________ >> oss-gost-crypto mailing list >> oss-gost-crypto@lists.altlinux.org >> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto > > > _______________________________________________ > oss-gost-crypto mailing list > oss-gost-crypto@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
On Mon, Oct 8, 2018 at 9:39 AM Дмитрий Державин <dd@basealt.ru> wrote: > > У вас есть какое-то множество сайтов с пакетами? > > https://packages.altlinux.org/ru/Sisyphus/srpms/ca-gost-certificates/get > > https://packages.altlinux.org/ru/Sisyphus/srpms/ca-gost-certificates-auc/get > > Нет у вас никакого ftp. А на исходники и вообще ссылки неактивные > Не успеваю за полётом вашей мысли. Сформулируйте, пожалуйста, наконец-то > внятно, что именно неправильно отображается и в какой ситуации. Начните > с браузера. Желательно, пожалуйста, не здесь, а в bugzilla.altlinux.org. > Продукт «Infrastructure», компонент «packages.altlinux.org». Честно, когда писал -- не проверил. Но недели две назад Белявский дал ссылку. Там все лежало на ftp://ftp.altlinux и соответственно не работало. Я сам http подставлял. Но не могу найти где это было. То ли это была ссылка, которую Дмитрий далее приводит (но вряд ли), то ли кто-то поправил уже, потому что это обсуждение в паблике было. Кстати, Вартан верно пишет - на исходники ссылки вообще нет. -- Non nobis Domine non nobis sed Nomini Tuo da gloriam Phil Kulin
On 2018-10-08T11:41:14+0300, Дмитрий Державин wrote: > Не воспроизводится. Коллеги, предлагаю прекратить играть в «угадайку». > Не работает — добро пожаловать в bugzilla с подробным описанием. И номер > бага сюда. Иначе это очень напоминает пустую болтовню. https://packages.altlinux.org/ru/Sisyphus/srpms/ca-gost-certificates-auc/sources Ссылка на тарболл неактивна. Впрочем, я согласен, что это оффтопик для данного списка. -- Regards, Wartan.
On Mon, Oct 8, 2018 at 11:53 AM Дмитрий Державин <dd@basealt.ru> wrote:
> > Если подвести черту, то выгрузки реестра блокировок (и кстати еще куча
> > других документов органов власти) подписываются. Я обратил внимание
> > на то, что простого способа проверить эту подпись по всей цепочке не
> > существует, и большая часть людей просто плюют на такую проверку.
> С помощью КриптоПро CSP или VipNet CSP такую проверку провести нельзя?
> Или не пробовали? Понятно, что это не OSS, просто речь зашла про
> «простой способ» и «большую часть людей». ;)
Про VipNet CSP вообще впервые слышу. КриптоПро платный, не просто
устанавливаемый. Я за 10 минут сейчас не смог найти достаточно
документации для оценки масштаба проблемы проверки криптопрой. Набор
сертификатов выглядит логичным и простым решением. Да, мы говорим о
простом способо автоматизации и качать закрытую платную программу -
это не простой способ. Тем более у большей части людей.
Кстати об операторах связи. Казалось бы, а как они без КриптоПРО тогда
запросы на "выгрузку" делают (они должны быть подписаны)? А очень
просто. На Windows машине вручную, возможно КриптоПРО. Поскольку к
запросу нет требования уникальности, этот подписанный запрос целый год
исправно работает. А проверку соответственно никто не делает. И письма
мало кто проверяет. Я например на сайт госуслуг хожу, когда у меня
есть сомнения. Кто-то вообще не проверяет
--
Non nobis Domine non nobis sed Nomini Tuo da gloriam
Phil Kulin