From: Alexey Gladkov <gladkov.alexey@gmail.com>
To: Paul Wolneykien <manowar@altlinux.org>
Cc: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
Subject: Re: [sisyphus] Шифрование по ГОСТ в Сизифе
Date: Fri, 12 Jul 2019 15:30:09 +0200
Message-ID: <20190712133008.GI19890@Legion-PC.fortress> (raw)
In-Reply-To: <cd56f292-6807-0226-a2aa-b9ea60f65f62@altlinux.org>
On Fri, Jul 12, 2019 at 03:00:55PM +0300, Paul Wolneykien wrote:
>
> Здравствуйте, товарищи из ALT Linux Team.
>
> Не так давно я собрал в Сизиф версию GnuPG с поддержкой некоторых
> алгоритмов цифровой подписи и шифрования по ГОСТ. Поддержка там довольно
> ограниченная и специфичная — для работы с ГОСТ требуется аппаратный
> токен. Поэтому особенно не обсуждал нововведение (хотя наверное нужно было).
>
> Теперь ситуация иная: на очереди NSS и, соответственно, Firefox с
> поддержкой TLS по ГОСТ. Причём поддержка будет сразу всего доступного
> спектра алгоритмов шифрования ГОСТ, включая и наделавший много шума
> "Кузнечик".
>
> И вот, учитывая, что шифрование по ГОСТ не имеет однозначного доверия
> в широком сообществе пользователей СПО, частью которого является Сизиф,
> я решил вынести вопрос на обсуждение.
>
> Повестку дня я вижу так:
>
> 0. Нужен ли ГОСТ в Сизифе?
> 1. Если да, то в базовом пакете или в отдельной версии с пометкой "gost"?
В отдельной версии с пометкой "gost". Мы уже это обсуждали с aen@ и cas@.
Для поддержки ГОСТ нужен огромный патч, который очень медленно
обновляется. Поэтому его добавление будет тормозить либо firefox, либо
firefox-esr (в зависимости, куда его приложить).
FYI c такими даже нельзя использовать трейдмарки мозиллы[1] без их
письменного разрешения.
[1] https://wiki.mozilla.org/Legal:Mozilla_Trademark_Policy/2009-06-26_Draft#Modifications
> Моя позиция по этим вопросам следующая: пусть будет в Сизифе, в
> базовом пакете, но в состоянии "выкл."; по умолчанию не предлагать —
> пусть пользователь включает и выбирает сам, если и когда ему это нужно.
Опциональные патчи это плохая идея. Тем более, что этот патч будет
почти перманентно сломан.
> С дочерними дистрибутивами на базе Сизифа — согласно назначению
> проекта и требованиям к нему. Т.е., если дистрибутив создаётся именно
> для того (или в том числе для того), чтобы закрыть требование "у
> пользователя всё должно быть ГОСТу", то пускай так и будет. Потому что
> как бы там ни было, при таком раскладе ГОСТ пользователю всё равно
> навяжут, и тогда пусть лучше это будет дистрибутив на базе Сизифа, чем
> какой-то другой.
Для "правильных" дистрибутивов переопределяйте /usr/bin/xbrowser на "всё
по ГОСТу".
--
Rgrds, legion
next prev parent reply other threads:[~2019-07-12 13:30 UTC|newest]
Thread overview: 10+ messages / expand[flat|nested] mbox.gz Atom feed top
2019-07-12 12:00 Paul Wolneykien
2019-07-12 12:30 ` Paul Wolneykien
2019-07-12 16:09 ` Vladimir D. Seleznev
2019-07-12 16:12 ` Paul Wolneykien
2019-07-12 13:30 ` Alexey Gladkov [this message]
2019-07-12 14:16 ` Mikhail Efremov
2019-07-12 14:36 ` Alexey Gladkov
2019-07-12 15:23 ` Paul Wolneykien
2019-07-12 16:03 ` Paul Wolneykien
2019-07-12 16:43 ` Alexey Gladkov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20190712133008.GI19890@Legion-PC.fortress \
--to=gladkov.alexey@gmail.com \
--cc=manowar@altlinux.org \
--cc=sisyphus@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git