* [sisyphus] Шифрование по ГОСТ в Сизифе
@ 2019-07-12 12:00 Paul Wolneykien
2019-07-12 13:30 ` Alexey Gladkov
0 siblings, 2 replies; 10+ messages in thread
From: Paul Wolneykien @ 2019-07-12 12:00 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Здравствуйте, товарищи из ALT Linux Team.
Не так давно я собрал в Сизиф версию GnuPG с поддержкой некоторых
алгоритмов цифровой подписи и шифрования по ГОСТ. Поддержка там довольно
ограниченная и специфичная — для работы с ГОСТ требуется аппаратный
токен. Поэтому особенно не обсуждал нововведение (хотя наверное нужно было).
Теперь ситуация иная: на очереди NSS и, соответственно, Firefox с
поддержкой TLS по ГОСТ. Причём поддержка будет сразу всего доступного
спектра алгоритмов шифрования ГОСТ, включая и наделавший много шума
"Кузнечик".
И вот, учитывая, что шифрование по ГОСТ не имеет однозначного доверия
в широком сообществе пользователей СПО, частью которого является Сизиф,
я решил вынести вопрос на обсуждение.
Повестку дня я вижу так:
0. Нужен ли ГОСТ в Сизифе?
1. Если да, то в базовом пакете или в отдельной версии с пометкой "gost"?
2. Если в базовой, то должен ли быть включен по умолчанию?
3. Должно ли ГОСТ _предлагаться_ по умолчанию (например в GnuPG, при
создании нового ключа и т.д.)?
4. То же, но в связи с проектами на базе Сизифа.
Моя позиция по этим вопросам следующая: пусть будет в Сизифе, в
базовом пакете, но в состоянии "выкл."; по умолчанию не предлагать —
пусть пользователь включает и выбирает сам, если и когда ему это нужно.
С дочерними дистрибутивами на базе Сизифа — согласно назначению
проекта и требованиям к нему. Т.е., если дистрибутив создаётся именно
для того (или в том числе для того), чтобы закрыть требование "у
пользователя всё должно быть ГОСТу", то пускай так и будет. Потому что
как бы там ни было, при таком раскладе ГОСТ пользователю всё равно
навяжут, и тогда пусть лучше это будет дистрибутив на базе Сизифа, чем
какой-то другой.
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [sisyphus] Шифрование по ГОСТ в Сизифе
@ 2019-07-12 12:30 ` Paul Wolneykien
2019-07-12 16:09 ` Vladimir D. Seleznev
0 siblings, 1 reply; 10+ messages in thread
From: Paul Wolneykien @ 2019-07-12 12:30 UTC (permalink / raw)
To: sisyphus
12.07.2019 15:25, Aleksey Novodvorsky пишет:
>
>
>
>
> пт, 12 июля 2019 г., 15:01 Paul Wolneykien <manowar@altlinux.org
> <mailto:manowar@altlinux.org>>:
>
>
> Здравствуйте, товарищи из ALT Linux Team.
>
>
> ALT Linux team -- в списке devel@.
> Полагаю, что стоит обсудить там, особенно с мейнтейнерами firefox и
> firefox-esr.
>
> Но. Главный вопрос тут -- поддержка этого изменения. Мы не можем
> задерживать сборки firefox, именно в нем очень часты CVE.
Согласен. Но патч к Firefox не просто маленький, он фактически вообще
невесомый — всё основное в NSS.
> Не так давно я собрал в Сизиф версию GnuPG с поддержкой некоторых
> алгоритмов цифровой подписи и шифрования по ГОСТ. Поддержка там довольно
> ограниченная и специфичная — для работы с ГОСТ требуется аппаратный
> токен. Поэтому особенно не обсуждал нововведение (хотя наверное
> нужно было).
>
> Теперь ситуация иная: на очереди NSS и, соответственно, Firefox с
> поддержкой TLS по ГОСТ. Причём поддержка будет сразу всего доступного
> спектра алгоритмов шифрования ГОСТ, включая и наделавший много шума
> "Кузнечик".
>
> И вот, учитывая, что шифрование по ГОСТ не имеет однозначного доверия
> в широком сообществе пользователей СПО, частью которого является Сизиф,
> я решил вынести вопрос на обсуждение.
>
> Повестку дня я вижу так:
>
> 0. Нужен ли ГОСТ в Сизифе?
> 1. Если да, то в базовом пакете или в отдельной версии с пометкой
> "gost"?
> 2. Если в базовой, то должен ли быть включен по умолчанию?
> 3. Должно ли ГОСТ _предлагаться_ по умолчанию (например в GnuPG, при
> создании нового ключа и т.д.)?
> 4. То же, но в связи с проектами на базе Сизифа.
>
> Моя позиция по этим вопросам следующая: пусть будет в Сизифе, в
> базовом пакете, но в состоянии "выкл."; по умолчанию не предлагать —
> пусть пользователь включает и выбирает сам, если и когда ему это нужно.
>
> С дочерними дистрибутивами на базе Сизифа — согласно назначению
> проекта и требованиям к нему. Т.е., если дистрибутив создаётся именно
> для того (или в том числе для того), чтобы закрыть требование "у
> пользователя всё должно быть ГОСТу", то пускай так и будет. Потому что
> как бы там ни было, при таком раскладе ГОСТ пользователю всё равно
> навяжут, и тогда пусть лучше это будет дистрибутив на базе Сизифа, чем
> какой-то другой.
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@lists.altlinux.org <mailto:Sisyphus@lists.altlinux.org>
> https://lists.altlinux.org/mailman/listinfo/sisyphus
>
>
>
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sisyphus
>
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [sisyphus] Шифрование по ГОСТ в Сизифе
2019-07-12 12:00 [sisyphus] Шифрование по ГОСТ в Сизифе Paul Wolneykien
@ 2019-07-12 13:30 ` Alexey Gladkov
2019-07-12 14:16 ` Mikhail Efremov
2019-07-12 15:23 ` Paul Wolneykien
1 sibling, 2 replies; 10+ messages in thread
From: Alexey Gladkov @ 2019-07-12 13:30 UTC (permalink / raw)
To: Paul Wolneykien; +Cc: ALT Linux Sisyphus discussions
On Fri, Jul 12, 2019 at 03:00:55PM +0300, Paul Wolneykien wrote:
>
> Здравствуйте, товарищи из ALT Linux Team.
>
> Не так давно я собрал в Сизиф версию GnuPG с поддержкой некоторых
> алгоритмов цифровой подписи и шифрования по ГОСТ. Поддержка там довольно
> ограниченная и специфичная — для работы с ГОСТ требуется аппаратный
> токен. Поэтому особенно не обсуждал нововведение (хотя наверное нужно было).
>
> Теперь ситуация иная: на очереди NSS и, соответственно, Firefox с
> поддержкой TLS по ГОСТ. Причём поддержка будет сразу всего доступного
> спектра алгоритмов шифрования ГОСТ, включая и наделавший много шума
> "Кузнечик".
>
> И вот, учитывая, что шифрование по ГОСТ не имеет однозначного доверия
> в широком сообществе пользователей СПО, частью которого является Сизиф,
> я решил вынести вопрос на обсуждение.
>
> Повестку дня я вижу так:
>
> 0. Нужен ли ГОСТ в Сизифе?
> 1. Если да, то в базовом пакете или в отдельной версии с пометкой "gost"?
В отдельной версии с пометкой "gost". Мы уже это обсуждали с aen@ и cas@.
Для поддержки ГОСТ нужен огромный патч, который очень медленно
обновляется. Поэтому его добавление будет тормозить либо firefox, либо
firefox-esr (в зависимости, куда его приложить).
FYI c такими даже нельзя использовать трейдмарки мозиллы[1] без их
письменного разрешения.
[1] https://wiki.mozilla.org/Legal:Mozilla_Trademark_Policy/2009-06-26_Draft#Modifications
> Моя позиция по этим вопросам следующая: пусть будет в Сизифе, в
> базовом пакете, но в состоянии "выкл."; по умолчанию не предлагать —
> пусть пользователь включает и выбирает сам, если и когда ему это нужно.
Опциональные патчи это плохая идея. Тем более, что этот патч будет
почти перманентно сломан.
> С дочерними дистрибутивами на базе Сизифа — согласно назначению
> проекта и требованиям к нему. Т.е., если дистрибутив создаётся именно
> для того (или в том числе для того), чтобы закрыть требование "у
> пользователя всё должно быть ГОСТу", то пускай так и будет. Потому что
> как бы там ни было, при таком раскладе ГОСТ пользователю всё равно
> навяжут, и тогда пусть лучше это будет дистрибутив на базе Сизифа, чем
> какой-то другой.
Для "правильных" дистрибутивов переопределяйте /usr/bin/xbrowser на "всё
по ГОСТу".
--
Rgrds, legion
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [sisyphus] Шифрование по ГОСТ в Сизифе
2019-07-12 13:30 ` Alexey Gladkov
@ 2019-07-12 14:16 ` Mikhail Efremov
2019-07-12 14:36 ` Alexey Gladkov
2019-07-12 15:23 ` Paul Wolneykien
1 sibling, 1 reply; 10+ messages in thread
From: Mikhail Efremov @ 2019-07-12 14:16 UTC (permalink / raw)
To: sisyphus
On Fri, 12 Jul 2019 15:30:09 +0200 Alexey Gladkov wrote:
> On Fri, Jul 12, 2019 at 03:00:55PM +0300, Paul Wolneykien wrote:
> >
> > Здравствуйте, товарищи из ALT Linux Team.
> >
> > Не так давно я собрал в Сизиф версию GnuPG с поддержкой некоторых
> > алгоритмов цифровой подписи и шифрования по ГОСТ. Поддержка там довольно
> > ограниченная и специфичная — для работы с ГОСТ требуется аппаратный
> > токен. Поэтому особенно не обсуждал нововведение (хотя наверное нужно было).
> >
> > Теперь ситуация иная: на очереди NSS и, соответственно, Firefox с
> > поддержкой TLS по ГОСТ. Причём поддержка будет сразу всего доступного
> > спектра алгоритмов шифрования ГОСТ, включая и наделавший много шума
> > "Кузнечик".
> >
> > И вот, учитывая, что шифрование по ГОСТ не имеет однозначного доверия
> > в широком сообществе пользователей СПО, частью которого является Сизиф,
> > я решил вынести вопрос на обсуждение.
> >
> > Повестку дня я вижу так:
> >
> > 0. Нужен ли ГОСТ в Сизифе?
> > 1. Если да, то в базовом пакете или в отдельной версии с пометкой "gost"?
>
> В отдельной версии с пометкой "gost". Мы уже это обсуждали с aen@ и cas@.
Была идея сделать отдельный компонент gostcrypto. Соответственно все
пакеты, оканчивающиеся на *-gostcrypto, будут попадать туда. Но, к
сожалению, это пока не сделано.
--
WBR, Mikhail Efremov
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [sisyphus] Шифрование по ГОСТ в Сизифе
2019-07-12 14:16 ` Mikhail Efremov
@ 2019-07-12 14:36 ` Alexey Gladkov
0 siblings, 0 replies; 10+ messages in thread
From: Alexey Gladkov @ 2019-07-12 14:36 UTC (permalink / raw)
To: Mikhail Efremov; +Cc: sisyphus
On Fri, Jul 12, 2019 at 05:16:01PM +0300, Mikhail Efremov wrote:
> > В отдельной версии с пометкой "gost". Мы уже это обсуждали с aen@ и cas@.
>
> Была идея сделать отдельный компонент gostcrypto. Соответственно все
> пакеты, оканчивающиеся на *-gostcrypto, будут попадать туда. Но, к
> сожалению, это пока не сделано.
Похоже на хороший план :)
--
Rgrds, legion
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [sisyphus] Шифрование по ГОСТ в Сизифе
2019-07-12 13:30 ` Alexey Gladkov
2019-07-12 14:16 ` Mikhail Efremov
@ 2019-07-12 15:23 ` Paul Wolneykien
2019-07-12 16:43 ` Alexey Gladkov
1 sibling, 2 replies; 10+ messages in thread
From: Paul Wolneykien @ 2019-07-12 15:23 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
12.07.2019 16:30, Alexey Gladkov пишет:
> FYI c такими даже нельзя использовать трейдмарки мозиллы[1] без их
> письменного разрешения.
>
> [1] https://wiki.mozilla.org/Legal:Mozilla_Trademark_Policy/2009-06-26_Draft#Modifications
Т.е. все патчи, которые меняют что-то в mozilla/... , которые я вижу в
пакете firefox — они все согласованы с Mozilla?
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [sisyphus] Шифрование по ГОСТ в Сизифе
@ 2019-07-12 16:03 ` Paul Wolneykien
0 siblings, 0 replies; 10+ messages in thread
From: Paul Wolneykien @ 2019-07-12 16:03 UTC (permalink / raw)
To: sisyphus
12.07.2019 18:36, Aleksey Novodvorsky пишет:
>
>
>
> пт, 12 июля 2019 г., 18:23 Paul Wolneykien <manowar@altlinux.org
> <mailto:manowar@altlinux.org>>:
>
> 12.07.2019 16:30, Alexey Gladkov пишет:
> > FYI c такими даже нельзя использовать трейдмарки мозиллы[1] без их
> > письменного разрешения.
> >
> > [1]
> https://wiki.mozilla.org/Legal:Mozilla_Trademark_Policy/2009-06-26_Draft#Modifications
>
> Т.е. все патчи, которые меняют что-то в mozilla/... , которые я вижу в
> пакете firefox — они все согласованы с Mozilla?
>
> А разве там есть патчи с "significant functional changes" ?
Но в полиси есть вот такие заключительные строки, в которых через
слово идёт "any":
"Again, any modification to the Mozilla product, including adding to,
modifying in any way, or deleting content from the files included with
an installer, file location changes, added code, modification of any
source files including additions and deletions, etc., will require our
permission if you want to use the Mozilla Marks."
Но я думаю, что с этим уже лучше в devel@ и после опубликования патчей
в том или ином виде.
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [sisyphus] Шифрование по ГОСТ в Сизифе
2019-07-12 12:30 ` Paul Wolneykien
@ 2019-07-12 16:09 ` Vladimir D. Seleznev
2019-07-12 16:12 ` Paul Wolneykien
0 siblings, 1 reply; 10+ messages in thread
From: Vladimir D. Seleznev @ 2019-07-12 16:09 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Fri, Jul 12, 2019 at 03:30:44PM +0300, Paul Wolneykien wrote:
> 12.07.2019 15:25, Aleksey Novodvorsky пишет:
> >
> >
> >
> >
> > пт, 12 июля 2019 г., 15:01 Paul Wolneykien <manowar@altlinux.org
> > <mailto:manowar@altlinux.org>>:
> >
> >
> > Здравствуйте, товарищи из ALT Linux Team.
> >
> >
> > ALT Linux team -- в списке devel@.
> > Полагаю, что стоит обсудить там, особенно с мейнтейнерами firefox и
> > firefox-esr.
> >
> > Но. Главный вопрос тут -- поддержка этого изменения. Мы не можем
> > задерживать сборки firefox, именно в нем очень часты CVE.
>
> Согласен. Но патч к Firefox не просто маленький, он фактически вообще
> невесомый — всё основное в NSS.
Может в таком случае попытаться заапстримить его?
--
С уважением,
Владимир Селезнев
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [sisyphus] Шифрование по ГОСТ в Сизифе
2019-07-12 16:09 ` Vladimir D. Seleznev
@ 2019-07-12 16:12 ` Paul Wolneykien
0 siblings, 0 replies; 10+ messages in thread
From: Paul Wolneykien @ 2019-07-12 16:12 UTC (permalink / raw)
To: sisyphus
12.07.2019 19:09, Vladimir D. Seleznev пишет:
> On Fri, Jul 12, 2019 at 03:30:44PM +0300, Paul Wolneykien wrote:
>> 12.07.2019 15:25, Aleksey Novodvorsky пишет:
>>>
>>>
>>>
>>>
>>> пт, 12 июля 2019 г., 15:01 Paul Wolneykien <manowar@altlinux.org
>>> <mailto:manowar@altlinux.org>>:
>>>
>>>
>>> Здравствуйте, товарищи из ALT Linux Team.
>>>
>>>
>>> ALT Linux team -- в списке devel@.
>>> Полагаю, что стоит обсудить там, особенно с мейнтейнерами firefox и
>>> firefox-esr.
>>>
>>> Но. Главный вопрос тут -- поддержка этого изменения. Мы не можем
>>> задерживать сборки firefox, именно в нем очень часты CVE.
>>
>> Согласен. Но патч к Firefox не просто маленький, он фактически вообще
>> невесомый — всё основное в NSS.
>
> Может в таком случае попытаться заапстримить его?
>
Но ответная часть в NSS — большая. Предлагаю продолжить в devel@ после
сборки тестовых пакетов. Я написал в sisyphus@ потому, что мне интересно
мнение по принципиальным вопросам не только мэйнтейнеров, но и
пользователей.
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [sisyphus] Шифрование по ГОСТ в Сизифе
2019-07-12 15:23 ` Paul Wolneykien
@ 2019-07-12 16:43 ` Alexey Gladkov
1 sibling, 0 replies; 10+ messages in thread
From: Alexey Gladkov @ 2019-07-12 16:43 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Fri, Jul 12, 2019 at 06:23:08PM +0300, Paul Wolneykien wrote:
> 12.07.2019 16:30, Alexey Gladkov пишет:
> > FYI c такими даже нельзя использовать трейдмарки мозиллы[1] без их
> > письменного разрешения.
> >
> > [1] https://wiki.mozilla.org/Legal:Mozilla_Trademark_Policy/2009-06-26_Draft#Modifications
>
> Т.е. все патчи, которые меняют что-то в mozilla/... , которые я вижу в
> пакете firefox — они все согласованы с Mozilla?
Алексей Новодворский наверно помнит, как когда появилось это полиси я
писал в мозиллу и описывал нашу сборку.
У нас нет изменений которые затрагивают поведение. Из 17 патчей 12 это
апстримные патчи (по большей части про улучшение поведения в wayland), 4
исправляют копмиляцию и лишь один вносит не апстримные изменения связанные
с интеграцией с десктопом.
Так что, да, всё согласовано.
--
Rgrds, legion
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2019-07-12 16:43 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2019-07-12 12:00 [sisyphus] Шифрование по ГОСТ в Сизифе Paul Wolneykien
2019-07-12 12:30 ` Paul Wolneykien
2019-07-12 16:09 ` Vladimir D. Seleznev
2019-07-12 16:12 ` Paul Wolneykien
2019-07-12 13:30 ` Alexey Gladkov
2019-07-12 14:16 ` Mikhail Efremov
2019-07-12 14:36 ` Alexey Gladkov
2019-07-12 15:23 ` Paul Wolneykien
2019-07-12 16:03 ` Paul Wolneykien
2019-07-12 16:43 ` Alexey Gladkov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git