[devel] Вопросы новичка

Victor B. Wagner vitus на altlinux.org
Вт Май 5 12:39:18 MSD 2009 

On 2009.05.04 at 20:44:11 +0300, Alexander Bokovoy wrote:

> Существует ряд проектов по созданию такого централизованного хранилища
> в рамках Федоры и OpenSUSE, Maemo.
> 
> http://en.opensuse.org/SharedCertStore
> http://fedoraproject.org/wiki/FedoraCryptoConsolidation
> http://fedoraproject.org/wiki/CryptoConsolidationEval
> http://fedoraproject.org/wiki/CryptoConsolidationScorecard
> http://maemo.org/api_refs/4.1/libcst-1.7.16/modules.html
> 
> Тема довольно неплохо изучена. Очень прошу пройтись по этим ссылкам,
> прежде чем делать выводы.

Тут дело какое - мы в России.  Дистрибутив ориентирован преимущественно
на российский рынок. Поэтому волнует в первую очередь не сертификация FIPS,
а сертификация в ФСБ, а также совместимость с сертифицированными
решениями, которые продавливаются на рынок интернет-банкинга и тому
подобных областей применения всей мощью административного ресурса
правительства РФ.

Федора и Сусе делают ставку на libnss. Сертифицированных решений с
российскими алгоритмами на базе libnss пока не существует. Не существует
даже работающих, хотя и не сертифицированных.

Мы в свое время несколько раз начинали переговоры и с Novell и с Mozilla
Foundation на предмет встраивания российских алгоритмов в libnss/Mozilla
Suite, но пока что это все кончилось ничем. То есть на уровне
менеджмента какой-то энтузиазм был, но до уровня контактов между
разработчиками дело не доходило.

Другие российские криптографические фирмы (например Топ-Кросс) что-то с
мозиллой делали, но даже коммерческих (закрытых) решений готовых к
употреблению на рынке пока нет.

Поэтому я оцениваю сроки появления поддержки российской криптографии в
libnss не менее чем в два года. Плюс еще не менее года на сертификацию
появившегося решения.

А решение на базе OpenSSL уже сертифицировано (пока на базе патченной
0.9.8). В OpenSSL 1.0 beta уже имеется работающее решение upstream.
И сроки на сертификацию этого решения мы оцениваем куда более оптимистично
(поскольку сертификаторы эту codebase уже видели)

Поэтому, подозреваю, что допинать какой-нибудь браузер на базе webkit
до корректной работы с https и подписью web-форм с использованием
OpenSSL будет намного быстрее, чем добиваться работы российской
криптографии в Mozilla.

Подробная информация о списке рассылки Devel