<div dir="ltr"><div>А, да, у нас тоже есть порт, но он активно не используется.<br></div><div><a href="https://packages.debian.org/sid/crypto-policies">https://packages.debian.org/sid/crypto-policies</a></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Aug 28, 2020 at 1:26 PM Alexander Bokovoy <<a href="mailto:ab@altlinux.org">ab@altlinux.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Отвечая на твой вопрос "как?" -- fedora-crypto-policies представляет из себя базу таблиц преобразований названий алгоритмов в GnuTLS в другие библиотеки, генераторы конфигураций для криптобиблиотек, механизм загрузки этих конфигураций непосредственно в библиотеках, и, наконец, политики, которые описывают, какие из этих алгоритмов могут быть использованы в сгенерированных конфигурационных файлах.<div><br></div><div>На текущий момент ГОСТ поддерживается в тех конфигурациях, где он поддерживается самими библиотеками. Например, NSS ГОСТ не поддерживает и поэтому в конфигурацию для NSS при генерации ничего не добавляется.</div></div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Aug 28, 2020 at 1:22 PM Alexander Bokovoy <<a href="mailto:ab@altlinux.org" target="_blank">ab@altlinux.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Fri, Aug 28, 2020 at 12:58 PM Wartan Hachaturow<br>
<<a href="mailto:wartan.hachaturow@gmail.com" target="_blank">wartan.hachaturow@gmail.com</a>> wrote:<br>
><br>
> А как работают crypto policy там? Есть где почитать?<br>
<br>
Пока никак -- Дима поспешил, мы пока только втянули поддержку GOST в<br>
апстрим fedora-crypto-policies, а не в сам дистрибутив.<br>
<br>
Когда же в F33/Rawhide будет собрана новая версия crypto-policies,<br>
можно будет указать два варианта:<br>
<br>
1. Полная замена криптографии на ГОСТ:<br>
<br>
update-crypto-policies --set GOST-ONLY<br>
<br>
2. Дополнение к имеющейся политике так, чтобы алгоритмы ГОСТ предпочитались:<br>
<br>
update-crypto-policies --set DEFAULT:GOST<br>
<br>
Вместо DEFAULT может быть любая основаня политика (FIPS, LEGACY, FUTURE, etc).<br>
<br>
Поддержка субполитик в fedora-crypto-policies -- штатная штука, таким<br>
же образом я добавил поддержку RC4 для взаимодействия с Active<br>
Directory (RC4 по умолчанию выключен в политиках DEFAULT, FIPS и<br>
FUTURE):<br>
<br>
update-crypto-policies --set DEFAULT:AD-SUPPORT<br>
<br>
<br>
><br>
> On Fri, Aug 28, 2020 at 12:41 PM Dmitry Belyavsky <<a href="mailto:beldmit@gmail.com" target="_blank">beldmit@gmail.com</a>> wrote:<br>
>><br>
>> Привет!<br>
>><br>
>> В Fedora 33 добавлены две штуки ГОСТовых crypto policies.<br>
>><br>
>> GOST-ONLY по замыслу оставляет только ГОСТовые алгоритмы, субмодуль GOST добавляет ГОСТовые алгоритмы первыми в список.<br>
>><br>
>> Спасибо Диме Барышкову и Саше Боковому за помощь и терпение!<br>
>><br>
>> --<br>
>> SY, Dmitry Belyavsky<br>
>> _______________________________________________<br>
>> oss-gost-crypto mailing list<br>
>> <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
>> <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
><br>
><br>
><br>
> --<br>
> Regards, Wartan.<br>
> _______________________________________________<br>
> oss-gost-crypto mailing list<br>
> <a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
> <a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
<br>
<br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr">/ Alexander Bokovoy</div>
_______________________________________________<br>
oss-gost-crypto mailing list<br>
<a href="mailto:oss-gost-crypto@lists.altlinux.org" target="_blank">oss-gost-crypto@lists.altlinux.org</a><br>
<a href="https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto" rel="noreferrer" target="_blank">https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature">Regards, Wartan.</div>