[devel] Вопросы новичка

Alexander Bokovoy ab на altlinux.org
Вт Май 5 13:43:19 MSD 2009


2009/5/5 Victor B. Wagner <vitus на altlinux.org>:
> On 2009.05.04 at 20:44:11 +0300, Alexander Bokovoy wrote:
>
>> Существует ряд проектов по созданию такого централизованного хранилища
>> в рамках Федоры и OpenSUSE, Maemo.
>>
>> http://en.opensuse.org/SharedCertStore
>> http://fedoraproject.org/wiki/FedoraCryptoConsolidation
>> http://fedoraproject.org/wiki/CryptoConsolidationEval
>> http://fedoraproject.org/wiki/CryptoConsolidationScorecard
>> http://maemo.org/api_refs/4.1/libcst-1.7.16/modules.html
>>
>> Тема довольно неплохо изучена. Очень прошу пройтись по этим ссылкам,
>> прежде чем делать выводы.
>
> Тут дело какое - мы в России.  Дистрибутив ориентирован преимущественно
> на российский рынок. Поэтому волнует в первую очередь не сертификация FIPS,
> а сертификация в ФСБ, а также совместимость с сертифицированными
> решениями, которые продавливаются на рынок интернет-банкинга и тому
> подобных областей применения всей мощью административного ресурса
> правительства РФ.
>
> Федора и Сусе делают ставку на libnss. Сертифицированных решений с
> российскими алгоритмами на базе libnss пока не существует. Не существует
> даже работающих, хотя и не сертифицированных.
Витус, ты упустил главное. Я не веду речь о переходе на libnss
_вообще_. Я хочу, чтобы те, кто заинтересован в этой теме, обратили
внимание на уже пройденные грабли по централизации обработки
сертификатов. Грабли эти довольно хорошо задокументированы, особенно в
Fedora, для целого ряда приложений.

Политика меня слабо интересует. Техническая возможность сделать единую
базу сертификатов для всех разрозненных библиотек существует, хотя бы
в рамках криптографических алгоритмов, которые они все поддерживают.
Это приемлемое решение, если все библиотеки будут "смотреть" в одну и
ту же базу. Будут ли все они поддерживать специфичные для территории
алгоритмы -- это другой разговор, который и технически, и проектно
хотелось бы отделить от централизации сертификатов.

Почему в Maemo для стандартных алгоритмов с тремя библиотеками такую
систему удалось сделать, а в ALT нельзя? Потенциально российская
криптография в Maemo 6 будет поддерживаться на основании вашей работы
с апстримом, насколько это будет реально работать к моменту выхода
платформы через год-полтора, не знаю. Но если ALT к тому моменту будет
на том же месте, где и сейчас, даже для поддерживаемых всеми 3DES,
AES, etc -- печально.
-- 
/ Alexander Bokovoy


Подробная информация о списке рассылки Devel