[devel] Вопросы новичка

[Victor B. Wagner]

On 2009.05.05 at 14:37:09 +0400, Anton Farygin wrote:

> Victor B. Wagner пишет:
> 
> Хотя, впрочем, thunderbird и firefox в любом случае не умеют 
> пользоваться токенами с ГОСТ'ом.
> 
> По крайней мере, ruToken у нас заработал только с RSA.

А что ж вы хотели? Мистического чуда?
Там PKCS#11 - это очень развесистый стандарт, который никем не
реализован в полном объеме. И естественно, те куски которые необходимы
для работы ГОСТ, в libnss положить забыли.

Более того, единого профайла PKCS#11 для ГОСТ-ов пока нет. Есть несколько
альтернативных вариантов.

Кроме того, реализации алгоритмов - мало. Нужно еще поддержать 
более высокоуровневые форматы и протоколы (RFC 4490, RFC4491, русские
шифрсьюты TLS). Это можно сделать ТОЛЬКО на уровне самой
криптобиблиотеки. Потому что токены такими высокоуровневыми вещами не
занимаются. И если в RFC 4490 можно "обманом" запихать всю обработку 
структуры key exchange внутрь токена, притворившись что это "такой RSA"
то с TLS этот номер не проходит.

В OpenSSL 1.0 российские шифрсьюты поддерживаются только потому что там
в libssl явным образом включен код их поддержки. К сожалению, пропихнуть
туда идею подгрузки шифрсьютов из динамически подгружаемых модулей,
которая была у нас реализована в патче к 0.9.8, не удалось. 

Увы, для полноценной поддержки разнообразных криптоалгоритмов, требуется
понимание того, что алгоритм с открытым ключом бывает не только RSA на
всех уровнях - от приложения до реализации алгоритмов.

Самый анекдотичный случай - это, конечно, stunnel 4.x.
Если ему сказать при сборке ./configure --disable-rsa, то RSA работать
не перестает. Зато начинают работать DSA, ECDSA и ГОСТ.