[devel] Вопросы новичка

[Victor B. Wagner]

On 2009.05.05 at 14:47:33 +0300, Alexander Bokovoy wrote:

> http://fedoraproject.org/wiki/CryptoConsolidationScorecard имеет
> практический смысл, поскольку позволяет оценить объем требуемых
> изменений пакетной базы,  а также оценить последствия таких изменений
> или их неисполнения. Всю эту работу пришлось бы делать самостоятельно.
 
Неужели пакетная база Alt настолько близка к пакетной базе федоры?
Если бы речь шла об ASP то было бы понятно. Alt, насколько я понимаю,
гораздо сильнее отличается.

> То есть, на самом деле можно реализовать некоторое подмножество
> "централизованного" взгляда, для которого будет предложен типовой код
> взаимодействия для некоторых библиотек и рекомендации по его
> использованию в приложениях.
 
> Я не говорю о sql. Термин "база" выше не связан с конкретной

Но слышащий - слышит. В основном я о типичных ассоциациях, которые 
бывают у разработчиков.

> > Вообще, на мой взгляд, правильно стандартизировать формат хранилища и
> > его расположение в файловой системе. Но ни в коем случае не
> > стандартизировать код для доступа к этому хранилищу. Во всяком случае на
> > начальном этапе
> >
> > Формат должен быть такой, чтобы код для доступа умещался в экран.
> Это нефункциональное требование.

Функциональное требование "код должен быть удобным для security аудита".


> > Вообще-то  Maemo не многопользовательская система и не особенно
> > рассчитана на поддержку интернет-серверов, у которых совершенно свои
> > требования к тому, кому доверять, а кому нет. Поэтому там задача проще.
> Я бы вот так и отделил задачи -- клиентскую и серверную сторону.

Вот так отделить очень непросто. Например, postfix - с одной стороны 
сервер протокола SMTP, с другой - клиент протокола LDAP или даже
PostgreSQL/MySQL.

> > Из приложений, которые используют обычный tls, единственное на сей
> > момент найденное приложение, которому требуется нетривиальный патч - это
> > Apache (насколько понимаю, в случае Maemo - не шибко интересно).
> Поэтому я и отделяю централизацию и поддержку российской криптографии.

Вообще говоря, надо говорить не о "поддержке российской криптографии", а
о "поддержке возможностей современной OpenSSL". Мы старательно делали
поддержку российской криптографии так, чтобы она ничего специфического
не требовала.

Тот патч для Apache, о котором идет речь, обеспечивает поддержку
не только российских алгоритмов, но и ECDSA. 

Чтение приложениями конфига OpenSSL обеспечивает подгрузку не только
engine, обеспечивающей реализацию российских алгоритмов, но и любой
другой engine, обеспечивающей работу с каким-нибудь eToken-ом.

> Первое полезно всем пользователям ALT, второе имеет смысл для
> некоторого специфического круга бизнесов и лиц внутри РФ. ALT
> используется не только в РФ.

Отказ от замшелого RSA, который скоро будет можно ломать на N800,
или хотя бы наличие работспособных альтернатив ему (ECDSA, например),
полезен не только российским пользователям.