[devel] Вопросы новичка

Victor B. Wagner vitus на altlinux.org
Вт Май 5 18:11:13 MSD 2009 

On 2009.05.05 at 16:26:09 +0300, Alexander Bokovoy wrote:

> "Список, сестра!". Возвращаемся к тому же вопросу -- нужен список
> задач/сценариев, которые можно приоритезировать и определить
> необходимые шаги. Если тебе интересна серверная сторона, составь такой
> список для серверной стороны.

Лично у меня план действий такой:

1. Запакетировать openssl-1.0. С тем чтобы она максимально
соответстовала текущей полиси дистрибутива и перевод приложений на неё
был возможно более безболезненным. 

Собственно, все вопросы которые я здесь задаю, относятся к этому первому
пункту.

Сейчас, в связи с этим первым пунктом уже возникли вопросы, из которых,
возможно выкристаллизуются какие-то следующие пункты. Это 

- пакет ca-certificates, который надо обвесить какими-то утилитами для
поддержки в актуальном (для пользователя) состоянии списка сертификатов,
актуализации crl-ей и интероперабельности с другими библиотеками, дабы
добро зря не пропадало.
- пакет cert-sh-functions, который в данный момент направляет
пользователя по кривой дорожке создания небезопасных сертификатов.

С реализацией этих пунктов можно пока не торопиться.

2. Взаимодействие с мейнтейнерами тех приложений, которые вот прямо
сейчас могут получить расширение функциональности от перехода на
openssl-1.0, возможно, с применением каких-то патчей. Расширение
функциональности - это не обязательно поддержка новых (российских)
крипоалгоритмов. В OpenSSL 1.0 и другие вкусонсти есть, вроде
tls-extensions (которые частично бэкпортированы в 0.9.8f и выше) или
более полной поддержки CMS.

3. Все остальное, что может способствовать более правильному
использованию криптографии в рамках дистрибутива. В том числе и те,
выявившиеся в рамках дискуссии выше пункта.

Есть одно но - в какой-то, не очень далекий момент времени (порядка пары
месяцев) нужно будет
зафиксировать бинарники libcrypto и libssl от OpenSSL 1.0. 
Все изменения, внесенные в них после этого момента будут недоступны для
желающих использовать СЕРТИФИЦИРОВАННУЮ российскую криптографию. 

То есть в принципе, дистрибутив может включать и какие-то более новые
обновления и модификации. Но если потом на этот дистрибутив поставить
сертифицированный криптографический продукт, сделанный на базе OpenSSL
1.0, он принесет с собой зафиксированные на момент сертификации
бинарники.

То есть, мы, конечно будем пытаться вывести libcrypto и libssl из числа
сертифицированных бинарников, но не факт, что получится.

Подробная информация о списке рассылки Devel