[devel] nss-gost и firefox-gost в Сизифе

[Alexey Gladkov]

On Tue, Dec 10, 2019 at 02:40:14PM +0300, Paul Wolneykien wrote:
> > > Поместить в gostcrypto или сменить soname - два разных подхода,
> > > выбор зависит от решаемой задачи.  Если нужна библиотека, которую
> > > можно использовать одновременно с обычной, то смена soname и полный
> > > развод provides.  Если нужна библиотека, которую можно использовать
> > > вместо обычной, то сохранение soname и помещение в gostcrypto.  
> > 
> >   Вариант "вместо" (gostcrypto) будет особенно интересен, если мы
> > договоримся включить номера ГОСТовых шифронаборов в базовую версию
> > Firefox.
> 
>   Прилагаю патч, который разрешает использование шифронаборов с
> номерами C100--C102 и 81 для HTTPS. Смысл его в том, что он разрешает
> принять данные шифронаборы к рассмотрению в рамках процедуры установки
> соединения. При этом фактическое использование шифронабора зависит от
> соблюдения двух условий: 1) шифронабор поддерживается каким-либо
> модулем NSS; 2) шифронабор поддерживается сайтом. Таким образом, с
> обыкновенной сборкой NSS поведение браузера никак не изменится,
> поскольку не будет соблюдено условие (1). Но при замене libnss на
> libnss-gostcrypto оно, напротив, будет соблюдено и тем самым откроется
> доступ к сайтам (2).
> 
>   2legion@: Насколько вероятно, по вашему, одобрение данного патча
> Mozilla для использования в нашей сборке Firefox (т.е. в Сизифе)?

Вы говорите про одобрение мозиллой патча в нашем репозитории ?

Простите, но я не буду даже спрашивать про такой патч. Я считаю его
опасным и не буду брать на себя ответственность. Вы добавляете возможность
фейкать библиотеку и использовать не верифицированные апстримом реализации
алгоритмов.

Если хотите, то попробуйте заапстимить его и/или реализацию алгоритмов
ГОСТ в NSS. Когда они попадут в этот проект, тогда они очень быстро
попадут в сизиф.

Не нужно подвергать угрозам пользователей сизифа.

-- 
Rgrds, legion