[devel] nss-gost и firefox-gost в Сизифе

Paul Wolneykien manowar на altlinux.org
Ср Дек 11 13:48:49 MSK 2019 

В Tue, 10 Dec 2019 16:43:59 +0100
Alexey Gladkov <legion на altlinux.ru> пишет:

> On Tue, Dec 10, 2019 at 02:40:14PM +0300, Paul Wolneykien wrote:
> > > > Поместить в gostcrypto или сменить soname - два разных подхода,
> > > > выбор зависит от решаемой задачи.  Если нужна библиотека,
> > > > которую можно использовать одновременно с обычной, то смена
> > > > soname и полный развод provides.  Если нужна библиотека,
> > > > которую можно использовать вместо обычной, то сохранение soname
> > > > и помещение в gostcrypto.    
> > > 
> > >   Вариант "вместо" (gostcrypto) будет особенно интересен, если мы
> > > договоримся включить номера ГОСТовых шифронаборов в базовую версию
> > > Firefox.  
> > 
> >   Прилагаю патч, который разрешает использование шифронаборов с
> > номерами C100--C102 и 81 для HTTPS. Смысл его в том, что он
> > разрешает принять данные шифронаборы к рассмотрению в рамках
> > процедуры установки соединения. При этом фактическое использование
> > шифронабора зависит от соблюдения двух условий: 1) шифронабор
> > поддерживается каким-либо модулем NSS; 2) шифронабор поддерживается
> > сайтом. Таким образом, с обыкновенной сборкой NSS поведение
> > браузера никак не изменится, поскольку не будет соблюдено условие
> > (1). Но при замене libnss на libnss-gostcrypto оно, напротив, будет
> > соблюдено и тем самым откроется доступ к сайтам (2).
> > 
> >   2legion@: Насколько вероятно, по вашему, одобрение данного патча
> > Mozilla для использования в нашей сборке Firefox (т.е. в Сизифе)?  
> 
> Вы говорите про одобрение мозиллой патча в нашем репозитории ?
> 
> Простите, но я не буду даже спрашивать про такой патч. Я считаю его
> опасным и не буду брать на себя ответственность. Вы добавляете
> возможность фейкать библиотеку и использовать не верифицированные
> апстримом реализации алгоритмов.

  Этот патч, конечно, ничего не добавляет в отношении
существующей возможности подмены библиотеки или использования
"неверифицированных" алгоритмов. До тех пор, пока есть LD_PRELOAD и
LD_LIBRARY_PATH, существует и возможность подмены библиотеки.
Поскольку же в NSS остаётся динамическая подгрузка модулей
(в Firefox за него отвечает диалог "Устройства защиты"), постольку
остаётся возможность использования любых алгоритмов, на
усмотрение пользователя.

Подробная информация о списке рассылки Devel