[oss-gost-crypto] Пакет ca-gost-certificates (и auc)

Sun Oct 7 23:45:51 MSK 2018

On Fri, Oct 5, 2018 at 11:59 PM Дмитрий Державин <dd at basealt.ru> wrote:
> Добрый день, спасибо за обратную связь.

Всегда пожалуйста.

> > Есть в ALT Linux такие пакеты, как ca-gost-certificates и
> > ca-gost-certificates-auc (кстати, ссылки на них с сайта битые)
> Уточните, пожалуйста, с какого сайта и в каком месте ссылки.
> Постараемся исправить.

У вас есть какое-то множество сайтов с пакетами?
https://packages.altlinux.org/ru/Sisyphus/srpms/ca-gost-certificates/get
https://packages.altlinux.org/ru/Sisyphus/srpms/ca-gost-certificates-auc/get
Нет у вас никакого ftp. А на исходники и вообще ссылки неактивные

> > 1. Эти пакетв не имеют смысла без поддержки. Пакет годовой давности даже вреден
> Да, пакеты с сертификатами нужно обновлять. И мы планируем их обновить
> в ближайшее время. Инфраструктура для их поддержки готова и после
> тестирования будет введена в строй. После этого планируем поддерживать
> набор сертификатов в актуальном состоянии.

Это хорошо.

> Кстати, расскажите, пожалуйста, каким образом вам удалось задействовать
> сертификаты из этих пакетов. Пока предполагалась только одна
> не очевидная возможность. Очень интересно, как именно вы используете их
> в ОС Альт.

Я вообще не использую ОС Альт. Мне Вартан Хачатуров подсказал о
наличии этих пакетов в связи с публикацией мною моего репозитория
сертификатов (аккуратно обновляемого), Меня интересовало, как
использовать CRL (судя по всему почти никак сходу, только отдельной
проверкой). Моя задача простая. Для наполнения графика на сайте
https://usher2.club я собираю у нескольких операторов связи "выгрузки"
так называемого "реестра запрещенных сайтов". Поскольку мой сайт и моя
деятельность имеет большой общественный резонанс и неприятны
Роскомнадзору и Минкомсвязи, я хотел бы проверять подписи "выгрузок"
не только на целостность, но и на легитимность. Для избежания, так
сказать, подпихивания мне недостоверных данных, что операторами связи,
что злоумышленниками, получившими несанкционированный доступ к моей
системе загрузки документов, что Роскомнадзором (а они похожи на
людей, способных на такое). Но проблема выявить CA и промежуточные
сертификаты. Я озаботился вопросом, потратил полдня и сделал вот такой
репозиторий сертификатов. Теперь думаю о CRL. Но  там мне открылась
преисподняя. То CRL "протухшие", то их нет по ссылкам, то ссылки в XML
и в самом сертификате разные... Пока не нашёл времени с ней
справиться.

> > Я конечно благодарен за возможность развивать
> > https://github.com/schors/gost-russian-ca без какой-либо конкуренции.
> Спасибо, интересно, посмотрим.
> > Но всё же совесть не позволяет не сообщить о явных ошибках.
> Сообщения об ошибках принято оформлять в виде записей в
> bugzilla.altlinux.org. Так ошибки проще отслеживать и исправлять.
> Сюда можно сообщать номера ошибок в bugzilla, это тоже будет очень
> полезно.

Для этого мне надо было найти эту ссылку, быть заинтересованным в ОС
Альт и вот это всё :) А тут под рукой оказался тематический список
рассылки. Заодно мы поговорили о существовании таких пакетов.

-- 
Non nobis Domine non nobis sed Nomini Tuo da gloriam
Phil Kulin