[oss-gost-crypto] Интеграция ГОСТ в crypto-policies

[Alexander Bokovoy]

On Sun, Nov 10, 2019 at 11:29 PM Dmitry Eremin-Solenikov <
dbaryshkov at gmail.com> wrote:

> Привет!
>
> вс, 10 нояб. 2019 г. в 21:31, Dmitry Belyavsky <beldmit at gmail.com>:
> > On Wed, Nov 6, 2019 at 6:49 PM Alexander Bokovoy <ab at altlinux.org>
> wrote:
> >> В последних версиях crypto-policies (
> https://gitlab.com/redhat-crypto/fedora-crypto-policies/), которые уже
> присутствуют в Fedora 31, появилась поддержка "вторичных политик".
> >>
> >> "Вторичные политики" позволяют добавить разрешения на использование
> специфичных крипто-систем поверх имеющейся системной политики. Даже есть
> заготовка для ГОСТ, но она не работает, потому что не описывает конкретные
> шифронаборы, которые можно разрешать.
> >>
> >> Вот дополнительный модуль политики для ГОСТ:
> https://gitlab.com/redhat-crypto/fedora-crypto-policies/blob/master/policies/modules/GOST.pmod.
> Этот модуль определяет внутренние имена для генераторов политик конкретных
> библиотек. Например, openssl генератор:
> https://gitlab.com/redhat-crypto/fedora-crypto-policies/blob/master/python/policygenerators/openssl.py.
> Этот генератор (как и другие) не содержит преобразований из внутренних имен
> ГОСТ, определенных в GOST.pmod в имена, понимаемые библиотеками.
> >>
> >> Фактически, это заготовка, которую нужно доработать.
> >>
> >> Преобразование нужно как-то определить -- оно позволяет нам описать
> предпочитаемые шифронаборы и управлять их выбором. Если таких наборов будет
> несколько (старый ГОСТ, современный ГОСТ и так далее), то мы можем описать
> их в разных дополнительных модулях (GOST-OLD, GOST, etc), но нам нужно
> договориться о том, во что используемые в них имена будут преобразованы для
> каждой библиотеки, поддерживающей ГОСТ.
> >
> >
> > С единством имён у нас плохо. Для openssl в своё время часть имён
> придумали мы в Криптокоме, и не всегда удачно.
> > Есть старые ГОСТы, которые потихоньку вымирают, и есть новые, частично
> дублированные в RFC.
>
> Я накидал
> https://gitlab.com/redhat-crypto/fedora-crypto-policies/merge_requests/50,
> исходя из своего понимания.
> Надо доделать генераторы для openssl, gnutls и т.п. (patches are
> welcome). Для gnutls постараюсь сделать во вторник.
> Плюс я не включил MGM в список, но это просто решается.
>
> С openssl будет отдельный вопрос, потому что openssl ciphers без
> engine не будет нормально работать с ГОСТовыми именами.
>

Спасибо. PR добавляет новую политику верхнего уровня GOST, по ней
становится понятно, что писать в подполитику GOST в генераторах. Если не
допишите за эту неделю, на следующей я в отпуске и попробую взяться сам.

Единство имен особую проблему не представляет, кроме усложнения
генераторов. С другой стороны, можно сделать специальный модуль для ГОСТ и
импортировать его в генераторы, чтобы собрать все преобразования в одной
точке.

-- 
/ Alexander Bokovoy
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.altlinux.org/pipermail/oss-gost-crypto/attachments/20191111/626f71fd/attachment.html>