[oss-gost-crypto] GOST crypto-policy в Fedora

Dmitry Belyavsky beldmit at gmail.com
Fri Aug 28 14:50:58 MSK 2020


А в РедХате это всё активно внедряется патчами в криптобиблиотеки и
утилиты.
BIND, ssh, LibreSWAN, NSS, GnuTLS, OpenSSL...

On Fri, Aug 28, 2020 at 2:30 PM Wartan Hachaturow <
wartan.hachaturow at gmail.com> wrote:

> А, да, у нас тоже есть порт, но он активно не используется.
> https://packages.debian.org/sid/crypto-policies
>
> On Fri, Aug 28, 2020 at 1:26 PM Alexander Bokovoy <ab at altlinux.org> wrote:
>
>> Отвечая на твой вопрос "как?" -- fedora-crypto-policies представляет из
>> себя базу таблиц преобразований названий алгоритмов в GnuTLS в другие
>> библиотеки, генераторы конфигураций для криптобиблиотек, механизм загрузки
>> этих конфигураций непосредственно в библиотеках, и, наконец, политики,
>> которые описывают, какие из этих алгоритмов могут быть использованы в
>> сгенерированных конфигурационных файлах.
>>
>> На текущий момент ГОСТ поддерживается в тех конфигурациях, где он
>> поддерживается самими библиотеками. Например, NSS ГОСТ не поддерживает и
>> поэтому в конфигурацию для NSS при генерации ничего не добавляется.
>>
>>
>> On Fri, Aug 28, 2020 at 1:22 PM Alexander Bokovoy <ab at altlinux.org>
>> wrote:
>>
>>> On Fri, Aug 28, 2020 at 12:58 PM Wartan Hachaturow
>>> <wartan.hachaturow at gmail.com> wrote:
>>> >
>>> > А как работают crypto policy там? Есть где почитать?
>>>
>>> Пока никак -- Дима поспешил, мы пока только втянули поддержку GOST в
>>> апстрим fedora-crypto-policies, а не в сам дистрибутив.
>>>
>>> Когда же в F33/Rawhide будет собрана новая версия crypto-policies,
>>> можно будет указать два варианта:
>>>
>>> 1. Полная замена криптографии на ГОСТ:
>>>
>>>  update-crypto-policies --set GOST-ONLY
>>>
>>> 2. Дополнение к имеющейся политике так, чтобы алгоритмы ГОСТ
>>> предпочитались:
>>>
>>> update-crypto-policies --set DEFAULT:GOST
>>>
>>> Вместо DEFAULT может быть любая основаня политика (FIPS, LEGACY, FUTURE,
>>> etc).
>>>
>>> Поддержка субполитик в fedora-crypto-policies -- штатная штука, таким
>>> же образом я добавил поддержку RC4 для взаимодействия с Active
>>> Directory (RC4 по умолчанию выключен в политиках DEFAULT, FIPS и
>>> FUTURE):
>>>
>>> update-crypto-policies --set DEFAULT:AD-SUPPORT
>>>
>>>
>>> >
>>> > On Fri, Aug 28, 2020 at 12:41 PM Dmitry Belyavsky <beldmit at gmail.com>
>>> wrote:
>>> >>
>>> >> Привет!
>>> >>
>>> >> В Fedora 33 добавлены две штуки ГОСТовых crypto policies.
>>> >>
>>> >> GOST-ONLY по замыслу оставляет только ГОСТовые алгоритмы, субмодуль
>>> GOST добавляет ГОСТовые алгоритмы первыми в список.
>>> >>
>>> >> Спасибо Диме Барышкову и Саше Боковому за помощь и терпение!
>>> >>
>>> >> --
>>> >> SY, Dmitry Belyavsky
>>> >> _______________________________________________
>>> >> oss-gost-crypto mailing list
>>> >> oss-gost-crypto at lists.altlinux.org
>>> >> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
>>> >
>>> >
>>> >
>>> > --
>>> > Regards, Wartan.
>>> > _______________________________________________
>>> > oss-gost-crypto mailing list
>>> > oss-gost-crypto at lists.altlinux.org
>>> > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
>>>
>>>
>>>
>>> --
>>> / Alexander Bokovoy
>>>
>>
>>
>> --
>> / Alexander Bokovoy
>> _______________________________________________
>> oss-gost-crypto mailing list
>> oss-gost-crypto at lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
>>
>
>
> --
> Regards, Wartan.
> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto at lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
>


-- 
SY, Dmitry Belyavsky
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.altlinux.org/pipermail/oss-gost-crypto/attachments/20200828/67fe5445/attachment.html>


More information about the oss-gost-crypto mailing list