[oss-gost-crypto] OpenSSH

[Gleb Fotengauer-Malinovskiy]

On Mon, Mar 30, 2020 at 03:06:09PM +0300, Dmitry Belyavsky wrote:
> Привет!
> 
> Копирование второй половины синхропосылки сделать можно, дурное дело
> нехитрое. Для этого нужно заводить кастомное копирование контекста
> шифрования,

Я думаю, что мне это не поможет -- тут речь идёт про два процесса.
Один говорит с клиентом до аутентификации, другой после.  Нужно
сериализовать состояние шифра, передать его через сокет, а потом
восстановить его обратно (чтобы клиент не заметил подмены).
OpenSSH умеет так передавать только key и iv, придётся учить ещё
копировать что-то шифроспецифичное.

> и для tls оно понадобится, чтобы соблюдать требование о
> минимизации пересчёта TLSTREE.
> 
> On Mon, Mar 30, 2020 at 3:01 PM Gleb Fotengauer-Malinovskiy <
> glebfm at altlinux.org> wrote:
> 
> > Hi,
> >
> > On Sun, Mar 29, 2020 at 03:00:14AM +0300, Dmitry Baryshkov wrote:
> > > Коллеги!
> > >
> > > Встал вопрос разных реализаций поддержки ГОСТ в OpenSSH и взаимной
> > > совместимости. Кто-нибудь делал описание своих изменений/расширений
> > > протокола?
> >
> > Нет, описания никакого не было к сожалению, но поскольку протокол очень
> > модульный мы просто добавили {grasshopper,magma}-{cbc,ctr} в то
> > место где у OpenSSH Ciphers и grasshopper-mac,
> > hmac-streebog-{256,512}{,-etm} в то место где MACs.
> >
> > > Очень бы не хотелось оказаться в ситуации N+1 различных
> > > стандартов.
> >
> > Есть такое дело, но в ssh к счастью алгоритмы идентифицируются строками,
> > поэтому мы сделали всему что у нас есть суффикс чтобы в случае появления
> > настоящего стандарта можно было иметь и реализацию соответствующую
> > стандарту и реализацию совместимую с нашей (при условии, что она не
> > окажется фатально неправильной, конечно).
> >
> > Собственно, уже точно известно, что grasshopper-ctr at altlinux.org у нас
> > неправильный потому что половина iv должна жить где-то под капотом, а тут
> > я её вытащил и сделал по аналогии с другими -ctr (да ещё и в gost-engine
> > это испортил -- извини Дима).  И у меня всё никак не дойдут руки сделать
> > какой-нибудь -v2 для этого потому что у openssh с его privsep-ом нужно из
> > под капота доставить все эти подкапотные состояния и передавать в другой
> > процесс.
> >
> > --
> > glebfm
> > _______________________________________________
> > oss-gost-crypto mailing list
> > oss-gost-crypto at lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto
> >
> 
> 
> -- 
> SY, Dmitry Belyavsky

> _______________________________________________
> oss-gost-crypto mailing list
> oss-gost-crypto at lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/oss-gost-crypto


-- 
glebfm
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 801 bytes
Desc: not available
URL: <http://lists.altlinux.org/pipermail/oss-gost-crypto/attachments/20200330/28eb33ef/attachment-0001.bin>