[sisyphus] Шифрование по ГОСТ в Сизифе
Alexey Gladkov
gladkov.alexey на gmail.com
Пт Июл 12 16:30:09 MSK 2019
On Fri, Jul 12, 2019 at 03:00:55PM +0300, Paul Wolneykien wrote:
>
> Здравствуйте, товарищи из ALT Linux Team.
>
> Не так давно я собрал в Сизиф версию GnuPG с поддержкой некоторых
> алгоритмов цифровой подписи и шифрования по ГОСТ. Поддержка там довольно
> ограниченная и специфичная — для работы с ГОСТ требуется аппаратный
> токен. Поэтому особенно не обсуждал нововведение (хотя наверное нужно было).
>
> Теперь ситуация иная: на очереди NSS и, соответственно, Firefox с
> поддержкой TLS по ГОСТ. Причём поддержка будет сразу всего доступного
> спектра алгоритмов шифрования ГОСТ, включая и наделавший много шума
> "Кузнечик".
>
> И вот, учитывая, что шифрование по ГОСТ не имеет однозначного доверия
> в широком сообществе пользователей СПО, частью которого является Сизиф,
> я решил вынести вопрос на обсуждение.
>
> Повестку дня я вижу так:
>
> 0. Нужен ли ГОСТ в Сизифе?
> 1. Если да, то в базовом пакете или в отдельной версии с пометкой "gost"?
В отдельной версии с пометкой "gost". Мы уже это обсуждали с aen@ и cas на .
Для поддержки ГОСТ нужен огромный патч, который очень медленно
обновляется. Поэтому его добавление будет тормозить либо firefox, либо
firefox-esr (в зависимости, куда его приложить).
FYI c такими даже нельзя использовать трейдмарки мозиллы[1] без их
письменного разрешения.
[1] https://wiki.mozilla.org/Legal:Mozilla_Trademark_Policy/2009-06-26_Draft#Modifications
> Моя позиция по этим вопросам следующая: пусть будет в Сизифе, в
> базовом пакете, но в состоянии "выкл."; по умолчанию не предлагать —
> пусть пользователь включает и выбирает сам, если и когда ему это нужно.
Опциональные патчи это плохая идея. Тем более, что этот патч будет
почти перманентно сломан.
> С дочерними дистрибутивами на базе Сизифа — согласно назначению
> проекта и требованиям к нему. Т.е., если дистрибутив создаётся именно
> для того (или в том числе для того), чтобы закрыть требование "у
> пользователя всё должно быть ГОСТу", то пускай так и будет. Потому что
> как бы там ни было, при таком раскладе ГОСТ пользователю всё равно
> навяжут, и тогда пусть лучше это будет дистрибутив на базе Сизифа, чем
> какой-то другой.
Для "правильных" дистрибутивов переопределяйте /usr/bin/xbrowser на "всё
по ГОСТу".
--
Rgrds, legion
Подробная информация о списке рассылки Sisyphus