[sisyphus] Шифрование по ГОСТ в Сизифе

Alexey Gladkov gladkov.alexey на gmail.com
Пт Июл 12 16:30:09 MSK 2019 

On Fri, Jul 12, 2019 at 03:00:55PM +0300, Paul Wolneykien wrote:
> 
>   Здравствуйте, товарищи из ALT Linux Team.
> 
>   Не так давно я собрал в Сизиф версию GnuPG с поддержкой некоторых
> алгоритмов цифровой подписи и шифрования по ГОСТ. Поддержка там довольно
> ограниченная и специфичная — для работы с ГОСТ требуется аппаратный
> токен. Поэтому особенно не обсуждал нововведение (хотя наверное нужно было).
> 
>   Теперь ситуация иная: на очереди NSS и, соответственно, Firefox с
> поддержкой TLS по ГОСТ. Причём поддержка будет сразу всего доступного
> спектра алгоритмов шифрования ГОСТ, включая и наделавший много шума
> "Кузнечик".
> 
>   И вот, учитывая, что шифрование по ГОСТ не имеет однозначного доверия
> в широком сообществе пользователей СПО, частью которого является Сизиф,
> я решил вынести вопрос на обсуждение.
> 
>   Повестку дня я вижу так:
> 
>   0. Нужен ли ГОСТ в Сизифе?
>   1. Если да, то в базовом пакете или в отдельной версии с пометкой "gost"?

В отдельной версии с пометкой "gost". Мы уже это обсуждали с aen@ и cas на .

Для поддержки ГОСТ нужен огромный патч, который очень медленно
обновляется. Поэтому его добавление будет тормозить либо firefox, либо
firefox-esr (в зависимости, куда его приложить).

FYI c такими даже нельзя использовать трейдмарки мозиллы[1] без их
письменного разрешения.

[1] https://wiki.mozilla.org/Legal:Mozilla_Trademark_Policy/2009-06-26_Draft#Modifications

>   Моя позиция по этим вопросам следующая: пусть будет в Сизифе, в
> базовом пакете, но в состоянии "выкл."; по умолчанию не предлагать —
> пусть пользователь включает и выбирает сам, если и когда ему это нужно.

Опциональные патчи это плохая идея. Тем более, что этот патч будет
почти перманентно сломан.

>   С дочерними дистрибутивами на базе Сизифа — согласно назначению
> проекта и требованиям к нему. Т.е., если дистрибутив создаётся именно
> для того (или в том числе для того), чтобы закрыть требование "у
> пользователя всё должно быть ГОСТу", то пускай так и будет. Потому что
> как бы там ни было, при таком раскладе ГОСТ пользователю всё равно
> навяжут, и тогда пусть лучше это будет дистрибутив на базе Сизифа, чем
> какой-то другой.

Для "правильных" дистрибутивов переопределяйте /usr/bin/xbrowser на "всё
по ГОСТу".

-- 
Rgrds, legion

Подробная информация о списке рассылки Sisyphus