LINUX.ORG.RU

Что за секретные алгоритмы в openssh/openssl ?

 , ,


0

1

при сборке мира возникает какой-то конфликт по поводу USE-флага bindist

флаг https://packages.gentoo.org/useflags/bindist для пакета dev-libs/openssl означает Disable/Restrict EC algorithms (as they seem to be patented) — note: changes the ABI

для пакета net-misc/openssh означает Disable EC/RC5 algorithms in OpenSSL for patent reasons.

Что я потеряю, если укажу bindist для обоих пакетов?

Перемещено tailgunner из security

Ответ на: комментарий от Einstok_Fair

Зачем? На типичном десктопе от этого флага только проблемы. Он нужен только если ты собираешься распространять свою систему на территории США

MikeWortin ★★
()

Когда этот перс дойдёт уже до «изучения» кодировок и будет топить за кой8?

deity ★★★★
()
Ответ на: комментарий от MikeWortin

от этого флага только проблемы.

хотелось бы узнать, какие именно.

Einstok_Fair ★★☆
() автор топика

Для OpenSSL (на примере openssl-1.1.0g-r2.ebuild):

Используют скрипт https://src.fedoraproject.org/cgit/rpms/openssl.git/tree/hobble-openssl?h=f27

Накладывают патч https://src.fedoraproject.org/cgit/rpms/openssl.git/tree/openssl-1.1.0-ec-cur...

И ещё мелкие нюансы, смотри в ebuild.

Алгоритмы в патчах указаны.

https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm

Pravorskyi ★★★
()

Для OpenSSH (на примере openssh-7.6_p1.ebuild):

Влияет только если ты включил флаг ldns в openssh, и в зависимости от флага bindist включает или отключает флаг ecdsa в net-libs/ldns. Вот этот фрагмент из ebuild:

ldns? (
	net-libs/ldns[static-libs(+)]
	!bindist? ( net-libs/ldns[ecdsa,ssl(+)] )
	bindist? ( net-libs/ldns[-ecdsa,ssl(+)] )
)
Pravorskyi ★★★
()

Что ты потеряешь:

В случае с OpenSSL ты теряешь поддержку перечисленных алгоритмов. Другие программы, которые захотят использовать эти алгоритмы с помощью openssl, не смогут это сделать, и как они на это отреагируют — зависит от того, насколько грамотно их писали и насколько жестко требование к наличию конкретных алгоритмов. Обычно программы просто используют другие алгоритмы из списка разрешенных, так что ты можешь и не заметить.

В случае с OpenSSH ты не сможешь проверять валидность сервера с помощью DNSSEC/SSHFP и вырезанных алгоритмов. Опять же, в зависимости от настроек, софт может просто переключиться на использование другого разрешенного алгоритма.

Pravorskyi ★★★
()
Ответ на: комментарий от Pravorskyi

А для чего нужна

dev-libs/openssl:0[-bindist(-)] required by (dev-python/cryptography-2.1.4-r1:0/0::gentoo, ebuild scheduled for merge)

USE-флага bindist у неё нет:

dev-python/cryptography-2.1.4-r1::gentoo USE="-libressl {-test}" PYTHON_TARGETS=«python2_7 python3_5 (-pypy) (-pypy3) -python3_4 -python3_6»

Einstok_Fair ★★☆
() автор топика
Последнее исправление: Einstok_Fair (всего исправлений: 2)
Ответ на: комментарий от Einstok_Fair

Смотрим ebuild dev-python/cryptography-2.1.4-r1:0/0::gentoo

!libressl? (
	dev-libs/openssl:0= (
		|| (
			dev-libs/openssl:0[-bindist(-)]
			>=dev-libs/openssl-1.1.0g-r1:0
		)
	)
)

Какой-то пакет у тебя требует dev-python/cryptography.

У dev-python/cryptography есть возможность использовать libressl или openssl.

Если ты не используешь libressl, то есть две зависимости на выбор: dev-libs/openssl:0[-bindist(-)] или >=dev-libs/openssl-1.1.0g-r1:0.

Заметь, что для старой версии openssl явно требуется выключить флаг bindist, тогда как для новой версии такого нет. Я допускаю, что это связано с некоторыми алгоритмами, которые требуются для dev-python/cryptography и на которые истёк срок действия патентов, поэтому в новых версиях openssl они больше не вырезаются флагом bindist.

В любом случае, крайне рекомендую научиться читать ebuild'ы, так как именно там (а ещё в eclass-ах) содержится информация, на что влияют флаги.

Pravorskyi ★★★
()
Ответ на: комментарий от Pravorskyi

Проблема: не получается установить gentoo, мешается флаг bindist. Куда не тукнешься - то тут облом, то там облом. Коллеги занимаются паучанием. Дебиан? Там хоть политика дружелюбности прописана...

Einstok_Fair ★★☆
() автор топика
Ответ на: комментарий от Einstok_Fair

Создай другую тему и скастуй меня. Будем смотреть.

Pravorskyi ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.