LINUX.ORG.RU

Новая версия патча к OpenSSL


0

0

Фирма "Криптоком" распространила новую версию своего патча к OpenSSL, добавляющего инфраструктуру для поддержки алгоритмов ЭЦП, не являющихся RSA и DSA.

Там же можно взять пример реализации российских криптографических алгоритмов с использованием новой инфраструктуры.

>>> Подробности



Проверено: ivlad ()

>>пример реализации российских криптографических алгоритмов

а разве российские криптографические алгоритмы не сосут по причине того что обязаны там сертификации всякие иметь, и бэкдоры для разных гэбэшников ?

anonizmus
()
Ответ на: комментарий от anonizmus

придурок, гостовские алгоритмы открыты, бекдоры нашли бы уже 10015 раз

а криптостойкость у них на высоком уровне

anonymous
()
Ответ на: комментарий от anonizmus

Нет, они рулят по причине того, что наше законодательство не ограничивает экспорт сильных алгоритмов в отличие от.

// AK

ioctl
()
Ответ на: комментарий от anonizmus

> а разве российские криптографические алгоритмы не сосут...

Из-за идиотской сертификации сосут не алгоритмы, а несчастные официальные пользователи,
вынужденные использовать дерьмовые поделия разных фирмочек, принадлежащих гебешникам,
вместо открытого и безопасного софта.
Судя по всему subj чуть ли не единственное приятное исключение...

anonymous
()
Ответ на: комментарий от ioctl

> Нет, они рулят по причине того, что наше законодательство не ограничивает экспорт сильных алгоритмов в отличие от.

Вообще-то они сравнимы по стойкости, потому, что ограниение отменили давным-давно.

anonymous
()

Конечно проект интересный, вопрос будут ли их проекты использоваться на западе или придется ставить openssl-ru?

gh0stwizard ★★★★★
()

Administrativa

Дорогие друзья,

поскольку:

а) Брюс Шнаер среди посетителей ЛОРа не замечен, а рассуждения о криптографии на уровне "ГОСТ 28147-89 сосет" - "нет, он рулит" без доказательств бесполезны;

б) описанный патч не вводит в OpenSSL новых криптографических алгоритмов, а создает механизм для их подключения (например, вашего личного super-puper-crypto-algo), а, собственно, реализация представлена отдельно, и никто не заставляет ей пользоваться;

я я выставил рейтинг постов в этот топик в одну звезду.

Список литературы для желающих:

1. http://www.s3r.ru/4gost34_10-94.htm
2. http://www.s3r.ru/4gostr34.11-94.htm
3. http://www.bugtraq.ru/library/crypto/moregost.html
4. http://www.openssl.org/docs/crypto/crypto.html и далее по ссылкам

ivlad ★★★★★
()
Ответ на: комментарий от anonymous

> Вообще-то они сравнимы по стойкости, потому, что ограниение
> отменили давным-давно.

Не отменили.

Попробуй поставить почти любой коммерческий продукт и прочитай там про EXPORT RESTRICTIONS в EULA.

Dimentiy ★★
()
Ответ на: комментарий от anonymous

> ограниение отменили давным-давно.

если бы отменили, Sun не заключала бы договора на разработку крипто-защиты с российскими фирмами, а так "хотите повышенную защиту - возмите модуль этой фирмы"

vadiml ★★★★★
()
Ответ на: комментарий от Lumi

> Жаль, TLS пока только в планах. Успехов им :)

Тут есть еще такая засада. Известный фордовский принцип "Автомобиль может быть любого цвета, если этот цвет черный". Точно так же криптоалгоритм может быть любым, если он RSA.

Для интересу можно попробовать взять любой наугад взятый софт, использующий OpenSSL и заставить его работать, скажем, с DSA на эллиптических кривых, который вполне поддерживается самой OpenSSL.

Половину софта придется патчить. У stunnel, например есть опция сборки --without-rsa. Но вот собрать такой бинарник, который бы из коробки умел и DSA, и RSA, в зависимости от того, какой сертификат ему дали - без мата не получится. Хотя исправить там надо всего две строчки (и то одна - имя функции в сообщении об ошибке).

Я уж не говорю про то, что большая часть ssl-enabled приложений забывает читать конфигурационный файл openssl, а своих средств конфигурирования не предоставляет (что критично при использовании подгружаемых engine).

Из коробки (путем простой пересборки с патченной библиотекой) заработал только lynx. Всё остальное что пробовалось, пришлось в той или иной мере патчить - даже wget. Причем в большинстве случаев патчи были такими, что с непатченной OpenSSL они тоже работать будут, да ещё и функциональности добавят.

Исключение - как раз самое интересное - mod_ssl от Apache. Он лезет за информацией во внутренние структуры OpenSSL, как раз в том месте, где мы их меняли. Патча там 33 строчки.

vitus
() автор топика
Ответ на: комментарий от beldmit

Поговорить видимо не получится из за отсутствия именно коммерческого интереса ;)

Lumi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.