LINUX.ORG.RU

Нужна помощь для завершения работ по поддержке ЭЦП по российским криптографическим алгоритмам.


0

0

Полноценная возможность работы с электронной цифровой подписью, реализованной в соответствии с российскими ГОСТ, в Linux и других свободных программах, уже близка, но требуются люди, которые могли бы заняться сборкой и тестированием клиентской части. Вот что пишут разработчики:

"Серверную часть на Ruby on Rails или DJANGO мы можем выкатывать уже сейчас...А вот с клиентской частью хуже. Ну Mozilla она пока вообще не по нашей части, хотя нам известно целых три команды, работающие с поддержкой ГОСТ в libnss. А вот пересобрать с нашей OpenSSL KDE - вполне можно попробовать...

По опыту работы с рядом других приложений, патченье ограничится добавлением одного вызова функции где-то в kdelibs, и после этого konqueror и kmail начнут ходить по гостовскому SSL на наш apache и dovecot и криптопрошные IIS и Exchange. Возможно, даже тут же сразу заработает SMIME в kmail...

Поэтому заинтересовашиеся приглашаются на http://vitus-wagner.livejournal.com/1... для обсуждения технических подробностей..."

>>> Подробности

Объясните мне глупому, зачем это делать по ГОСТУ? чем плохо как у всех?

я вот всю сознательную жизнь подписываю почту GPG и доволен. или тут замес в патентах каких-нить? или еще че?

OXIj
()
Ответ на: комментарий от OXIj

>Объясните мне глупому, зачем это делать по ГОСТУ? чем плохо как у всех?

чтобы OSS-софт можно было использовать в гос. учреждениях, и в тех компаниях (банках например), где требуется шифрование по российским стандартам.

geek ★★★
()
Ответ на: комментарий от geek

> где требуется шифрование по российским стандартам.

Тем более что ГОСТ довольно хороший и очень криптостойкий алгоритм, основанный на элиптических дугах. Тем самым он гораздо лучше многих западных аналогов.

dmitrmax
()
Ответ на: комментарий от dmitrmax

Да, ГОСТ не плох, но, чтобы на самом деле получить универсальную поддержку и распространение, он также, должет стать одним из мировых стандартов, а не только российских.. Иначе, он так и останется, одной из особенностей национального достояния..

MiracleMan ★★★★★
()

а гдн взять ихний openssl то?

alt0v14 ★★★
()

вопрос снимается, сори :)

alt0v14 ★★★
()
Ответ на: комментарий от dmitrmax

>Читай RFC - он там уже есть.

Номерочек референса не скинешь, для уточнения, обязательно почитаю..
Кстати, в таком случае, а почему вообще проблемы с поддержкой возникли?

MiracleMan ★★★★★
()

> Поэтому заинтересовашиеся приглашаются на http://vitus-wagner.livejournal.com/1... для обсуждения технических подробностей..."

В чём заинтересованных? В сборке KDE я не заинтересован. А должен? Это дело очень сильно пахнет русским апачем, точнее повторением его капца. Нельзя-ли как-то попонятнее и общедоступнее? Без хождений по отцам русской демократии?

los_nikos ★★★★★
()
Ответ на: комментарий от MiracleMan

> Номерочек референса не скинешь, для уточнения, обязательно почитаю..

А что Ctrl-F в браузере перестал работать?

RFC 4491, 4490, 4357.

dmitrmax
()

Понять не могу. Чем им мешает просто добавить криптографический алгоритм в стандартную openssl и tls? Зачем создавать свою openssl, свой firefox и свой апачь? А потом что. все клиенты банка должны будут пользоваться специальным firefox для доступа банкам? И что за выражение "гостовскому SSL". В ГОСТе что-ли сам стандарт SSL изменили?

olleg
()
Ответ на: комментарий от dmitrmax

>основанный на элиптических дугах.

на эллиптических _кривых_. Остальное все правда.

anonymous
()
Ответ на: комментарий от olleg

> Чем им мешает просто добавить криптографический алгоритм в стандартную openssl и tls? Зачем создавать свою openssl, свой firefox и свой апачь?

Они не создают "свой openssl" и общая политика как раз и состоит в минимизации строительства велосипедов. В OpenSSL они как раз и вносят патчи в основную ветку для поддержки ГОСТ.

anonymous_incognito ★★★★★
() автор топика
Ответ на: комментарий от nebm51

>Внимательнее прочитать слабо было? Там как раз патчи которые будут включены в следующий релиз openssl.

Как только включат, так и можно начинать вещать, а так пока это аля "русский апач" ;-)

Metallic
()
Ответ на: комментарий от Metallic

>Как только включат, так и можно начинать вещать, а так пока это аля "русский апач"

Говорят же - нужна помощь в _тестировании_, ибо в OpenSSL не включат то, что потенциально может поломать совместимость с Firefox или KDE.

blaster999 ★★
()
Ответ на: комментарий от blaster999

>Говорят же - нужна помощь в _тестировании_, ибо в OpenSSL не включат то, что потенциально может поломать совместимость с Firefox или KDE.

А для этого есть нестабильные ветки. Набор подопытных кроликов слишком в духе буржуа ;-)

Metallic
()
Ответ на: комментарий от nebm51

>Если не ошибаюсь, как раз в тестируемой ветке 0.9.9 эти патчи уже есть.

А зачем тогда набирать кроликов отдельно?

Metallic
()
Ответ на: комментарий от geek

>чтобы OSS-софт можно было использовать в гос. учреждениях, и в тех компаниях (банках например), где требуется шифрование по российским стандартам.

Чтобы OSSсофт можно было использовать в банках, они за него должны платить, или они ждут, что люди сбегуцца, и все бесплатно за них сделают?

>но требуются люди, которые могли бы заняться сборкой и тестированием клиентской части. Вот что пишут разработчики:

А сколько душ надо? А стойла для них готовы? А кто откаты/гос.ордена/гос.дачи будет получать? Тоже эти безымянные "люди"? Или вполне конкретные? А на быдле хочется сэкономить? А не выйдет-то. "Люди" сидят на халявной Висте и в .уй не дуют.

>и очень криптостойкий алгоритм, основанный на элиптических дугах.

А эллиптические криптоалгоритмы китайцы давно сломали распределенным брутфорсом. Или в вашем танке историю не преподают?

anonymous
()
Ответ на: комментарий от Metallic

>А зачем тогда набирать кроликов отдельно? А почему бы и нет?

nebm51
()
Ответ на: комментарий от los_nikos

> В чём заинтересованных? В сборке KDE я не заинтересован. А должен? Это дело очень сильно пахнет русским апачем, точнее повторением его капца. Нельзя-ли как-то попонятнее и общедоступнее? Без хождений по отцам русской демократии?

Кратко говоря, линуксовый софт в его нынешнем виде не позволяет использовать ГОСТ алгоритмы, даже если программы используют opessl с его реализацией. Нужно чуток патчить, чтобы появился выбор.

anonymous_incognito ★★★★★
() автор топика

Я хочу Вам помочь. Куда писать заявку? Где прочитать инструкции?

P.S. попробовал оставить анонимный комментарий в ЖЖ, так он говорит что я сижу через анонимный прокси и хочу их заспамить....

ArtSh ★★★
()
Ответ на: комментарий от anonymous

>А эллиптические криптоалгоритмы китайцы давно сломали распределенным брутфорсом.

Прямо таки алгоритмы сломали или же ключик, который к тому же был раз в 10 короче ключей аналогичной стойкости классической ассиметричной криптографии?

Ссылко в студию!

anonymous
()
Ответ на: комментарий от geek

Гадость в том, что для использования сего шифрования в серьёзных целях (интернет-банкинг, етц) потребуются лицензии ФСБ на саму библиотеку и, помнится, на распостранение. Иначе грош-цела сему алгоритму.

hidded
()
Ответ на: комментарий от anonymous

> Чтобы OSSсофт можно было использовать в банках, они за него должны платить, или они ждут, что люди сбегуцца, и все бесплатно за них сделают?

Удивляюсь непониманию проблемы. Чтобы можно было, работая в Linux ходить через Konqueror на сайт банка для управления финансами и прочими делами, а не ставить винду для этой цели. Не банку это нужно, для банка уже готов сервер, а клиенту.

Люди стараются, реализуют возможности, которые расширят сферу возможного применения Linux в России туда, гда сейчас 100% винда без вариантов.

anonymous_incognito ★★★★★
() автор топика
Ответ на: комментарий от hidded

> Гадость в том, что для использования сего шифрования в серьёзных целях (интернет-банкинг, етц) потребуются лицензии ФСБ на саму библиотеку и, помнится, на распостранение.

У команды разработчиков есть две версии библиотек ssl, одна открытая openssl, другая сертифицированная ФСБ. Кому надо заменят в своей системе одну единственную либу на другую, при том, что результат их работы идентичен.

anonymous_incognito ★★★★★
() автор топика
Ответ на: комментарий от dmitrmax

> Тем более что ГОСТ довольно хороший и очень криптостойкий алгоритм, основанный на элиптических дугах. Тем самым он гораздо лучше многих западных аналогов.

И всё-таки, говорят, кривой он - есть возможность намеренно создавать слабые ключи. Это ужасный баян, но оно еще в начале 2000-х использовалось при мошенничестве: http://bugtraq.ru/library/crypto/gost.html

anonymous
()
Ответ на: комментарий от anonymous

>И всё-таки, говорят, кривой он - есть возможность намеренно создавать слабые ключи.

В других алгоритмах то же самое. Учите мат часть.

anonymous
()

Ну так что постановят анонимные аналитики, быть алгоритму или нет?

shahid ★★★★★
()
Ответ на: комментарий от hidded

>Гадость в том, что для использования сего шифрования в серьёзных целях (интернет-банкинг, етц) потребуются лицензии ФСБ на саму библиотеку и, помнится, на распостранение. Иначе грош-цела сему алгоритму.

Конкретно про этих парней не скажу, но есть же уже решения на базе Линукс типа "Кольчуга", которые сертифицированы ФСБ, что мешает ещё одну феньку сертифицировать? :)

Ay49Mihas ★★★★
()
Ответ на: комментарий от Ay49Mihas

Тут вопрос не в том чтобы "ещё одну феньку сертифицировать", а в том, что в клиентском софте будет использоваться ТОТ ЖЕ САМЫЙ криптомодуль, что и в серверных системах на базе Apache/mod_ssl. Который уже в процессе сертификации.

vitus
()

По поводу ГОСТа забавно было у RSA. В их CA (RSA Keon) Демос добавил поддержку ГОСТ - в версии 6.5, получилась версия 6.5.1. А потом RSA выпустил 6.6, в котором ГОСТа уже нет :)

Vond ★★
()
Ответ на: комментарий от vitus

> в клиентском софте будет использоваться ТОТ ЖЕ САМЫЙ криптомодуль

а кто и в какой момент указывает, что использовать надо вот именно этот алгоритм ГОСТ?

Vond ★★
()
Ответ на: комментарий от anonymous

>Чтобы OSSсофт можно было использовать в банках, они за него должны платить, или они ждут, что люди сбегуцца, и все бесплатно за них сделают?

>А сколько душ надо? А стойла для них готовы? А кто откаты/гос.ордена/гос.дачи будет получать? Тоже эти безымянные "люди"? Или вполне конкретные? А на быдле хочется сэкономить? А не выйдет-то. "Люди" сидят на халявной Висте и в .уй не дуют.

вот. Ждал, когда это дерьмо про распил бюджетов и т.п. всплывет.

Дождался... :(

AVL2 ★★★★★
()
Ответ на: комментарий от Ay49Mihas

> Конкретно про этих парней не скажу, но есть же уже решения на базе Линукс типа "Кольчуга", которые сертифицированы ФСБ, что мешает ещё одну феньку сертифицировать? :)

У них сертифицирована, собственно говоря, система управления дистрибутивом (допиленный webmin). Всё это в окружении обвязки определённых версий (ядро 2.4.x). Пройти пересертификацию дорого и долго, поэтому у них, в частности, в коробке нет весьма часто нужного openvpn.

anonymous
()

О боги!!!!!!!!!!!!!!!!! ГОСТ как стандарт криптографии несколько(гм, имхо) ущербен.Может быть, нужно в консерватории чегой-то поменять-сиречь убрать позорную практику так называемой "сертификации" серьезных криптографических продуктов-то есть внести изменения в законодательство... По-моему, чем млин помогать криптопрошникам, лучше было бы спросить-а какого, извиняюсь, дьявола, этот кривософт пихают куда можно и нельзя?? Да и ГОСТ ( некоторые реализации) несколько спорен с точки зрения криптографической стойкости (не так давно было обсуждение на багтрэке.ру)-сиречь возможно незаметное понижение криптостойукости на несколько порядков......

bergamot_koenig
()
Ответ на: комментарий от bergamot_koenig

> Может быть, нужно в консерватории чегой-то поменять-сиречь убрать позорную практику так называемой "сертификации" серьезных криптографических продуктов-то есть внести изменения в законодательство...

Ну попробуй. Убеди законодателей и в том, что России свой стандарт не нужен и в том, что у ФСБ надо отобрать кормушку.

> По-моему, чем млин помогать криптопрошникам,

Автор по ссылке из криптоком, а не криптопро.

> Да и ГОСТ ( некоторые реализации) несколько спорен с точки зрения криптографической стойкости (не так давно было обсуждение на багтрэке.ру)-сиречь возможно незаметное понижение криптостойукости на несколько порядков......

Есть конкретная проблема, сделать так, чтобы в линуксе можно было использовать разные сертифицированные крипторешения

anonymous
()
Ответ на: комментарий от geek

Для работы с ЦБ в банке всё равно будешь йузать венду и Вербу-О (если повезет-OW) да сигнатуру с криптопроводником. Другое юзать очень затруднительно, да и нафиг оно надо-лишний геморрой с неясными целями... А в меж- и внутрибанковское взаимодествие-там вовсю используются опенссл и различние типы алгоритмов, ГОСТ там редок....

bergamot_koenig
()
Ответ на: комментарий от anonymous

А почему бы и нет??????7Какого уя эта кормушка вообще должна быть???И вообще, куды смотрит антимонопольный комитет????? :)))) Извиняюсь за излишнюю эмоциональность-накипело просто

bergamot_koenig
()
Ответ на: комментарий от bergamot_koenig

Вы знаете, в нашей стране складывается ситуация все более и более неясная - сейчас по всех сферах финансовой деятельности переходят на электронный документооборот, НО: в качестве клиентской ОС - Windows (причем без альтернатив) - т.к. используются криптопровайдеры, кот. работают только с ней; все клиентские системы СЭД (системы эл. документооборота) написаны под Win или используют IE. В тоже время в антимонопольном законодательстве прописано, что такого не должно быть - в данном случае ориентация на 1 ОС.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.