SSH/PuTTY с поддержкой российской криптографии

это канал о онемэ?

Сейчас ещё одна появится?

БЗДшников уже поздравили?:)

Исходники доступны? Лицензия? Проприетарщина? Ненужно.

От рождения он MIT(в смысле PuTTY), а зонды ФСБшные, наверняка, закрытые.

Срочно внедрить в IE в виде ActiveX и обьявить стандартом

Где можно взять исходники?

Ладно Firefox, там ГОСТы совсем не нужны. Но в openssl могли бы ГОСТы и в апстрим пропихнуть. Потом опять же если в апстрим не получается, то можно поднять свой репозиторий вместе в src репозиторием и спокойно распространять ПО. Сейчас же это в прямом смысле распространение бинарников непонятно с чем внутри. С обновлениями тоже никак. Ну и для полной чебурашки, у вас даже https нет (чтобы скачать Firefox c ГОСТ, для начала нужно подключить хотя-бы через что-то, без поддержки ГОСТ). RSS тоже нет, чтобы новость получить когда бинарник обновился. sha256, или хотя бы даже sha1 или md5 хэши для тех же бинарников не указаны (в самом архиве тоже, нет проверил на nss).
Ну и для полного счастья, скачиваешь tar.bz2 с той же библиотекой nss, и ожидаешь там увидеть исходники библиотеки nss с некоторыми правками, а там просто .so файлы уже готовые лежат. При всем этом безобразии исходников я не увидел совсем.
Ну и версия Apache у вас какая-то уж очень древняя, и совсем не похоже, что Server header подставлен, скорей всего она такая и есть.

openssl

разве в нем нет гостов? Были же.

Почему не протолкнули в апстрим? Протокол SSH как и сама реализация в этом плане очень гибки, зачем нужно было форкать OpenSSH?

Ну и конечно же, где я могу скачать исходники, чтобы убедиться, что никаких закладок там нет и быть не может?

Но в openssl могли бы ГОСТы и в апстрим пропихнуть.

В LibreSSL добавлена поддержка отечественной криптографии

Там проблема в другом (могу наврать возможно сейчас подключается к любой последней версии openssl) нужно openssl собирать отдельно с ccgost. Но так не в одном приличном дистрибутиве не собирают. А если ты будешь собирать сам, то ты останешься без обновлений безопасности. Поддерживать это пока конечно никому не сдалось, чтобы вовремя пересобирать, а не через сутки и более.

Более чем не нужно.

Это очередной этап импортозамещения?

Нет, это очередное «плохо лежащее» но успешно «найденное». Сейчас эти личности присвоят себе весь чужой труд и будут продавать эту хрень на 100500 денег, как обычно у нас и происходит.

Продают не код, а сертифицированный продукт. Код сам по себе нафиг никому не нужен, любой студент за пару недель напишет этот гост. А вот сертифицировать продукт в каком-нибудь ФСБ это тот ещё квест.

Почему не протолкнули в апстрим?
Ну и конечно же, где я могу скачать исходники, чтобы убедиться, что никаких закладок там нет и быть не может?

Ты сам ответил на свой вопрос.

После того как правительство на официальном уровне заявило что википедия гавно потому что ее придумали пендосы, и надо бы википедию форкнуть (форкайте GNU FDL, жалко шоле), у меня аллергия на словосочетание «Российское IT»

при том, что будучи хоть 10 раз сертифицированным - без исходников доверять ему нет никаких оснований.

Но так не в одном приличном дистрибутиве не собирают.

4.2, собирают, просто engine может быть не включен по-умолчанию - решается правкой конфига

Я говорю не про код реализации алгоритма ГОСТ (который нужен 1.5 госконторам), а про сам putty, исходники которого они успешно присвоят с попустительства автора оригинала.

Да и вообще, по понятным причинам лучше избегать «сертифицированных продуктов».

С чего ты взял, что присвоят? Putty это же не GPL, никто не запрещает выпускать закрытые продукты на его основе.

MIT же. Взять код и использовать его без открытия исходников после уродования легально.

Российское IT - популизм.

Я в курсе, но это очень фигово, особенно если используется криптография. Считаю, что автору putty, нужно было лучше выбирать лицензию.

Такие продукты нужны тем, кто вынужден пользоваться российским крипто, поскольку того требуют обстоятельства (законодательство). Закон не интересует, доверяешь ты или нет.

Автор PuTTY как-нибудь сам разберется под какой лицензией ему выпускать свою программу.

Файерфокса мало, надо больше SSH бесплатно и без смс!

Это или утка такая, чтобы поржать. Или это такая крайне специфичная сборка от какой то конторы строго для тех, кто её хорошо знает и доверяет. А всем остальным чтобы поржать.

Зачем тут это?

А нечего использовать Putty, для начала.
Ну и да, использование MIT — путь к использованию твоего кода ворами и негодяями, как в данном случае.

ключевое слово: вынужден

Что за мода пошла на российскую криптографию? Зачем это всё? Импортозамещение?

Но в openssl могли бы ГОСТы и в апстрим пропихнуть

Они в апстриме уже лет 5, как минимум

Какое IE еще, отсталый? ie мертв, детка, ie мертв.

непомню откуда узнал, но мне говорили, что российская криптография - самая криптографичная.

в опубликованных стандартах нету s-box-ов (т.е. фактически можно считать что сам способ шифрования закрыт. И нету возможность проверить его силу, т.к. некоторые вариации s-box-ов могут быть изначально ослабленными.)

соотвественно, любое хоть немного «сертифицирование» изделие будет закрытым.

зачем нужно было форкать OpenSSH?

Чтоб внедрить ФСБ-шные зонды :)

Российская криптография имеет многовековую историю.

FoxSSH/FoxPuTTY

НенужноSSH/НенужноPuTTY с поддержкой не нужной криптографии

А как ты собрался в тендерных площадках участвовать? Налоговые документы сдавать? Там все на госте. Они из за этого и требовали эксплорер и криптопро везде.

Странно, а открытые реализации есть.

а открытые реализации есть.

«сертифицированы» ли они? вся соль в «сертификации».

в тендерах и аукционах нужен SSH/PuTTY???

https://ru.wikipedia.org/wiki/ГОСТ_28147-89#.D0.9A.D1.80.D0.B8.D1.82.D0.B8.D0... о по теме.

Что за мода пошла на российскую криптографию? Зачем это всё? Импортозамещение?

Хладагент протёк? Единственное исключение, где не используется ГОСТ — банкоматы. Специально ради этого в постановлении правительства есть дырка.

Банки, госконторы, а теперь и «операторы персональных данных» — т.е. у кого есть соответствующие лицензии (предоставление услуг криптографической защиты информации, эксплуатация шифровальных средств, и техническое обслуживание шифровальных средств) — всегда, с самого начала, использовали только ГОСТ.

Во избежание тупых вопросов и комментариев, подчёркиваю, для *собственных* нужд физическое или *юридическое* лицо может использовать что угодно и как угодно. Но если юридическое лицо хочет заниматься определённого рода деятельностью, то ему необходимо получить набор лицензий, и соответственно, выполнять лицензионные требования. А если физическое лицо хочет выступать в качестве потребителя определённых услуг, то ему также необходимо выполнять требования законодательства.

о по теме

В лужу. Объясняю. Некоторое время назад, мы захотели стандартизировать шифр ГОСТ в ИСО. Поскольку, определённой группе лиц не хотелось видеть ещё один шифр военного класса в качестве открытого международного стандарта, то на оперативный простор выпустили своего штатного клоуна Николяшку Кортуа.

Он в начале 2000-х уже сломал AES. Правда теоретически. Для практического взлома потребуется забрать все атомы пары соседних вселенных для строительства вычислительного комплекса, способного решить получившуюся систему уравнений, и тогда за время, сравнимое с временем жизни нашей Вселенной, можно будет решить получившуюся систему уравнений.

Ради объективности, работы Кортуа оказали большое влияние на криптографию... Но вот на его душевном здоровье, сказались очень отрицательно.

Естественно, Николяшка тут же взломал ГОСТ. С примерно теми же практическими результатами, что и у AES. А еще наделал массу голословных заявлений, недостойных учёного.

За прошедшие 5 лет, ничего конкретного найдено не было. Наши — утёрлись и пилят новый криптографический стандарт, более устойчивый к FUD-атакам всяких придворных клоунов.

Все, как обычно, в общем.

что именно в лужу?

почему-то в принятом стандарте нету s-box-ов. Всё остальное вытекает из этого.

криптография начинается лишь тогда, когда «предположим что о шифре известно всё, кроме секретного ключа».

А самой главной части самого алгоритма шифрования нету в стандарте.

как обстоят сейчас вопросы актуализации с этим ГОСТ-алгоритмом для участников СНГ?

почему-то в принятом стандарте нету s-box-ов

Ради стандартизации в ИСО, ТК26 сделал ЕдинственноВерныеИПравильныеУзлыЗаменыПризванныеПоложитьКонецЭтомуБалагану. Но, поскольку стандартизация в ИСО была сорвана, официального статуса они не получили.

НесовсемВерныеИПравильныеУзлыЗамены указаны в RFC.

В новом криптографическом стандарте (пока не принятом) пожелания трудящихся были учтены, и узлы замены являются неотъемлемой частью стандарта.

как обстоят сейчас вопросы актуализации с этим ГОСТ-алгоритмом для участников СНГ?

Не знаю. Я очень далёк от всего этого. Знаю, что украинцы пилят свой перспективный ДСТУ на шифрование.

Скорее всего — никак, за неимением необходимых ресурсов.

В новом криптографическом стандарте (пока не принятом) пожелания трудящихся были учтены, и узлы замены являются неотъемлемой частью стандарта.

отлично. до тех пор пока его непримут, можно и нужно поливать отечественное недо-шифрование коричневой субстанцией.

можно и нужно поливать отечественное недо-шифрование коричневой субстанцией

Нет препятствий патриотам! Только учти, что: а) для этого нужно отстоять нехилую очередь из таких же поливальщиков; б) твоего напора хватит разве что плинтус на пьедестале обгадить.