LINUX.ORG.RU

Новая версия патча к OpenSSL


0

0

Фирма "Криптоком" распространила новую версию своего патча к OpenSSL, добавляющего инфраструктуру для поддержки алгоритмов ЭЦП, не являющихся RSA и DSA.

Там же можно взять пример реализации российских криптографических алгоритмов с использованием новой инфраструктуры.

>>> Подробности



Проверено: ivlad ()

Re: Новая версия патча к OpenSSL

>>пример реализации российских криптографических алгоритмов

а разве российские криптографические алгоритмы не сосут по причине того что обязаны там сертификации всякие иметь, и бэкдоры для разных гэбэшников ?

anonizmus ()
Ответ на: Re: Новая версия патча к OpenSSL от anonizmus

Re: Новая версия патча к OpenSSL

придурок, гостовские алгоритмы открыты, бекдоры нашли бы уже 10015 раз

а криптостойкость у них на высоком уровне

anonymous ()
Ответ на: Re: Новая версия патча к OpenSSL от anonizmus

Re: Новая версия патча к OpenSSL

> а разве российские криптографические алгоритмы не сосут...

Из-за идиотской сертификации сосут не алгоритмы, а несчастные официальные пользователи,
вынужденные использовать дерьмовые поделия разных фирмочек, принадлежащих гебешникам,
вместо открытого и безопасного софта.
Судя по всему subj чуть ли не единственное приятное исключение...

anonymous ()
Ответ на: Re: Новая версия патча к OpenSSL от ioctl

Re: Новая версия патча к OpenSSL

> Нет, они рулят по причине того, что наше законодательство не ограничивает экспорт сильных алгоритмов в отличие от.

Вообще-то они сравнимы по стойкости, потому, что ограниение отменили давным-давно.

anonymous ()

Re: Новая версия патча к OpenSSL

Конечно проект интересный, вопрос будут ли их проекты использоваться на западе или придется ставить openssl-ru?

gh0stwizard ★★★★★ ()

Administrativa

Дорогие друзья,

поскольку:

а) Брюс Шнаер среди посетителей ЛОРа не замечен, а рассуждения о криптографии на уровне "ГОСТ 28147-89 сосет" - "нет, он рулит" без доказательств бесполезны;

б) описанный патч не вводит в OpenSSL новых криптографических алгоритмов, а создает механизм для их подключения (например, вашего личного super-puper-crypto-algo), а, собственно, реализация представлена отдельно, и никто не заставляет ей пользоваться;

я я выставил рейтинг постов в этот топик в одну звезду.

Список литературы для желающих:

1. http://www.s3r.ru/4gost34_10-94.htm
2. http://www.s3r.ru/4gostr34.11-94.htm
3. http://www.bugtraq.ru/library/crypto/moregost.html
4. http://www.openssl.org/docs/crypto/crypto.html и далее по ссылкам

ivlad ★★★★★ ()

Re: Новая версия патча к OpenSSL

Хорошая вещь. Давно пора было начать двигаться в данном направлении

toxa ★★ ()
Ответ на: Re: Новая версия патча к OpenSSL от anonymous

Re: Новая версия патча к OpenSSL

> Вообще-то они сравнимы по стойкости, потому, что ограниение
> отменили давным-давно.

Не отменили.

Попробуй поставить почти любой коммерческий продукт и прочитай там про EXPORT RESTRICTIONS в EULA.

Dimentiy ★★ ()
Ответ на: Re: Новая версия патча к OpenSSL от anonymous

Re: Новая версия патча к OpenSSL

> ограниение отменили давным-давно.

если бы отменили, Sun не заключала бы договора на разработку крипто-защиты с российскими фирмами, а так "хотите повышенную защиту - возмите модуль этой фирмы"

vadiml ★★★★★ ()
Ответ на: Re: Новая версия патча к OpenSSL от Lumi

Re: Новая версия патча к OpenSSL

> Жаль, TLS пока только в планах. Успехов им :)

Тут есть еще такая засада. Известный фордовский принцип "Автомобиль может быть любого цвета, если этот цвет черный". Точно так же криптоалгоритм может быть любым, если он RSA.

Для интересу можно попробовать взять любой наугад взятый софт, использующий OpenSSL и заставить его работать, скажем, с DSA на эллиптических кривых, который вполне поддерживается самой OpenSSL.

Половину софта придется патчить. У stunnel, например есть опция сборки --without-rsa. Но вот собрать такой бинарник, который бы из коробки умел и DSA, и RSA, в зависимости от того, какой сертификат ему дали - без мата не получится. Хотя исправить там надо всего две строчки (и то одна - имя функции в сообщении об ошибке).

Я уж не говорю про то, что большая часть ssl-enabled приложений забывает читать конфигурационный файл openssl, а своих средств конфигурирования не предоставляет (что критично при использовании подгружаемых engine).

Из коробки (путем простой пересборки с патченной библиотекой) заработал только lynx. Всё остальное что пробовалось, пришлось в той или иной мере патчить - даже wget. Причем в большинстве случаев патчи были такими, что с непатченной OpenSSL они тоже работать будут, да ещё и функциональности добавят.

Исключение - как раз самое интересное - mod_ssl от Apache. Он лезет за информацией во внутренние структуры OpenSSL, как раз в том месте, где мы их меняли. Патча там 33 строчки.

vitus ()
Ответ на: Re: Новая версия патча к OpenSSL от beldmit

Re: Новая версия патча к OpenSSL

Поговорить видимо не получится из за отсутствия именно коммерческого интереса ;)

Lumi ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.