https://217.65.3.21/openforum/vsluhforumID9/8877.html Хочу OpenSSL с поддержкой ГОСТ, то есть, собственно, 1.0. Но везде в дебианах и убунтах только 0.9.8. А 1.0 практически нигде не видно ни слухом ни духом, хотя релиз был уже года полтора назад, что ли. Все заинтересованные побаловались самосбором когда релиз был, и все &#8212; тишина.<br><br>Почему это так? Если там поменялось что-то &#8212; почему никто не почесался хотя бы сделать пакеты для тихо лежащей сбоку от 0.9.8 некой libssl.so.1.0.0? Debian bug #578376 до сих пор открыт с полной тишиной внутри. Единственные на весь интернет следы libssl1 вижу в MeeGo: http://meego.gitorious.com/meego-platform-security/openssl1/commit/8df2eafdbab3a81583ae055526c2f7fc2285523f<br><br>Я бы понял, если бы это была какая-то неизвестная малополезная программка, но OpenSSL штука, все же, весьма серьезная. Значит, наверное, есть какая-то причина? Расскажите, пожалуйста! Заранее спасибо.<br><br>P.S. Минут 15 думал в какой раздел отправить, надеюсь не сильно ошибся.<br><br><br> https://217.65.3.21/openforum/vsluhforumID9/8877.html#10 Sat, 16 Oct 2010 18:17:11 GMT &gt;[оверквотинг удален]<br>&gt; 3. Для обеспечения соответствия рекомендациям некоторых регулирующих<br>&gt; органов может потребоваться дополнительно "плясать с бубном". Например,<br>&gt; сейчас действует требование, что в продуктах начиная с некоего класса<br>&gt; защищённости одним ключем нельзя шифровать последовательность длиной<br>&gt; более 1 килобайта.<br>&gt; 4. В большой и сложной библиотеке крайне сложно (сиречь дорого)<br>&gt; проверить<br>&gt; отсутствие недекларированных возможностей.<br>&gt; Существующие игроки на российском рынке криптосредств необходимую алгоритмику<br>&gt; уже написали, им OpenSSL не нужен.<br><br>Мдя, спасибо за информацию. Не думал, что всё _настолько_ неповоротливо. :)<br><br><br> https://217.65.3.21/openforum/vsluhforumID9/8877.html#9 Sat, 16 Oct 2010 16:33:42 GMT &gt; Я на прямую не занимаюсь информационной безопасностью, из-за чего, честно сказать,<br>&gt; не понимаю, почему не найдётся ни одной "конторы", которая взялась бы за попытки<br>&gt; добиться сертификации конкретной версии OpenSSL.<br><br>OpenSSL как таковой не является законченным криптосредством, которое имело<br>бы смысл сертифицировать. Для набора данного библиотек можно максимум<br>чего "насертифицировать" - это отсутствие незадекларированных возможностей<br>и достаточный уровень стойкости алгоритмов ЭЦП и шифрования. Причем<br>действует ряд "отягощающих факторов":<br><br> 1. Сертифицироваться придётся отдельно для каждого системного окружения<br>и набора настроек сборки. Переносимость библиотеки не означает переносимости<br>сертификатов :)<br><br> 2. Из всего обилия вариантов применения столь мощной библиотеки, как<br>OpenSSL, сертифицировать можно лишь некое подмножество, базирующееся<br>на разрешенных к применению алгоритмов. Весь прочий функционал будет<br>"мешаться", и не исключено даже, что конкретный орган сертификации<br>потребует удаления https://217.65.3.21/openforum/vsluhforumID9/8877.html#8 Sat, 16 Oct 2010 08:55:52 GMT Спасибо, что разжевали и разъяснили человеческим языком, а то соседнего комментатора я понимаю с трудом. :)<br><br>&gt;&gt; Не понял вашей позиции. Я лишь говорю, что поддержка ГОСТов вовсе не<br>&gt;&gt; "нахрен никому не нужна", как сказал автор выше.<br>&gt; Во всяких "конторах" требуется не столько работа по ГОСТ, сколько применение<br>&gt; сертифицированных строго определенным образом средств и решений. Сертификацией<br>&gt; конкретно OpenSSL вряд ли кто всерьёз займётся<br><br>Я на прямую не занимаюсь информационной безопасностью, из-за чего, честно сказать, не понимаю, почему не найдётся ниодной "конторы", которая взялась бы за попытки добиться сертификации конкретной версии OpenSSL.<br><br>&gt;, тем более что сертифицированной<br>&gt; считается строго та версия, которая проходила процедуру сертификации.<br>&gt; Малейшее изменение - и процесс сертификации нужно начинать заново.<br>&gt; Поэтому и применяются в основном "изделия" заведений типа Валидаты, КриптоПро<br>&gt; и Анкад, которые разработаны совершенно самостоятельно, друг с другом несовместимы<br>&gt; и (лично мо https://217.65.3.21/openforum/vsluhforumID9/8877.html#7 Sat, 16 Oct 2010 07:56:44 GMT &gt; Не понял вашей позиции. Я лишь говорю, что поддержка ГОСТов вовсе не<br>&gt; "нахрен никому не нужна", как сказал автор выше.<br><br>Во всяких "конторах" требуется не столько работа по ГОСТ, сколько применение<br>сертифицированных строго определенным образом средств и решений. Сертификацией<br>конкретно OpenSSL вряд ли кто всерьёз займётся, тем более что сертифицированной<br>считается строго та версия, которая проходила процедуру сертификации.<br>Малейшее изменение - и процесс сертификации нужно начинать заново.<br><br>Поэтому и применяются в основном "изделия" заведений типа Валидаты, КриптоПро<br>и Анкад, которые разработаны совершенно самостоятельно, друг с другом несовместимы<br>и (лично мое IMHO) дьявольски неудобны в применении.<br> https://217.65.3.21/openforum/vsluhforumID9/8877.html#6 Fri, 15 Oct 2010 13:23:00 GMT Кое-кому (но, да - не "никому") не нужна поддержка ГОСТа в OpenSSL, но оооочень нужна поддержка ГОСТа.<br> https://217.65.3.21/openforum/vsluhforumID9/8877.html#5 Fri, 15 Oct 2010 13:04:37 GMT &gt;&gt; К тому же в некоторых конторах могут требовать работы по ГОСТам.<br>&gt; В некоторых конторах могут требовать использования _только _сертифицированных средств<br>&gt; криптозащиты. Во _всех госконторах.<br>&gt; И?<br><br>Не понял вашей позиции. Я лишь говорю, что поддержка ГОСТов вовсе не "нахрен никому не нужна", как сказал автор выше.<br> https://217.65.3.21/openforum/vsluhforumID9/8877.html#4 Fri, 15 Oct 2010 08:03:16 GMT &gt; К тому же в некоторых конторах могут требовать работы по ГОСТам.<br><br>В некоторых конторах могут требовать использования _только _сертифицированных средств криптозащиты. Во _всех госконторах.<br><br>И?<br> https://217.65.3.21/openforum/vsluhforumID9/8877.html#3 Thu, 14 Oct 2010 18:46:04 GMT &gt; Потому что кроме ГОСТов там, по сути, ничего нет. А убогие ГОСТы<br>&gt; никому нахрен не нужны.<br><br>Вы, похоже, успешно пропустили лекции по информационной безопасности.<br><br>http://ru.wikipedia.org/wiki/SHA-1#.D0.A1.D1.80.D0.B0.D0.B2.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D1.81_.D0.93.D0.9E.D0.A1.D0.A2_.D0.A0_34.11-94<br><br>К тому же в некоторых конторах могут требовать работы по ГОСТам.<br> https://217.65.3.21/openforum/vsluhforumID9/8877.html#2 Mon, 04 Oct 2010 20:36:56 GMT Потому что кроме ГОСТов там, по сути, ничего нет. А убогие ГОСТы никому нахрен не нужны.<br>