Хочу OpenSSL с поддержкой ГОСТ, то есть, собственно, 1.0. Но везде в дебианах и убунтах только 0.9.8. А 1.0 практически нигде не видно ни слухом ни духом, хотя релиз был уже года полтора назад, что ли. Все заинтересованные побаловались самосбором когда релиз был, и все — тишина.

Почему это так? Если там поменялось что-то — почему никто не почесался хотя бы сделать пакеты для тихо лежащей сбоку от 0.9.8 некой libssl.so.1.0.0? Debian bug #578376 до сих пор открыт с полной тишиной внутри. Единственные на весь интернет следы libssl1 вижу в MeeGo: http://meego.gitorious.com/meego-platform-security/openssl1/...

Я бы понял, если бы это была какая-то неизвестная малополезная программка, но OpenSSL штука, все же, весьма серьезная. Значит, наверное, есть какая-то причина? Расскажите, пожалуйста! Заранее спасибо.

P.S. Минут 15 думал в какой раздел отправить, надеюсь не сильно ошибся.

• openssl 1.0 — почему нигде нет?,ImPressed, 19:18 , 02-Окт-10
• openssl 1.0 — почему нигде нет?,аноним, 00:36 , 05-Окт-10
  • openssl 1.0 — почему нигде нет?,Xaionaro, 22:46 , 14-Окт-10
    • openssl 1.0 — почему нигде нет?,Andrey Mitrofanov, 12:03 , 15-Окт-10
      • openssl 1.0 — почему нигде нет?,Xaionaro, 17:04 , 15-Окт-10
        • openssl 1.0 — почему нигде нет?,Andrey Mitrofanov, 17:23 , 15-Окт-10
        • openssl 1.0 — почему нигде нет?,DeadMustdie1, 11:56 , 16-Окт-10
          • openssl 1.0 — почему нигде нет?,Xaionaro, 12:55 , 16-Окт-10
            • openssl 1.0 — почему нигде нет?,DeadMustdie1, 20:33 , 16-Окт-10
              • openssl 1.0 — почему нигде нет?,Xaionaro, 22:17 , 16-Окт-10

>[оверквотинг удален]
> что ли. Все заинтересованные побаловались самосбором когда релиз был, и все
> — тишина.
> Почему это так? Если там поменялось что-то — почему никто не почесался
> хотя бы сделать пакеты для тихо лежащей сбоку от 0.9.8 некой
> libssl.so.1.0.0? Debian bug #578376 до сих пор открыт с полной тишиной
> внутри. Единственные на весь интернет следы libssl1 вижу в MeeGo: http://meego.gitorious.com/meego-platform-security/openssl1/...
> Я бы понял, если бы это была какая-то неизвестная малополезная программка, но
> OpenSSL штука, все же, весьма серьезная. Значит, наверное, есть какая-то причина?
> Расскажите, пожалуйста! Заранее спасибо.
> P.S. Минут 15 думал в какой раздел отправить, надеюсь не сильно ошибся.

У меня в Генте после последнего обновления встала OpenSSL 1.0,  правда не помню размаскировывал ли я ее или нет.

impressed@satan ~ $ emerge -pv openssl

These are the packages that would be merged, in order:

Calculating dependencies... done!
[ebuild   R   ] dev-libs/openssl-1.0.0a-r3  USE="gmp (sse2) zlib -bindist -kerberos -rfc3779 -test" 5 kB

Total: 1 package (1 reinstall), Size of downloads: 5 kB

!!! The following installed packages are masked:
- www-plugins/adobe-flash-10.0.45.2 (masked by: package.mask, AdobeFlash-10 license(s))
/usr/portage/profiles/package.mask:
# Tobias Heinlein <keytoaster@gentoo.org> (05 Jul 2010)
# Severe security issues (bug #322855)

A copy of the 'AdobeFlash-10' license is located at '/usr/portage/licenses/AdobeFlash-10'.

For more information, see the MASKED PACKAGES section in the emerge
man page or refer to the Gentoo Handbook.

* IMPORTANT: 4 news items need reading for repository 'gentoo'.
* Use eselect news to read news items.

impressed@satan ~ $

Потому что кроме ГОСТов там, по сути, ничего нет. А убогие ГОСТы никому нахрен не нужны.

> Потому что кроме ГОСТов там, по сути, ничего нет. А убогие ГОСТы
> никому нахрен не нужны.

Вы, похоже, успешно пропустили лекции по информационной безопасности.

http://ru.wikipedia.org/wiki/SHA-1#.D0.A1.D1.80.D0.B0.D0.B2....

К тому же в некоторых конторах могут требовать работы по ГОСТам.

> К тому же в некоторых конторах могут требовать работы по ГОСТам.

В некоторых конторах могут требовать использования _только _сертифицированных средств криптозащиты. Во _всех госконторах.

И?

>> К тому же в некоторых конторах могут требовать работы по ГОСТам.
> В некоторых конторах могут требовать использования _только _сертифицированных средств
> криптозащиты. Во _всех госконторах.
> И?

Не понял вашей позиции. Я лишь говорю, что поддержка ГОСТов вовсе не "нахрен никому не нужна", как сказал автор выше.

Кое-кому (но, да - не "никому") не нужна поддержка ГОСТа в OpenSSL, но оооочень нужна поддержка ГОСТа.

> Не понял вашей позиции. Я лишь говорю, что поддержка ГОСТов вовсе не
> "нахрен никому не нужна", как сказал автор выше.

Во всяких "конторах" требуется не столько работа по ГОСТ, сколько применение
сертифицированных строго определенным образом средств и решений. Сертификацией
конкретно OpenSSL вряд ли кто всерьёз займётся, тем более что сертифицированной
считается строго та версия, которая проходила процедуру сертификации.
Малейшее изменение - и процесс сертификации нужно начинать заново.

Поэтому и применяются в основном "изделия" заведений типа Валидаты, КриптоПро
и Анкад, которые разработаны совершенно самостоятельно, друг с другом несовместимы
и (лично мое IMHO) дьявольски неудобны в применении.

Спасибо, что разжевали и разъяснили человеческим языком, а то соседнего комментатора я понимаю с трудом. :)

>> Не понял вашей позиции. Я лишь говорю, что поддержка ГОСТов вовсе не
>> "нахрен никому не нужна", как сказал автор выше.
> Во всяких "конторах" требуется не столько работа по ГОСТ, сколько применение
> сертифицированных строго определенным образом средств и решений. Сертификацией
> конкретно OpenSSL вряд ли кто всерьёз займётся

Я на прямую не занимаюсь информационной безопасностью, из-за чего, честно сказать, не понимаю, почему не найдётся ниодной "конторы", которая взялась бы за попытки добиться сертификации конкретной версии OpenSSL.

>, тем более что сертифицированной
> считается строго та версия, которая проходила процедуру сертификации.
> Малейшее изменение - и процесс сертификации нужно начинать заново.
> Поэтому и применяются в основном "изделия" заведений типа Валидаты, КриптоПро
> и Анкад, которые разработаны совершенно самостоятельно, друг с другом несовместимы
> и (лично мое IMHO) дьявольски неудобны в применении.

В любом случае, лично мне видится вполне конкретная польза от добавления поддержки ГОСТов. Не только как шанс всё-таки перейти на удовлетворимую реализацию советских/русских алгоритмов шифрования, но и как просто возможность использовать при желании весьма криптостойкие алгоритмы.

> Я на прямую не занимаюсь информационной безопасностью, из-за чего, честно сказать,
> не понимаю, почему не найдётся ни одной "конторы", которая взялась бы за попытки
> добиться сертификации конкретной версии OpenSSL.

OpenSSL как таковой не является законченным криптосредством, которое имело
бы смысл сертифицировать. Для набора данного библиотек можно максимум
чего "насертифицировать" - это отсутствие незадекларированных возможностей
и достаточный уровень стойкости алгоритмов ЭЦП и шифрования. Причем
действует ряд "отягощающих факторов":

1. Сертифицироваться придётся отдельно для каждого системного окружения
и набора настроек сборки. Переносимость библиотеки не означает переносимости
сертификатов :)

2. Из всего обилия вариантов применения столь мощной библиотеки, как
OpenSSL, сертифицировать можно лишь некое подмножество, базирующееся
на разрешенных к применению алгоритмов. Весь прочий функционал будет
"мешаться", и не исключено даже, что конкретный орган сертификации
потребует удаления из библиотеки всего неиспользуемого в сертифицируемой
версии функционала.

  3. Для обеспечения соответствия рекомендациям некоторых регулирующих
органов может потребоваться дополнительно "плясать с бубном". Например,
сейчас действует требование, что в продуктах начиная с некоего класса
защищённости одним ключем нельзя шифровать последовательность длиной
более 1 килобайта.

  4. В большой и сложной библиотеке крайне сложно (сиречь дорого) проверить
отсутствие недекларированных возможностей.

Существующие игроки на российском рынке криптосредств необходимую алгоритмику
уже написали, им OpenSSL не нужен.

> В любом случае, лично мне видится вполне конкретная польза от добавления поддержки
> ГОСТов. Не только как шанс всё-таки перейти на удовлетворимую реализацию
> советских/русских алгоритмов шифрования, но и как просто возможность использовать
> при желании весьма криптостойкие алгоритмы.

Тут уже главный вопрос - вам ехать или шашечки. Для юридической значимости применения
средств защиты информации нужно пользоваться сертифицированными средствами, строго
соблюдая условия, при которых действует сертификация. Если кому-то кажется, что
уровень защиты сертифицированного криптосредства недостаточен, то этот "кто-то" может
вполне легально использовать любые дополнительные средства и методы кодирования
информации "поверх" сертифицированного средства, но позиционировать эти дополнительные
средства и методы как СЗИ - нельзя.

>[оверквотинг удален]
>   3. Для обеспечения соответствия рекомендациям некоторых регулирующих
> органов может потребоваться дополнительно "плясать с бубном". Например,
> сейчас действует требование, что в продуктах начиная с некоего класса
> защищённости одним ключем нельзя шифровать последовательность длиной
> более 1 килобайта.
>   4. В большой и сложной библиотеке крайне сложно (сиречь дорого)
> проверить
> отсутствие недекларированных возможностей.
> Существующие игроки на российском рынке криптосредств необходимую алгоритмику
> уже написали, им OpenSSL не нужен.

Мдя, спасибо за информацию. Не думал, что всё _настолько_ неповоротливо. :)