Что: a6ffe596981b1303b31c9f383d0f1d96bfff7a44 Когда: 2023-11-12 16:18:42+03:00 ------------------------------------------------------------------------ Темы: crypto hate ------------------------------------------------------------------------ rfc4880bis vs crypto-refresh В рассылке GnuPG показывают что всякие крупные дистрибутивы меняют GnuPG и откатывают его изменения на использование RFC4880bis, который, судя по словам Коха, вообще-то даже в госучреждениях Германии вполне себе используется активно. Вижу что в crypto-refresh до сих пор присутствуют и GCM и EAX режимы. Кох яростно против GCM, а EAX выпилен просто из-за ненадобности (d7d5650cac3bbb74434b202924e72fec10b82db3). Мне кажется, что OpenPGP уже стоит стоит начать закапывать. Ибо уже теперь у нас есть GnuPG как одна из реализаций со своим видением и своими стандартами, а всякие другие (почему-то только помню что они написаны на JavaScript и Rust), которые очень хотят всякое дерьмо типа GCM (в том числе). В общем, отсутствие совместимости или архаичные стандарты. ------------------------------------------------------------------------ оставить комментарий: mailto:comment@blog.stargrave.org?subject=Re:%20rfc4880bis%20vs%20crypto-refresh%20%28a6ffe596981b1303b31c9f383d0f1d96bfff7a44%29 ------------------------------------------------------------------------ комментарий 0: From: Dmitriy Zubko Date: 2023-11-16 18:21:49Z > В рассылке GnuPG показывают что всякие крупные дистрибутивы Пишу этот комментарий в крупном дистрибутиве. Его разрабы пока не дали мне повод заподозрить их в подобных помыслах. -- 6321 504A 60B9 FABB 91E2 0CA8 BACA D4F5 D183 2840 ------------------------------------------------------------------------ комментарий 1: From: Sergey Matveev Date: 2023-11-16 19:01:20Z *** Dmitriy Zubko [2023-11-16 21:21]: >Пишу этот комментарий в крупном дистрибутиве. Его разрабы пока не >дали мне повод заподозрить их в подобных помыслах. Ну вот RedHat и Arch Linux упоминаются в рассылке: https://mailarchive.ietf.org/arch/msg/openpgp/Yzhkbs88eVC7hRv6udXWldzCSfo/ https://mailarchive.ietf.org/arch/msg/openpgp/RJgeOeDUCLJ4pPzJZqdfYfbgi_8/ Про Debian (как одного из самых крупных) информации нет, но к ним у меня крайняя настороженность после, я бы сказал преступного, случая с уничтожением PRNG OpenSSL-а, который влияет на большую часть софта: https://en.wikinews.org/wiki/Predictable_random_number_generator_discovered_in_the_Debian_version_of_OpenSSL Была ли это целенаправленная попытка саботажа безопасности, или по лютой безалаберности допустили и пропустили изменения человека, но я вижу что в Debian могут сделать колоссальную разницу между тем что поставляет автор программы и что у них выходит в опакеченной версии: a3f6ffd451f85f35f8a817f42924fe4e0d7960f7. По моему это на грани допустимого и дозволенного. Ну и они вовсю движутся в сторону дружбы с несвободным ПО: e59c9d0769ff11e540d33a53c8d13bfa8699b751, 46d5f4df774be2111099609f589542f1c837711e. ------------------------------------------------------------------------ Сгенерирован: SGBlog 0.34.0