[О блоге] [наверх] [пред] [2024-07-25 10:11:10+03:00] [157d338d59c0c3b5f874836bb1b1feda73a70bdf]
Темы: [crypto][hate]

Лживая миссия OpenSSL

https://openssl-mission.org/
https://openssl-library.org/post/2024-07-24-openssl-new-governance-structure/
https://www.opennet.ru/opennews/art.shtml?num=61603
https://dxdt.ru/2024/07/25/13464/
Недавно OpenSSL лихо поменял свой сайт. Под ними теперь и cryptlib и
Bouncy Castle. А также появился mission statement, прям на главной
странице, гласящий:
    We believe everyone should have access to security and privacy
    tools, whoever they are, wherever they are or whatever their
    personal beliefs are, as a fundamental human right.
Но при переходе на сайт cryptlib-а получаем 403. Кто-то ещё не верит,
что Запад нас не считает за людей, что он упорно старается сделать всё,
для буквального уничтожения и истребления, или хотя бы порабощения? И,
конечно же, всё обмазано "open source" терминологией, которая тоже
показывает свою природу. Но и чисто технически, OpenSSL это вещь с
которой лучше бы ни при каких обстоятельствах не связываться.

А я решил посмотреть на cryptlib (доступный по старому сайту) поближе. И
в его README написано, что TLS 1.3:

    TLS 1.3 support has been added but is disabled by default.  Despite its name,
    TLS 1.3 is a completely new protocol that runs alongside standard TLS and
    doubles the size of the TLS stack if enabled.  In addition since a primary
    design goal for TLS 1.3 was to make the operations of large content providers
    easier (for example it relies on the client guessing a number of
    characteristics of the server, which works fine for Google clients connecting
    to nonstandard configurations in Google servers but less well for non-web-
    client cases) it can lead to performance issues or interoperability problems
    where the client is unable to guess in advance what the server requires.
    Unless there's an external requirement for TLS 1.3 use it's recommended that
    users continue with TLS 1.2.

Честно говоря, я не понял про какие угадывания параметров клиентом идёт
речь (про алгоритм публичного DH ключа?), но в целом тут бред написан.
Причём тут большие CDN-ы? TLS 1.3, в кой да веки, спроектирован грамотно
с привлечением толковых криптографов, state-of-art. А не как постыдное
дерьмо что было прежде. Но cryptlib не рекомендует использовать куда
более простой и грамотный протокол.
    [оставить комментарий]
    комментарий 0:
    From: Sergey Matveev
Date: 2024-07-30 06:19:31Z

Автор cryptlib мне ответил:

    I asked our web guy when I first heard about it, he said there's no blocking
    being done by the site.  There are only two possibilities he can think of, the
    first is that it's hosted by Cloudflare and there were problems with attacks
    from Russian IP address blocks so it may be some defence system that's being
    triggered.  The other one might be that cryptlib contains non-Russian crypto
    algorithms while code like OpenSSL has all of the GOST algorithms so it may be
    an attempt to block access because of that.  Both of those are just guesses
    though, I've tried accessing the site from Australia, the US, and Europe and
    not had any problems.
    [...]
    Yeah, sorry about that, I didn't realise that Cloudflare was involved and
    causing problems, but in any case the University site should be accessible.

В общем, Cloudflare в своём духе. Уж с нашей (российской) стороны то нам
точно нет никаких поводов мешать обращению к cryptlib.