[О блоге]
[наверх]
[пред]
[2023-11-12 16:18:42+03:00]
[a6ffe596981b1303b31c9f383d0f1d96bfff7a44]
Темы: [crypto][hate]
rfc4880bis vs crypto-refresh
В рассылке GnuPG показывают что всякие крупные дистрибутивы меняют GnuPG
и откатывают его изменения на использование RFC4880bis, который, судя по
словам Коха, вообще-то даже в госучреждениях Германии вполне себе
используется активно. Вижу что в crypto-refresh до сих пор присутствуют
и GCM и EAX режимы. Кох яростно против GCM, а EAX выпилен просто из-за
ненадобности (d7d5650cac3bbb74434b202924e72fec10b82db3).
Мне кажется, что OpenPGP уже стоит стоит начать закапывать. Ибо уже
теперь у нас есть GnuPG как одна из реализаций со своим видением и
своими стандартами, а всякие другие (почему-то только помню что они
написаны на JavaScript и Rust), которые очень хотят всякое дерьмо типа
GCM (в том числе). В общем, отсутствие совместимости или архаичные
стандарты.
[оставить комментарий]
- комментарий 0:
From: Dmitriy Zubko
Date: 2023-11-16 18:21:49Z
> В рассылке GnuPG показывают что всякие крупные дистрибутивы
Пишу этот комментарий в крупном дистрибутиве. Его разрабы пока не
дали мне повод заподозрить их в подобных помыслах.
--
6321 504A 60B9 FABB 91E2 0CA8 BACA D4F5 D183 2840
- комментарий 1:
From: Sergey Matveev
Date: 2023-11-16 19:01:20Z
*** Dmitriy Zubko [2023-11-16 21:21]:
>Пишу этот комментарий в крупном дистрибутиве. Его разрабы пока не
>дали мне повод заподозрить их в подобных помыслах.
Ну вот RedHat и Arch Linux упоминаются в рассылке:
https://mailarchive.ietf.org/arch/msg/openpgp/Yzhkbs88eVC7hRv6udXWldzCSfo/
https://mailarchive.ietf.org/arch/msg/openpgp/RJgeOeDUCLJ4pPzJZqdfYfbgi_8/
Про Debian (как одного из самых крупных) информации нет, но к ним у меня
крайняя настороженность после, я бы сказал преступного, случая с
уничтожением PRNG OpenSSL-а, который влияет на большую часть софта:
https://en.wikinews.org/wiki/Predictable_random_number_generator_discovered_in_the_Debian_version_of_OpenSSL
Была ли это целенаправленная попытка саботажа безопасности, или по лютой
безалаберности допустили и пропустили изменения человека, но я вижу что
в Debian могут сделать колоссальную разницу между тем что поставляет
автор программы и что у них выходит в опакеченной версии:
a3f6ffd451f85f35f8a817f42924fe4e0d7960f7. По моему это на грани
допустимого и дозволенного. Ну и они вовсю движутся в сторону дружбы с
несвободным ПО: e59c9d0769ff11e540d33a53c8d13bfa8699b751,
46d5f4df774be2111099609f589542f1c837711e.