Re: Сертификаты OpenVPN

To: debian-russian@lists.debian.org
Subject: Re: Сертификаты OpenVPN
From: Artem Chuprina <ran@ran.pp.ru>
Date: Tue, 09 Oct 2007 01:50:20 +0400
Message-id: <[🔎] 43092291@wizzle.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 200710090054.46503.pechnikov@sandy.ru> (Alexey Pechnikov's message of "Tue\, 9 Oct 2007 00\:54\:45 +0400")
References: <[🔎] 200710081852.16531.pechnikov@sandy.ru> <[🔎] 200710090008.31893.pechnikov@sandy.ru> <[🔎] 64537356@wizzle.ran.pp.ru> <[🔎] 200710090054.46503.pechnikov@sandy.ru>

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Tue, 9 Oct 2007 00:54:45 +0400:

 >>  AP> А как посмотреть список _действующих_ сертификатов?
 >>
 >> Что значит "список"?  В случае с PKI такого понятия, в общем, не
 >> существует.  Нету некоего "общего списка".  Хотя конкретный CA вполне
 >> может держать список выданных им сертификатов.  openssl ca так и делает.

 AP> Не знал, выходит, вопрос получения списка актуальных сертификатов и
 AP> списка аннулированных решается. В таком случае да, имеет смысл
 AP> делать свой центр сертификации. Хотя и хорошо, что есть вариант
 AP> переложить эти заботы на долю OpenVPN-сервера, как я и делаю в
 AP> настоящий момент.

 AP> Вопрос - что следует сделать, чтобы клиенты имели доступ к такому
 AP> центру сертификации из браузеров Mozilla & IE 6 и выше? Это шире
 AP> той задачи, которую мы обсуждали, но раз все так хорошо...

Это лучше Витус помнит, пусть он расскажет.  У него где-то прикручен
скриптик с openssl ca...

 AP> юридический статус в вашем варианте реализации отличен от того, что
 AP> вы говорите. Это связано с тем, что сертифицированные криптосистемы
 AP> имеют определенный юридический статус, а обсуждаемое решение на
 AP> OpenVPN с использованием несертифицированных алгоритмов такого
 AP> статуса не имеет. Как я понимаю, в последних версиях openssl
 AP> российские криптоалгоритмы реализованы, хотелось бы узнать, готовы
 AP> ли они для промышленного использования или еще нет? И можно ли в
 AP> OpenVPN использовать российские алгоритмы?

С юридическим статусом как обычно.  Ну, в смысле, точно так же, как у
обыкновенных провайдеров с их CHAP.  Который тоже базируется на MD5, и
потому, строго говоря, до суда не доходит.  А вот нестрого говоря может
и дойти.

Что же до алгоритмов, то в последней стабильной (0.9.8) требуется патч,
и бинарная совместимость отсутствует.  Т.е. приложения тоже
пересобирать.  Витус, опять же, для дебиана делал пакет, уживающийся со
"штатной" библиотекой, т.е. пересобирать надо только те приложения,
которым требуются гостовские алгоритмы.  Конкретно на OpenVPN не
смотрели, насколько там гвоздями прибит "родной" DH.  Может
потребоваться патч.  Патченая OpenSSL в данный момент в процессе
сертификации.

В 0.9.9 необходимая инфраструктура по алгоритмам уже в комплекте, по TLS
в процессе.  Т.е. с ее выходом ожидается возможность подключения
сертифицированной реализации российских алгоритмов совершенно штатным
образом.  Но это еще надо доделать, а потом дождаться выхода 0.9.9.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Пользователь юникса перестаёт быть пользователем юникса если после его
пользования пользованный юникс перестаёт быть юниксом. (с)

Reply to:

References:
- Сертификаты OpenVPN
  - From: Alexey Pechnikov <pechnikov@sandy.ru>
- Re: Сертификаты OpenVPN
  - From: Alexey Pechnikov <pechnikov@sandy.ru>
- Re: Сертификаты OpenVPN
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Сертификаты OpenVPN
  - From: Alexey Pechnikov <pechnikov@sandy.ru>

Prev by Date: Re: wi-fi грамотно
Next by Date: Re: Сертификаты OpenVPN
Previous by thread: Re: Сертификаты OpenVPN
Next by thread: Re: Сертификаты OpenVPN
Index(es):
- Date
- Thread