engine icon indicating copy to clipboard operation
engine copied to clipboard

Published 20 hours ago verified publisher icon gost-engine

feature request: построение комьюнити с docker-образами

Open chipitsine opened this issue 3 years ago • 17 comments

по мотивам баг репорта от @Rostislaved

из плюсов, есть весьма активное комьюнити в районе докера: rnixik

из минусов - докер собирают из ветки 1_1_1 (потому что так было в README)

image

ну и нет никакого заметного взаимодействия между gost-engine и докер-комьюнити.

есть мысль, выстроить более тесное взаимодействие в районе сценариев с докером

chipitsine avatar Feb 08 '22 07:02 chipitsine

@vt-alt , docker входит в сферу интересов Alt Linux ? есть у Alt-а официальные докеры ?

chipitsine avatar Feb 08 '22 07:02 chipitsine

@chipitsine Есть https://hub.docker.com/_/alt

vt-alt avatar Feb 08 '22 07:02 vt-alt

а там прямо из коробки openssl с gost-engine (я не в курсе, честно) ?

я к чему, если есть интерес со стороны комьюнити к докеру, может доработать документацию (README ?) и написать туда про Alt ?

chipitsine avatar Feb 08 '22 07:02 chipitsine

@Rostislaved, не хотите затестить ваше приложение на Alt-овом докере )) ?

chipitsine avatar Feb 08 '22 07:02 chipitsine

Там не из коробки, но можно установить соотв. пакеты. Вот пример

$ docker run --rm -it alt:sisyphus
[root@33237fb380af /]# apt-get update -y
[root@33237fb380af /]# apt-get install -y openssl openssl-gost-engine
[root@33237fb380af /]# control openssl-gost enabled
[root@33237fb380af /]# openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine
[root@33237fb380af /]# openssl version
OpenSSL 1.1.1l  24 Aug 2021

vt-alt avatar Feb 08 '22 08:02 vt-alt

Если делать докерный образ, то его может быть осмысленно на основе патченного openssl с поддержкой TLS 1.3

beldmit avatar Feb 08 '22 08:02 beldmit

да его хоть из чего можно делать. вопрос в точке пересечения интересов. где будет лежать этот докерфайл ? прямо в репозитории gost-engine/engine ? ну и надо бы не забыть прокинуть мостик в плане, чтобы те, кто ищут докер, его нашли (а то они уйдут в rnixik как сейчас)

chipitsine avatar Feb 08 '22 08:02 chipitsine

мне лично вполне подошел бы Alt-овый образ (при наличии документации). но может, действительно, отдельный запилить

chipitsine avatar Feb 08 '22 08:02 chipitsine

Ну я бы клал в соседнем репозитории в том же gost-engine

beldmit avatar Feb 08 '22 08:02 beldmit

пусть пока этот баг помаринуется, надо дать ему устояться, чтобы принять взвешенное решение ))

@beldmit , можете дать ссылочку на патчи TLS1.3 ? я на досуге попробую запилить докерфайл

chipitsine avatar Feb 08 '22 09:02 chipitsine

https://github.com/gost-engine/engine/tree/ossl_patched

beldmit avatar Feb 08 '22 09:02 beldmit

https://github.com/gost-engine/engine/tree/ossl_patched

А есть ли патчи для 3.0? А то мы хотим собрать 3.0 в Альт.

vt-alt avatar Feb 10 '22 13:02 vt-alt

Нет. Там надо как минимум конвертировать engine в провайдер, а это геморрой.

beldmit avatar Feb 10 '22 13:02 beldmit

А там разве не осталась поддержка engine? Или её теперь недостаточно?

glebfm avatar Feb 10 '22 13:02 glebfm

Там осталась поддержка engine. Но я чрезвычайно сомневаюсь, что апстрим согласится на поддержку новых шифров (MGM-режимов) через механизм engine, потому что желание похоронить engine достаточно сильное.

beldmit avatar Feb 10 '22 13:02 beldmit

Нет. Там надо как минимум конвертировать engine в провайдер, а это геморрой.

Предлагаю сделать таск-листы по доработке провайдера и изменениям в openssl для tls-1.3. Патчей в openssl может потребоваться чуть меньше, если настраивать одновременно и провайдер, и движок. У меня таким образом получилось создать ключ в зашифрованном PKCS8 без всяких патчей, хотя ни движок, ни провайдер по отдельности не работают.

yanovich avatar Aug 31 '22 14:08 yanovich

https://github.com/gost-engine/engine/issues/388 - вот таск лист

beldmit avatar Aug 31 '22 14:08 beldmit