Re: Изменить настройки DPMS

2014-12-26 Пенетрантность Victor Wagner 
On Wed, 24 Dec 2014 19:58:13 +0300
Dmitrii Kashin free...@freehck.ru wrote:


  Последняя новая операционная система, которую мы имеем возможность
  наблюдать - это Android. И там мы видим тоже приняты все возможные
  меры, чтобы обеспечить изоляцию компонент и исключить необходимость
  координации между их разрабочиками.
 
 Да ну. Разве это новая система? К моменту появления Андроида куча
 линуксоидов уже запускала приложения в chroot-окружениях без особых
 проблем. Google, конечно, поставили принцип изоляции приложения в
 главный угол, но кардинально нового ничего не получилось.
 
 А если ещё особо пристально посмотреть на политику распространения
 приложений, то я бы сказал, что получилась эдакая новая Windows,
 только с репозиториями: теперь вирусы распространяются
 централизовано, а не абы как.

А что, Windows не система? Да, Android система скорее windows-подобная,
чем GMU/Linux-подобная, несмотря на использование линуксового ядра. 
Но мы там наблюдаем во-первых, отход от исчерапавшей себя CUA-парадигмы
GUI (правда, скорее вынужденый, из-за маленьких экранов ранних
смартфонов. Сейчас-то они уже превзошли по разрешению десктопные
мониторы 10-15-летней давности), во-вторых новую систему
межпрограммного взаимодействия. 

Конечно, андроиду сильно не хватает грамотной работы с фоновыми
задачами. Но тем не менее, интересные идеи там есть.

Собственно, чего нет у Hurd, но было у Plan9, Windows NT и Android -
это попытки привнести что-то новое во взаимодействие пользователя и
компьютера. Поэтому и не взлетит - нет изюминки для end-user-а.

 не работают именно по этой причине. Каждое стремится быть
 самодостаточным и мочь делать всё, что неизбежно ведёт к повторению
 кода, в то время как Java-машина и сама по себе кушает довольно
 прилично.

Ой, чья бы корова мычала. а наша линуксовая бы молчала. Сколько у нас в
системе (хрен с ним с репозиторием дистрибутива, только  в примерно
тысяче установленных пакетов) реализаций HTTP-клиента? А виджета
редактирования текста?

Кстати, не исключено что потенциал для Next Big Thing имеет как раз та
система, в которой переиспользование подобных штук будет простым и
естественным и независимым от языка (андроид тут как раз плох своей
моноязычностью).

 


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20141226113113.561d0f75@fafnir

Re: Отечественная криптография

2014-12-26 Пенетрантность Victor Wagner 
On Thu, 25 Dec 2014 21:14:03 +0300
Max Dmitrichenko dmitr...@gmail.com wrote:

 25 декабря 2014 г., 19:21 пользователь Никита Егоров
 khenarg...@gmail.com написал:
  Имено с отечественной сертификацией дела не имел, поӕтому
  проесните, по какому алгоритму КриптоПРО подписывает документы?
 
 Какие могут быть альтернативы? Только ГОСТ.

Альтернативы есть. Есть ГОСТ Р 34.10-2001 и ГОСТ Р.34.10-2012. В
последнем предусмотрены ключи размером 256 бит и 512. Для 256 битных
ключей предусмотрено 3 набора параметров (совпадающих для обоих гостов)
и 5 их обозначений, для 512-битных - два набора параметров.


 Мне кажется, что сейчас придет Vitus Wagner и всё расскажет. Сто лет я
 уже не был в d-r, но если я правильно ошибаюсь, он даже в соавторах к
 RFC на GOST ) А значит, скорее всего, имеет отношение к разработке

Не, в соавторах RFC на ГОСТ меня нет. В соавторах тех RFC, которые
представляют собой просто перевод гостов, есть моя жена.

А я всего лишь автор той реализации, которая включена в дистрибутив
OpenSSL. И то уже с тех пор как я этим занимался, появились
неофициальные патчи, написанные другими людьми,
реализующие алгоритмы 2012 года.

В общем, общий принцип такой:

Для работы с юридически значимой электронной подписью нужно не просто,
чтобы поддерживался алгоритм ГОСТ, нужна сертифицированная ФСБ
реализация (это называется СКЗИ - средство криптографической защиты
информации). В сертификаты квалифицированной электронной подписи
полагается вписывать расширение, которое содержит название
используемого СКЗИ.  То есть по хорошему счету сертификат на ключ
выдается для использования в определенном программном средстве и никак
иначе. Все, естественно, нарушают, но...

На рынке существуют минимум три сертифицированных СКЗИ, которые работают
в Debian. (возможно больше, но я внимательно этот вопрос не изучал).

1. Magpro CryptoPacket фирмы КриптоКом - модуль gost  в OpenSSL
делался специально для того, чтобы можно было заменить его на
сертифицированную engine MagPro CryptoPacket поменяв одну строчку в
конфиге OpenSSL. Но все оказалось не так просто - для того чтобы
соответствовать требованиям сертификации, нужно чтобы libcrypto.so и
libssl.so тоже были из комплекта Криптопакета и их контрольные суммы
соответствовали приведенным в формуляре лицензионного СКЗИ.

2. CryptoPro CSP. Там не стали пытаться вписаться в существюущие
инфраструктуры криптобиблиотек Unix, а просто собрали под Unix CSP с
его микрософтовским API - пользуйся как хочешь. Хотя какие-то утилиты и
по-моему модуль с реализацией TLS для апача у них есть.

3. ЛИРССЛ фирмы LISSI - тоже изделие на базе OpenSSL. На сайте они
утверждают что уже сертифицировали алгоритмы 12-года. (у криптопро
версия 4.0 уже в стадии публичного бетатестирования, но еще не
сертифицирована)

Это что касается чисто программных решений. Есть еще
Рутокен фирмы Aktiv. Там поставляется PKCS11 модуль, который работает в
Linux и приведены инструкции по использованию токена с OpenSSL.


Изготовить заявку на сертификат, удовлетворяющую требованиям
российского законодательства с помощью OpenSSL вполне можно. Но
потребуется немножко повозиться. Во-первых, нужно будет научиться
генерировать с помощью OpenSSL заявки, содержащие русские буквы в полях
DN. Там это довольно замысловато и по умолчанию не включено.
Во-вторых, нужно знать и прописать в конфиг OpenSSL OID-ы для
специфически российских сущностей, таких как СНИЛС, ИНН и ОГРН, которые
в сертификатах квалифицированной электронной подписи, насколько я знаю,
обязательны.

Поставляют ли вышеуказанные поставщики сертифицирвоанных решений
какие-то инструменты, облегчающие эту задачу, я не в курсе. Я из
криптокома ушел уже 4 года назад, и внимательно за развитием продуктов
не следил.

Вот некоторые выжимки из конфига openssl с одной из моих тестовых машин
Утверждать что там все правильно не буду. Заявки, сгенерированные с
использованием этого конфига я еще не давал на подпись в настоящие УЦ.
По значениям приведенных OID-ов можно нагуглить документы,
регламентирующие их использование. 

[ new_oids ]
# Russian pension security number. Numeric string
SNILS = 1.2.643.100.3
# Organization number in the state registry (for organizations or individual
# businessmen) Numeric string
OGRN = 1.2.643.100.1
# Individual insurance number  (Numeric String)
INN = 1.2.643.3.131.1.1
# cert extension to indicate subject sign tool (value - utf8 string)
subjectSignTool=1.2.643.100.111
# sequence of four utf8 strings 
issuerSignTool=1.2.643.100.112
#POLICY idendentifiers for russian cryptography certification classes
# if policy includes oid of more secure class, it shoud  include all
# identifiers of all less secure classes. I.e KC2 - both KC1 and KC2, 
# most secure KA1 - all six
KC1=1.2.643.100.113.1
KC2=1.2.643.100.113.2
KC3=1.2.643.100.113.3
KB1=1.2.643.100.113.4
KB2=1.2.643.100.113.5
KA1=1.2.643.100.113.6

[ req ]
# Default_bits parameter is applicable for RSA only
default_bits= 2048
default_keyfile = privkey.pem
distinguished_name  = rus_dn

Стабильность wheezy

2014-12-26 Пенетрантность Mikhail Ramendik 
Всем привет!

Некая проприетарщина хочет wheezy (на предмет версии glibc). Если кому
интересно - stencyl.

Но машинка, о которой речь - медиастанция, в первую очередь для детей.
Я сам сажусь за клавиатуру очень редко.

Вопрос - достаточно ли jessie стабильна для данного применения, или
пока что нет? Чего я боюсь:

- Подводных камней в широко используемых пакетах (из нетипичных у меня
icewm и chromium, хотя icewm настолько давно не обновляли upstream,
что я бы там проблем не ожидал)

- Ситуации нашёл 15 минут, прогнал apt-get update  apt-get upgrade,
система рассыпалась, пришлось полночи разбираться

Насколько велика вероятность на то или другое напороться?

И ещё, чем её лучше ставить на девственный диск - debootstrap или
debian-installer?

-- 
Yours, Mikhail Ramendik

Unless explicitly stated, all opinions in my mail are my own and do
not reflect the views of any organization

Re: Стабильность wheezy

2014-12-26 Пенетрантность Stanislav Vlasov 
26 декабря 2014 г., 18:31 пользователь Mikhail Ramendik
m...@ramendik.ru написал:
 Но машинка, о которой речь - медиастанция, в первую очередь для детей.
 Я сам сажусь за клавиатуру очень редко.

 Вопрос - достаточно ли jessie стабильна для данного применения, или
 пока что нет? Чего я боюсь:

Недавно обновил wheezy-jessie на ноуте дочери, используемом как домашний комп.

Из подводных камней только проблемы с radeon (чёрный экран после
любого suspend), но так как комп - домашний по факту, то просто
запретил засыпать.
В работе прикладного софта проблем не обнаружено.

-- 
Stanislav

Re: Отечественная криптография

2014-12-26 Пенетрантность Victor Wagner 
On Fri, 26 Dec 2014 16:27:04 +0300
Max Dmitrichenko dmitr...@gmail.com wrote:

 26 декабря 2014 г., 16:13 пользователь Victor Wagner
 vi...@wagner.pp.ru написал:
  При том, что в принципе эта подпись нужна для того, чтобы прийти с
  ней в суд и доказывать на ее основании что что-то там было, или не
  было.
 
 Нет, не только для этого она нужна.

В том числе и для этого. И только для этого - юридически
квалифицирвоанная.

 
  Если эта подпись имеет сертификат ФСБ, значит экспертная оценка
  компетентными органами уже произведена.
 
 Как подпись может иметь сертитфикат ФСБ? Это СКЗИ может иметь, да. Но

Ну конечно же то, чем выработано подпись.

 
 Если одна из сторон - государство, то лазеек нет. Но есть другая
 лазейка. Доказать, что тот или иной документ был подписан до срока
 истечения действия сертификата или до даты отзыва - нельзя. Таким

Можно. На то есть CAdEX. RFC 5126. Соответственно, можно сгенерировать
такую подпись, в которой будет присутствовать доказательство того, что
она сгенерирована не позже определенного срока, и в момент ее генерации
сертификат не был отозван. Правда, потребуется online взаимодействие с
УЦ и timestamping authority.

Но вообще-то проблемы неотрекаемости (non-repudiation) никакой
российской специфики не имеют, и поэтому можно спокойно изучать этот
вопрос по западной литературе.


  Какие проблемы? Нет никаких проблем. Всех active-x элемент
  certenroll (а тогда еще  xenroll) устраивает. Не понимаю чем он вам
  не понравился
  - честная микрософтовская утилита.
 
 Нужно иметь винду, чтобы ей воспользоваться. А даже на виндовых компах
 у меня нет IE... выкручиваюсь IE Tab'ом, конечно, но...

А вот IE иметь совершенно не обязательно. Я как-то писал генерилку
заявок на базе CertEnroll в виде GUI-шного скрипта на Tcl/Tk. И видел
разнообразный код, вызвывающий методы CertEnroll из командно-строчных
программ на Visual C.

P.S на письма не имеющие Cc: в рассылку, больше отвечать не будю


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/20141226174202.2a274828@fafnir

Re: Отечественная криптография

2014-12-26 Пенетрантность Max Dmitrichenko 
26 декабря 2014 г., 17:42 пользователь Victor Wagner
vi...@wagner.pp.ru написал:
 Можно. На то есть CAdEX. RFC 5126. Соответственно, можно сгенерировать
 такую подпись, в которой будет присутствовать доказательство того, что
 она сгенерирована не позже определенного срока, и в момент ее генерации
 сертификат не был отозван. Правда, потребуется online взаимодействие с
 УЦ и timestamping authority.

Да, про CAdeS я читал. Я имею ввиду, что законодательно такой механизм
у нас не закреплен, соотв. договориться о его использовании с другой
стороной будет трудно, ибо мало кто вообще в этом чего-то понимает. Ну
и в суде потом придется привлекать экспертов, а то судья вряд ли
захочет знакомиться с Алисой и Бобом )

 А вот IE иметь совершенно не обязательно. Я как-то писал генерилку
 заявок на базе CertEnroll в виде GUI-шного скрипта на Tcl/Tk. И видел
 разнообразный код, вызвывающий методы CertEnroll из командно-строчных
 программ на Visual C.

Если ты сам пишешь, то да. А если тебе дают уже готовое и говорят пользуйся?

Re: Отечественная криптография

2014-12-26 Пенетрантность Max Dmitrichenko 
26 декабря 2014 г., 16:13 пользователь Victor Wagner
vi...@wagner.pp.ru написал:
 Проблемы возникают если у кого-то секретный ключ помечен как not
 exportable и его нельзя вместе с сертификатом выгрузить в PKCS#12 и
 проимпортировать куда угодно. Но это чисто российская паранойя.

Это исключительно программное ограничение. Говорят, что есть утилиты,
которые игнорируют данный флажок. То, что ключ от туда вычитывается -
это 100%, по понятным причинам. Исключение составляют носители с СКЗИ
на борту, там действительно неизвлекаемость гарантируется.

Re: Стабильность wheezy

2014-12-26 Пенетрантность Ivan Shmakov 
 Mikhail Ramendik m...@ramendik.ru writes:

  Некая проприетарщина хочет wheezy (на предмет версии glibc).  Если
  кому интересно — stencyl.

  Но машинка, о которой речь — медиастанция, в первую очередь для
  детей.  Я сам сажусь за клавиатуру очень редко.

  Вопрос — достаточно ли jessie стабильна для данного применения, или
  пока что нет?

Так все же, — Jessie или Wheezy?

Учитывая состоявшийся freeze, Jessie кажется достаточно
стабильной.  Оговорюсь, впрочем, что за ситуацией ныне не слежу.

Как вариант — создать chroot-окружение, отказ которого уже не
будет столь критичен, как отказ системы в целом.

[…]

  И ещё, чем её лучше ставить на девственный диск - debootstrap или
  debian-installer?

FWIW, я всегда использую именно debootstrap(8).  В свое время
даже небольшую инструкцию подготовил [1].

[1] https://ru.wikibooks.org/wiki/Установка_Debian

-- 
FSF associate member #7257  np. Coming Home — Iron Maiden 3013 B6A0 230E 334A


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/873882fc38@violet.siamics.net

Re: Стабильность wheezy

2014-12-26 Пенетрантность Max Dmitrichenko 
26 декабря 2014 г., 22:24 пользователь Ivan Shmakov i...@siamics.net написал:

 Так все же, — Jessie или Wheezy?

 Учитывая состоявшийся freeze, Jessie кажется достаточно
 стабильной.  Оговорюсь, впрочем, что за ситуацией ныне не слежу.

https://bugs.debian.org/release-critical/ - на текущий момент
найденных release critical багов больше в wheezy. Как только зеленый
график ударит об ноль, будет релиз. Касательно решения что ставить,
советовать не буду.

Re: Изменить настройки DPMS

2014-12-26 Пенетрантность Mikhail Ramendik 
2014-12-24 6:30 GMT+00:00 sergio mail...@sergio.spb.ru:

 Но потребовалось изменить настройки DPMS, чтобы экран вырубался только
 через полчаса.

 Для начала, надо выяснить, кто последний настраивает таймауты.

А кто это может быть, кроме xscreensaver? Я его не использую, поэтому
я просто снесу его пакет и дело в шляпе.

 Я в курсе про команду xset. Но мне надо настроить один раз и насовсем.

 К сожалению, раз и насовсем не получится, заблокировать изменение
 настроек нельзя и кто угодно может их менять.

По барабану, если это делается только с командной строки. Тут её
никто, кроме меня, не умеет. А меню icewm прибито гвоздиком.

Да, я хочу именно такой user experience. Всё, что им надо - в одном
меню. Всё, что им не надо - пожалуйста, в командную строку. Хуже
всего, правда, с монтированием и размонтированием флешек, но как-то
справляемся с костылями - ради одного этого ставить целый DE и
периодически решать проблемы класса я что-то не знаю куда драгнул и
дропнул я не хочу.

-- 
Yours, Mikhail Ramendik

Unless explicitly stated, all opinions in my mail are my own and do
not reflect the views of any organization

[DONE] wml://security/20{06/dsa-1066,06/dsa-1098,07/dsa-1245,07/dsa-1393,08/dsa-1528,09/dsa-1933,12/dsa-2422,12/dsa-2525,06/dsa-1055,07/dsa-1373,08/dsa-1546,10/dsa-2111,04/dsa-571,05/dsa-660,05/dsa-80

2014-12-26 Пенетрантность Lev Lamberov 
Cheers!
Lev Lamberov
--- english/security/2004/dsa-571.wml	2004-10-20 23:01:26.0 +0600
+++ russian/security/2004/dsa-571.wml	2014-12-26 21:49:44.618879262 +0500
@@ -1,19 +1,21 @@
-define-tag descriptionbuffer overflows, integer overflow/define-tag
+#use wml::debian::translation-check translation=1.1 maintainer=Lev Lamberov
+define-tag descriptionпереполнение буфера, переполнение целых чисел/define-tag
 define-tag moreinfo
-pSeveral integer overflows have been discovered by its upstream
-developers in libpng, a commonly used library to display PNG graphics.
-They could be exploited to cause arbitrary code to be executed when a
-specially crafted PNG image is processed./p
+pНесколько переполнений целых чисел были обнаружены разработчиками
+основной ветки разработки в libpng, широко используемой библиотеке для отображения графики в формате PNG.
+Эти уязвимости могут использоваться для выполнения произвольного кода при
+обработке специально сформированных изображений в формате PNG./p
 
-pFor the stable distribution (woody) these problems have been fixed in
-version 1.2.1-1.1.woody.9./p
+pВ стабильном выпуске (woody) эти проблемы были исправлены в
+версии 1.2.1-1.1.woody.9./p
 
-pFor the unstable distribution (sid) these problems have been fixed in
-version 1.2.5.0-9./p
+pВ нестабильном выпуске (sid) эти проблемы были исправлены в
+версии 1.2.5.0-9./p
 
-pWe recommend that you upgrade your libpng3 packages./p
+pРекомендуется обновить пакеты libpng3./p
 /define-tag
 
 # do not modify the following line
 #include $(ENGLISHDIR)/security/2004/dsa-571.data
 # $Id: dsa-571.wml,v 1.1 2004/10/20 17:01:26 joey Exp $
+
--- english/security/2005/dsa-660.wml	2011-05-26 16:05:43.0 +0600
+++ russian/security/2005/dsa-660.wml	2014-12-26 21:52:42.446871224 +0500
@@ -1,19 +1,21 @@
-define-tag descriptionmissing return value check/define-tag
+#use wml::debian::translation-check translation=1.2 maintainer=Lev Lamberov
+define-tag descriptionотсутствие проверки возвращаемого значения/define-tag
 define-tag moreinfo
-pRaphaël Enrici discovered that the KDE screensaver can crash under
-certain local circumstances.  This can be exploited by an attacker
-with physical access to the workstation to take over the desktop
-session./p
+pРафаэль Энричи обнаружил, что хранитель экрана KDE может аварийно завершить свою
+работу при определённых обстоятельствах.  Данная проблема может использоваться злоумышленником,
+имеющим физический доступ к рабочей станции, для того, чтобы получить контроль на
+сессией./p
 
-pFor the stable distribution (woody) this problem has been fixed in
-version 2.2.2-14.9./p
+pВ стабильном выпуске (woody) эта проблема была исправлена в
+версии 2.2.2-14.9./p
 
-pThis problem has been fixed upstream in KDE 3.0.5 and is therefore
-fixed in the unstable (sid) and testing (sarge) distributions already./p
+pДанная проблема была исправлена в основной ветке разработки в KDE 3.0.5, а потому
+она уже исправлена в нестабильном (sid) и тестируемом (sarge) выпусках./p
 
-pWe recommend that you upgrade your kscreensaver package./p
+pРекомендуется обновить пакет kscreensaver./p
 /define-tag
 
 # do not modify the following line
 #include $(ENGLISHDIR)/security/2005/dsa-660.data
 # $Id: dsa-660.wml,v 1.2 2011/05/26 10:05:43 rhonda Exp $
+
--- english/security/2005/dsa-808.wml	2005-09-14 01:38:58.0 +0600
+++ russian/security/2005/dsa-808.wml	2014-12-26 21:55:08.154864638 +0500
@@ -1,20 +1,22 @@
-define-tag descriptiondesign error/define-tag
+#use wml::debian::translation-check translation=1.2 maintainer=Lev Lamberov
+define-tag descriptionошибка разработки/define-tag
 define-tag moreinfo
-pYutaka Oiwa and Hiromitsu Takagi discovered a Cross-Site Request
-Forgery (CSRF) vulnerability in tdiary, a new generation weblog that
-can be exploited by remote attackers to alter the users information./p
+pЮтака Оива и Ниромитсу Такаги обнаружили подделку межсайтового
+запроса (CSRF) в tdiary, веб-блоге нового поколения, которая может
+использоваться удалёнными злоумышленниками для изменения пользовательской информации./p
 
-pThe old stable distribution (woody) does not contain tdiary packages./p
+pВ предыдущем стабильном выпуске (woody) пакеты tdiary отсутствуют./p
 
-pFor the stable distribution (sarge) this problem has been fixed in
-version 2.0.1-1sarge1./p
+pВ стабильном выпуске (sarge) эта проблема была исправлена в
+версии 2.0.1-1sarge1./p
 
-pFor the unstable distribution (sid) this problem has been fixed in
-version 2.0.2-1./p
+pВ нестабильном выпуске (sid) эта проблема была исправлена в
+версии 2.0.2-1./p
 
-pWe recommend that you upgrade your tdiary packages./p
+pРекомендуется обновить пакеты tdiary./p
 /define-tag
 
 # do not modify the following line
 #include $(ENGLISHDIR)/security/2005/dsa-808.data
 # $Id: dsa-808.wml,v 1.2 2005/09/13 19:38:58 joey Exp $
+
--- english/security/2005/dsa-841.wml	2005-10-04 20:06:39.0 +0600
+++ russian/security/2005/dsa-841.wml	2014-12-26 21:57:20.714858646 +0500
@@