feature request: построение комьюнити с docker-образами

[chipitsine]

по мотивам баг репорта от @rostislaved

из плюсов, есть весьма активное комьюнити в районе докера: rnixik

из минусов - докер собирают из ветки 1_1_1 (потому что так было в README)

ну и нет никакого заметного взаимодействия между gost-engine и докер-комьюнити.

есть мысль, выстроить более тесное взаимодействие в районе сценариев с докером

[chipitsine]

@vt-alt , docker входит в сферу интересов Alt Linux ? есть у Alt-а официальные докеры ?

[vt-alt]

@chipitsine Есть https://hub.docker.com/_/alt

[chipitsine]

а там прямо из коробки openssl с gost-engine (я не в курсе, честно) ?

я к чему, если есть интерес со стороны комьюнити к докеру, может доработать документацию (README ?) и написать туда про Alt ?

[chipitsine]

@rostislaved, не хотите затестить ваше приложение на Alt-овом докере )) ?

[vt-alt]

Там не из коробки, но можно установить соотв. пакеты. Вот пример

$ docker run --rm -it alt:sisyphus
[root@33237fb380af /]# apt-get update -y
[root@33237fb380af /]# apt-get install -y openssl openssl-gost-engine
[root@33237fb380af /]# control openssl-gost enabled
[root@33237fb380af /]# openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine
[root@33237fb380af /]# openssl version
OpenSSL 1.1.1l  24 Aug 2021

[beldmit]

Если делать докерный образ, то его может быть осмысленно на основе патченного openssl с поддержкой TLS 1.3

[chipitsine]

да его хоть из чего можно делать. вопрос в точке пересечения интересов. где будет лежать этот докерфайл ? прямо в репозитории gost-engine/engine ? ну и надо бы не забыть прокинуть мостик в плане, чтобы те, кто ищут докер, его нашли (а то они уйдут в rnixik как сейчас)

[chipitsine]

мне лично вполне подошел бы Alt-овый образ (при наличии документации). но может, действительно, отдельный запилить

[beldmit]

Ну я бы клал в соседнем репозитории в том же gost-engine

[chipitsine]

пусть пока этот баг помаринуется, надо дать ему устояться, чтобы принять взвешенное решение ))

@beldmit , можете дать ссылочку на патчи TLS1.3 ? я на досуге попробую запилить докерфайл

[beldmit]

https://github.com/gost-engine/engine/tree/ossl_patched

[vt-alt]

https://github.com/gost-engine/engine/tree/ossl_patched

А есть ли патчи для 3.0? А то мы хотим собрать 3.0 в Альт.

[beldmit]

Нет. Там надо как минимум конвертировать engine в провайдер, а это геморрой.

[glebfm]

А там разве не осталась поддержка engine? Или её теперь недостаточно?

[beldmit]

Там осталась поддержка engine. Но я чрезвычайно сомневаюсь, что апстрим согласится на поддержку новых шифров (MGM-режимов) через механизм engine, потому что желание похоронить engine достаточно сильное.

[yanovich]

Нет. Там надо как минимум конвертировать engine в провайдер, а это геморрой.

Предлагаю сделать таск-листы по доработке провайдера и изменениям в openssl для tls-1.3. Патчей в openssl может потребоваться чуть меньше, если настраивать одновременно и провайдер, и движок. У меня таким образом получилось создать ключ в зашифрованном PKCS8 без всяких патчей, хотя ни движок, ни провайдер по отдельности не работают.

[beldmit]

#388 - вот таск лист