Магическая коробочка для защиты телефонного разговора от прослушки.
Естественно, что-то защищает только если она на обоих сторонах.

Брюс Шнайер утверждает: I'd use it.

Лично мне не нравится то что для подтверждения отсутствия MiTM требуется опознавать голос собеседника.

Утверждается что все ПО Open Source и открыто для аудита. Интересно, появится ли программная реализация для андроида. Программную я бы себе поставил, а платить денег за железяку, да ещё возиться с её подзарядкой - жалко.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1005276.html. Please comment there using OpenID. Now there are comments

Брюс Шнайер попал в фанфик. К счастью, не слэш.

https://www.schneier.com/blog/archives/2014/08/chapter_137_of_.html

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1002093.html. Please comment there using OpenID. Now there are comments

Тут на сайте российской общественной инициативы появилась новая инициатива

https://www.roi.ru/8485/

сделать так, чтобы можно было работать с налоговыми документами на сайте госуслуг не только из Эксплорера.

Что в общем-то в первую очередь требует поддержки российской криптографии в альтернативных браузерах. То есть - в libnss (которой нынче пользуются и Мозилла, и Chrome/Opera).

Ну может на волне санкций и опоры на собственные силы найдутся денежки на это.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1000708.html. Please comment there using OpenID. Now there are comments

Чего-то в течение трех дней в любую минуту, свободную от основной работы (в том числе и по вечерам, вместо писания "Императрицы Кэт") вожусь с ctypescrypto.

Выяснил что то что там было написано. работать в общем-то толком и не могло. А где могло, там его функциональность полностью дублирована hashlib-ом. Но по аналогии теперь у меня работает все что было якобы написано у оригинального автора, да плюс еще ряд операций с открытыми ключами.
(низкоуровневых, которые EVP_PKEY_...). Еще бы неплохо сгенеренные ключи сохранять научиться.

В принципе приделать еще извлечение открытого ключа из сертификата (на предмет низкоуровневой проверки подписи на этом ключе), и для текущего проекта мне функциональности хватит.

Хотя на самом деле от сертификатов хочется больше - получить, наконец, корректную и удобую извлекалку полей из X509NAME и extension - в первую очередь.

Тестами покрыто процентов на 20 от силы. (что в бесконечное число раз лучше оригинала).

Правда, вот чего мне непонятно. Есть функция EVP_CipherInit_ex, которая получает в качестве параметров указатели на ключ и iv. Длин этих буферов не получает, видимо предполагая, что если оно не NULL то там не меньше чем EVP_CIPHER_key_length(текущий шифр). Я делаю контекст AES-256-OFB, передаю туда питоновскую строку из 8 символов, а оно не падает. Ни в 32-битной среде, ни в 64-битной. И под электрическим забором - тоже. Но не падает это ладно. Оно ж еще и расшифровывается потом на совсем другом независимо созданном контексте с тем же урезанным ключом.

В общем, если кому интересно https://github.com/vbwagner/ctypescrypto

This entry was originally posted at http://vitus-wagner.dreamwidth.org/985554.html. Please comment there using OpenID. Now there are comments

Сегодня открыл для себя существование в питоне модуля сtypes.

А так же то, что некоторые добрые люди выложили на Google Code интерфесы к некоторым интересным мне функциям OpenSSL, сделанные посредством этого модуля.

Конечно, у них
а) в 64-битном линуксе ничего не работает и злобно сегфолтится (проблема лечится буквально несколькими строчками, я им багрепорт написал)
б) OpenSSL-евские сообщения об ошибках в питон не пробрасываются (тут уже изменения посерьезнее, надо логику работы немножко менять).
в) интерфейса для подгрузки энджина с гостовскими алгоритмами не написано (ну тоже на полчаса мероприятие).

Теперь вот сижу рисую интерфейс к низкоуровневым фукнциям подписи и проверки (включая доставание ключа из сертификата). Чтобы избавиться в текущем проекте от вызова openssl через subprocess совсем. Оставлю только вызов openssl cms -verify.

Не то чтобы я собрался по этому поводу совсем отказываться от использования pyasn1. хотя часть функциональности явно будет дублироваться. Но боюсь, что нужные мне извраты с ASN1 через ctypes не сделать - в OpenSSL в этом месте очень любят препроцессор.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/984617.html. Please comment there using OpenID. Now there are comments