<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">

<html lang="en">

<head>

<meta content="text/html; charset=US-ASCII" http-equiv="Content-Type">

<title>

GitLab

</title>

<style>img {

max-width: 100%; height: auto;

}

</style>

</head>

<body>

<div class="content">

<p style="color: #777777;">

<a href="https://gitlab.com/nielsmoller">Niels Möller</a>

commented:

</p>

<div style="">

<p dir="auto">About Nettle, my thinking is that there's no harm in having support for some weak/broken/untrusted algorithms. And that it's the library or application that does algorithm selection that is responsible for only using appropriate algorithms. Besides gosthash, we have MD4, single DES, ... Those should be used only when required for interop with old stuff.</p>

<p dir="auto">Gost ecc curves are perhaps a different matter, since they appear to meet current security requirements (unless one suspects parameters have been doctored in some clever way), and it therefore seems more likely that applications may want to support them by default. E.g., if you see an x.509 cert mentioning a public GOST DSA key, should you refuse to use it? If you don't trust the judgement of the CA that issues certs for GOST DSA keys, you probably shouldn't rely on that CA at all. And there may be other use cases, e.g., DH exchange using GOST curves. I don't have the full picture. But the choice is still fully under control of the library or application that uses Nettle.</p>

<p dir="auto">For Gnutls, having support for gost curves disabled by default seems like a reasonable and conservative choice to me. When are gost curves used? TLS connections to government web servers? Client certs only, or also server certs?</p>

</div>

</div>

<div class="footer" style="margin-top: 10px;">

<p style="font-size: small; color: #777;">

—

<br>

Reply to this email directly or <a href="https://gitlab.com/gnutls/gnutls/issues/942#note_292097250">view it on GitLab</a>.

<br>

You're receiving this email because of your account on gitlab.com.

If you'd like to receive fewer emails, you can

<a href="https://gitlab.com/sent_notifications/c1e62b0836d38cd23a42c12eff40538d/unsubscribe">unsubscribe</a>

from this thread or

adjust your notification settings.

<script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","action":{"@type":"ViewAction","name":"View Issue","url":"https://gitlab.com/gnutls/gnutls/issues/942#note_292097250"}}</script>

</p>

</div>

</body>

</html>