<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">

<html lang="en">

<head>

<meta content="text/html; charset=US-ASCII" http-equiv="Content-Type">

<title>

GitLab

</title>

<style>img {

max-width: 100%; height: auto;

}

</style>

</head>

<body>

<div class="content">

<p style="color: #777777;">

<a href="https://gitlab.com/andrew-aladev">Andrew Aladjev</a>

commented:

</p>

<div style="">

<blockquote dir="auto">

<p>E.g., if you see an x.509 cert mentioning a public GOST DSA key, should you refuse to use it? If you don't trust the judgement of the CA that issues certs for GOST DSA keys, you probably shouldn't rely on that CA at all.</p>

</blockquote>

<p dir="auto">I see, you are talking about <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=1567114" rel="nofollow noreferrer noopener" target="_blank">MITM on all HTTPS traffic in kazakhstan</a>, it was fixed by Google and Mozilla by <a href="https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/" rel="nofollow noreferrer noopener" target="_blank">blocking national CA</a>. After that chrome and firefox with national CA almost stopped working. It provided a <strong>great damage</strong>, so government quickly removed this certificate and apologized.</p>

<p dir="auto">This situation is another. I don't trust gost s-boxes because there is no information about their genesis. BTW there is a law in russia that can force any company to use another s-boxes provided by federal agency. They can provide strong or weak s-boxes.</p>

<blockquote dir="auto">

<p>For Gnutls, having support for gost curves disabled by default seems like a reasonable and conservative choice to me.</p>

</blockquote>

<p dir="auto">Gnutls is not the only program depending on nettle. Why not to include same disabled by default option for nettle? I can provide patches to disable by default old abandoned algorithms like MD4, sh1, etc if required.</p>

<blockquote dir="auto">

<p>TLS connections to government web servers? Client certs only, or also server certs?</p>

</blockquote>

<p dir="auto">It is a part of national internet project (cheburnet) with gost only cryptography and single national CA. All laws has already been signed. The only way to brake it is to use the power of default. If gost will be disabled by default in all software - cheburnet won't be turned on, because it will provide <strong>great damage</strong>.</p>

</div>

</div>

<div class="footer" style="margin-top: 10px;">

<p style="font-size: small; color: #777;">

—

<br>

Reply to this email directly or <a href="https://gitlab.com/gnutls/gnutls/issues/942#note_292269234">view it on GitLab</a>.

<br>

You're receiving this email because of your account on gitlab.com.

If you'd like to receive fewer emails, you can

<a href="https://gitlab.com/sent_notifications/ed15817871e26c556a0655abce690f36/unsubscribe">unsubscribe</a>

from this thread or

adjust your notification settings.

<script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","action":{"@type":"ViewAction","name":"View Issue","url":"https://gitlab.com/gnutls/gnutls/issues/942#note_292269234"}}</script>

</p>

</div>

</body>

</html>