громаднейшее количество багов

именно из-за того, что он БОЛЬШОЙ

...и теперь посмотри на историю того же SSL/TLS

И что? Я на неё и смотрю.

Именно!

детище комитетов 80-х

Поэтому — маленький

ВСЁ ТАК!

А ng_crpyto который сможет обработать все возможные хотелки — он будет ровно с SSL/TLS размером. И 100500 хуков для конфигурации что во что вкладывать

Именно это я и пишу :-)

А ng_crpyto который сможет обработать все возможные хотелки — он будет ровно с SSL/TLS размером. И 100500 хуков для конфигурации что во что вкладывать

да щазз

тупо два хука, crypted и plaintext

Ну не хуков, а ctl messages

в один влетел, в другой вылетел, действие очевиндо

а ВСЯ настройка - снаружи

именно чтоб он был проще

а ВСЯ настройка - снаружи

А внутри 100500 if'ов

именно чтоб он был проще

Ещё проще — весь код без if'ов внутри вообще, не так ли?

И никакой настрйоки кроме ключа.

А протокол один.

И формат пакета один

Который нужен именно WireGuard.

ng_wg

А внутри 100500 if'ов

зачем?..

зачем?..

Ну ты же хочешь сделать универсальный ng_crypto

выбрать метод по таблице

зачем?..

Или я с самого начала тебя не так понял :-)

Ну ты же хочешь сделать универсальный ng_crypto

универсальный он в смысле "уметь не только AES, но и чачу, и проч."

выбрать метод по таблице

Проще выбрать тип ноды при создании, как по мне. Что бы нода была вообще тупая до предела

а так его функция тупейшая - расшифровать-зашифровать один пакет

никаких хэндшейков и пр.

универсальный он в смысле "уметь не только AES, но и чачу, и проч."

Ну, там же не только алгоритм. Там пэддинг, MAC, всё остальное. Тоже как-то настраивать будем?

Где остановимся?

Реализуем все крипто-RFC?

В одной ноде?

ты идеологию нетграфа понимаешь?

Или первые 5?

ты идеологию нетграфа понимаешь?

Да.

это примерно как пайпы в шелле

это примерно как пайпы в шелле

Да-да. Но только криптопакет не определяется алгоритмом и ключом.

нужно тебе к пакету довесить дополнительно мак - сделай это следующей нодой

А определяется ещё некоторыми неотъемлемыми параметрами

пэддинг конечно внутри, но это несложно

нужно тебе к пакету довесить дополнительно мак - сделай это следующей нодой

Нет, это так не работает в современных протоколах. AEAD-конструкция неделима

В общем, мне кажется, делать по ноде на протокол лучше, чем ноду которая умеет всё, что у нас лежит в sys/crypto

Нет, это так не работает в современных протоколах. AEAD-конструкция неделима

это не единственный подход, таки

это не единственный подход, таки

Да. Не единственный. И именно по этому пихать всю современную криптографию в одну ноду я считаю неправильным.

и не надо

критерий простой - пихается то что bulk

и тупое

Так а сколько надо? aes-X-gcm пихаем? ChaCha20-Poly1305 пихаем? А aes-X-cbc + HMAC? А почему нет?

А если пихаем aes-X-cbc но не пихаем HMAC то почему у aes-X-gcm MAC есть а у aes-C-cbc нет?

Хотя, если честно, подход с интерфейсом мне всё равно нравится больше. Чем демона ещё, граф этот строить и перестраивать регулярно. На линуксе, кстати, Wireguard сделан без аллокации памяти вообще. Ну, кроме пакетов самих, там не обойтись, конечно. С ng так не выйдет.

я тебе пример приведу, делал как-то товарищ с #freebsd ноду ng_patch для правки ровно одного байта, то ли ttl, то ли dscp, уж не помню

да вы хотя бы просто плайн текст отправку сделайте

там уж решите, что и куда пихать

если до этого дело дойдёт

так вот, он хотел сделать ноду ровно под это, я убедил его добавить поддержку ряда математических операций и произвольных байт пакета, ведь это было несложно, а делало применимость куда более generic

да вы хотя бы просто плайн текст отправку сделайте

Эээ, слушай, ну вообще-то надо начатьи менно с этого, конечно, но выбор между ng-нодами и интерфейсом надо сделать до этого.

все эти хотелки на личном энтузиазме так и разбиваются о несбыточные планы

так и тут, ты сделаешь под wg, а потом что-то новое выйдет, а нода более ни к чему не годна?

так вот, он хотел сделать ноду ровно под это, я убедил его добавить поддержку ряда математических операций и произвольных байт пакета, ведь это было несложно, а делало применимость куда более generic

В криптографии нет НЕ СЛОЖНО.

так и тут, ты сделаешь под wg, а потом что-то новое выйдет, а нода более ни к чему не годна?

Именно осмысленный код этой ноды — 30 строк. Выкинуть и написать новую, делов то.

с точки зрения пользователя? да запросто бывает НЕСЛОЖНО

Там бойлерплейта будет в 10 раз больше чем осмысленного кода

с точки зрения пользователя? да запросто бывает НЕСЛОЖНО

Но мы-то про точку зрения программиста.

ERROR: S client not available

охлол, конечно же нет

с точки зрения пользователя, мне проще сделать ifconfig bla-bla create

чем писать 200 строк в скрипте для нетграфа

с точки зрения пользователя, мне проще сделать ifconfig bla-bla create

вот с этим тоже согласен, и это для меня серьёзный аргумент

с точки зрения пользователя, мне проще сделать ifconfig bla-bla create

а потом ifconfig ужасный bloat внутри

или бинарь ipfw

вот с этим тоже согласен, и это для меня серьёзный аргумент

а mpd тебе сложен?

а mpd тебе сложен?

Ну вообще-то да. Не хотел бы я его писать.

и еще если юзать нетграф, то по хорошему его от локов надо избавлять ;)

Ну вообще-то да. Не хотел бы я его писать.

нет, как юзеру

у тебя же не ppp, всё гораздо проще будет

нет, как юзеру

Тоже не то что бы супер-прост. Но он решает куда более сложную задачу.

мпд я тоже писал когда-то давно, но без бэкграунда и чтения документации там непросто

потому что он умеет стопицот вариантов, так как это вытекает из природы ppp

ну устройте соревнование, один пишет псевдоинтерфейс, второй нетграф ноду

а в озвученном выше всё просто

вот устроили тут спор о кислом и сладком

На самом деле у меня вопрос есть более хитрый. У нас в ядре есть кусочки libsodium, но подключена только часть. Curve25519 не подключена. И если делать внешний модуль — не важно, набор нод или интерфейс — непонятно как с этим быть

а курва там для чего? рекей?

а курва там для чего? рекей?

Ну, весь диффи-хеллман на ней, да

Т.е. подключить в билд — не сложно

ну тогда это тем более отлично ложится на внешний демон в юзерспейсе

А вот как втащить во внешний модуль — непонятно

раз в 3 минуты два пакета - нагрузка тьфу

(кроме копипасты, конечно)

Тёма будет жить. Поприветствуем!

есть возможность зарегистрировать туннельный обработчик для UDP, но он будет вызван после всех проверок, на контрольные суммы в том числе

А что он дальше с этим udp сделает?

всё что душе угодно

ну просто, если делать ноду с именем типа ng_crypto то её можно будет реюзать в разных местах, и делать её стоит generic-образом - поддерживать разные алгоритмы, например

Вот сейчас автора wg в ядре пинают за то что он сделал свой велосипед zinc, а не переиспользовал crypto api.

например, кто угодно может захотеть построить на нетграфе какой-нибудь другой метод

Увы, на практике это случается примерно никогда