Hola Roberto,


El 20/07/2010, a las 11:50, Roberto S. G. escribió:

> Hola,
>
> Bueno, creo que finalmente estoy llegando al límite del error de PAPI
> 1.4.1 respecto a aserciones muy largas...
Recientemente hemos detectado este mismo que tu sufres, en un  
despliegue antiguo de PAPI que hicimos PAPI, en concreto, cuando el  
tamaño de la aserción de mayor de 440 caracteres se produce una  
violación de segmento. Por lo que hemos detectado que el error no se  
debe al tamaño de las claves como  "equivocadamente" te indiqué en un  
correo anterior. De hecho el tamaño de clave que se usa en el  
despliegue que te comento es 4096.

El bug lo hemos detectado en el fichero Crypt/papi_crypt.c, en la  
función "char *decrypt_pub_RSA(char *in, char *keyfile)", que es la  
que provoca la violación de segmento.

El problema es que PAPI-1.4 es una versión antigua y no tenemos tiempo  
suficiente para hacer test que revelen exactamente cual es el error.  
Por lo que nuestra recomendación es que migres a PAPI-1.5 que es la  
versión más reciente y a la que dedicamos todo el esfuerzo disponible  
en lo referente a la corrección de bug.


>
> En fin, que por ahorrarme trabajo, y como el "no" ya lo tengo de
> partida... digo yo que ¿no sería posible aplicar un parche a PAPI  
> 1.4.1
> para solucionar este problema?
Por nuestra parte no, ahora como siempre se dice en esto del software  
de fuentes abiertas, puede tratar de hacerlo tu.


Saludos!

>
> Saludos
>
> El 19/02/2010 13:15, Daniel García escribió:
>>
>>    Hola,
>>
>> El 18/02/2010, a las 0:02, Roberto S. G. escribió:
>>
>>> Hola,
>>>
>>> Nada, que me he encontrado con la sorpresa de que la función
>>>    PAPI::Crypt::encrypt_priv_RSA
>>> que se usa en AuthServer, me da cores cuando la aserción es  
>>> demasiado
>>> larga... estoy probando con una de 439 caracteres... como se pueden
>>> meter varios "ePE" de SIR, pues esto puede crecer mucho.
>> Si, este problema se debe al tamaño de las claves usadas para  
>> cifrar la
>> aserción.
>>>
>>> El caso es que no sé que hacer... porque en mi caso al menos  
>>> (Solaris 9)
>>> la instalación de PAPI ha generado una librería ".so" para  
>>> PAPI::Crypt,
>>> con lo que no hay código que pueda modificar...
>>>
>>> ¿Alguien ha notado algo similar?
>> Nosotros detectamos este problema hará un par de años, cuando las
>> aserciones empezaron ha hacerse más grande, y decidimos  
>> solucionarlo en
>> PAPI-1.5.
>> Como tu dices que el problema lo tienes en el AS, te puedes  
>> descargar el
>> AS de PAPI-1.5 y instalarlo, ya que este trocea la aserción antes de
>> cifrarla, para que no sea mayor que el tamaño de la clave.
>> El único inconveniente es que el otro extremo, es decir, GPoA o el  
>> PoA
>> debe ser también PAPI-1.5 para que sepa recomponer la aserción y
>> decifrarla.
>> En caso de que uses el AS para el SIR, no tendrás nigún tipo de  
>> problemas.
>>
>> En definitiva puedes descargar el PAPI-1.5 desde la forja:
>> http://forja.rediris.es/frs/?group_id=42
>>
>> Si tienes algún problema para descargarlo o para usarlo, no dudes en
>> preguntar de nuevo :D
>>
>>    Saludos!
>>
>>>
>>> Saludos
>>>
>>> PD:
>>> por cierto, mi Firefox me dice esto al tratar de descargar de la  
>>> web de
>>> rediris (http://papi.rediris.es/software.html#as) este fichero:
>>> ftp://ftp.rediris.es/rediris/papi/perl/PAPI-AS.1.4.1.tar.gz
>>>
>>> 550 Can't change directory to /rediris/papi/perl/PAPI-AS. 
>>> 1.4.1.tar.gz:
>>> Bad exchange descriptor
>>>
>>
>> -- 
>> Daniel García Franco        E-mail: [log in para visualizar]
>>                Jabber: [log in para visualizar]
>> Red.es/RedIRIS            Tef:+34 955 05 66 23
>> Edificio CICA
>> Avenida Reina Mercedes, s/n
>> 41012 Sevilla
>> SPAIN
>>
>> - Red Académica y Científica española (http://www.rediris.es) -
>> - Spanish NREN (http://www.rediris.es) -
>>
>
> -- 
> Roberto S. Galende
> Servicios de Informática y Comunicaciones
> Vicerrectorado de Campus
> Universidad de León
> León, España
>
> Antes de imprimir este mensaje, asegúrese de que es necesario.
>
> AVISO DE CONFIDENCIALIDAD
> Este mensaje puede contener información confidencial. Si usted no es  
> el
> destinatario, le rogamos lo comunique al remitente y proceda a  
> borrarlo,
> ya que su uso no autorizado está prohibido legalmente.
>
> CONFIDENTIALITY NOTICE
> This message may contain confidential information. If you are not the
> intended recipient, please notify the sender and delete this message,
> since any unauthorized use is strictly prohibited by law.