<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">2018-03-22 6:36 GMT+01:00 Baruch Siach <span dir="ltr"><<a href="mailto:baruch@tkos.co.il" target="_blank">baruch@tkos.co.il</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Thomas,<br>
<span class="gmail-"><br>
On Wed, Mar 21, 2018 at 09:22:55PM +0100, Thomas Petazzoni wrote:<br>
> On Wed, 21 Mar 2018 22:16:08 +0200, Baruch Siach wrote:<br>
> > Here is my full commit on v2:<br>
> ><br>
> > Since both libraries are static only, this does not reduce the binary size. On<br>
> > the other hand, bundled libraries are more likely to work correctly with any<br>
> > give version of dropbear. The only benefit of using external libraries is when<br>
> > there is a security update to the libraries. But unless there is a known issue<br>
> > now, I'm not sure it's worth it.<br>
> ><br>
> > Do you see other reasons to prefer unbundling?<br>
><br>
> Well, exactly the one you mention: security issues.<br>
><br>
> In fact, I think you're putting the problem in the wrong direction. I<br>
> would rather say: "Unless there is a good reason to not use external<br>
> libraries, we should use external libraries rather than bundled ones".<br>
<br></span></blockquote><div><br></div><div>By default, dropbear prefers unbundled libtom, see <a href="https://github.com/mkj/dropbear/blob/master/configure.ac#L507-L509">https://github.com/mkj/dropbear/blob/master/configure.ac#L507-L509</a><br><br></div><div>François<br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
</span>I think we should be more careful in this case. Crypto primitives are<br>
"hazmat"[1]. dropbear is an actively maintained project. I think we can trust<br>
dropbear to react immediately when there is a known issue with the crypto<br>
libraries that affects the dropbear use case. In my opinion, the danger of<br>
crypto libraries version mismatch resulting from untested crypto library<br>
update, outweighs the danger of known vulnerability window in a dropbear<br>
bundled crypto library.<br>
<br>
[1] <a href="https://cryptography.io/en/latest/hazmat/primitives/" rel="noreferrer" target="_blank">https://cryptography.io/en/<wbr>latest/hazmat/primitives/</a><br>
<span class="gmail-"><br>
baruch<br>
<br>
--<br>
     <a href="http://baruch.siach.name/blog/" rel="noreferrer" target="_blank">http://baruch.siach.name/blog/</a>                  ~. .~   Tk Open Systems<br>
=}----------------------------<wbr>--------------------ooO--U--<wbr>Ooo------------{=<br>
</span>   - <a href="mailto:baruch@tkos.co.il">baruch@tkos.co.il</a> - tel: +972.2.679.5364, <a href="http://www.tkos.co.il" rel="noreferrer" target="_blank">http://www.tkos.co.il</a> -<br>
<div class="gmail-HOEnZb"><div class="gmail-h5">______________________________<wbr>_________________<br>
buildroot mailing list<br>
<a href="mailto:buildroot@busybox.net">buildroot@busybox.net</a><br>
<a href="http://lists.busybox.net/mailman/listinfo/buildroot" rel="noreferrer" target="_blank">http://lists.busybox.net/<wbr>mailman/listinfo/buildroot</a><br>
</div></div></blockquote></div><br></div></div>