add meeting notes
[ach-master.git] / meeting-notes / meeting1.txt
1
2 Erstes Treffen am 17.9., 18:30@s5
3 Teilnehmer: Adi, Manuel
4
5
6 Kontakte (Mit-Autoren):
7   - IAIK Institut Graz?
8   - A-SIT?
9   - Posch?
10   - CERT
11   - Adi VRVis
12   - Manuel
13   - SBA: ?
14   - Ivan Rstic??
15   - Seclab?
16
17
18 Wer kontaktiert wen?
19
20   Manuel -> IAIK
21   Aaron, Schisch -> Posch
22   Aaron, Schisch -> SBA
23   A-Sit
24
25
26 Was ist unser Ziel?
27 =====================
28
29 kurzes whitepaper, checkliste schreiben.
30 Keine Werbung fuer einen bestimmten Hersteller
31 Sowohl praktische Tipps fuer Sysadmins und co als auch gute krytpographische Empfehlungen (modulo dem, was wir wissen)
32
33 Wir schreiben mal auf Englisch und uebersetzen es
34
35
36 Zeitraum
37 =========
38
39 ETA: Nov 2013.
40
41
42 Zielgruppe
43 ==========
44
45   * Sysadmins
46   * KMUs
47   * power-user
48   * interessierte Oeffentlichkeit
49
50
51 Inhaltsverzeichnis
52 ==================
53
54 Disclaimer
55   aktueller Stand ... morgen kann es anders sein
56   disclaimer disclaimer disclaimer
57   Der Inhalt dieses whitepapers ist ausschliessliche die persoenliche *Meinung* der Autoren.
58   Keine Garantie auf Korrektheit etc.
59
60   Disclaimer, was in dem Paper *nicht* drinnen steht
61
62   Veroeffentlichungsdatum angeben
63
64
65 Problembeschreibung
66
67 Verfahren
68   - RC4 --> weg!
69
70 Keylaengen
71
72 Practical security settings
73
74   - SSL
75     - apache 
76     - nginx
77     - openssl.conf settings
78     - 
79   - SSH
80   - PGP
81   - PRNG settings : welcher RNG ist nicht gut?
82     wie mache ich einen eigenen RNG? 
83     wie verwedne ich haveEGD (http://www.issihosts.com/haveged/)
84   - SSL libs: gnutls vs. openssl und andere ssl libs (matrixssl, polarssl, ...)
85   - 
86
87 PKI
88   Empfehlung:
89   - wo moeglich, nur *ausschliesslich* die eigene PKI  verwenden!
90
91
92 Werkzeuge
93   Liste von Werkzeugen
94
95   - welche tools kann ich verwenden, um selber zu checken, dass das OK ist?
96   zB: ENT (http://www.fourmilab.ch/random/)
97   Zufallstest tools + menschl. lesbar machen (--> tool Name? Manuel?)
98
99
100
101 Further Research
102   - code analysis von crypto tools
103
104
105 Referenzen
106
107   - SSL Labs
108   - Heise SSL settings
109   - Debian PGP  Empfehlungen: 
110   - RFCs  BCPs
111   - IETF security working groups 
112
113
114 Tools
115 =====
116
117   --> * git + latex?  (derzeit einmal. wir koennen auf was anderes umsteigen)
118   * google docs?
119
120