meeting-notes/meeting1.txt

   1
   2 Erstes Treffen am 17.9., 18:30@s5
   3 Teilnehmer: Adi, Manuel
   4
   5
   6
   7 Was ist unser Ziel?
   8 =====================
   9
  10 kurzes whitepaper, checkliste schreiben. Das whitepaper soll eine gute, *praktische* Anleitung fuer das Zielpublikum sein, wie man heutzutage, nach dem aktuellen Stand des oeffentlich bekannten Wissens, SSL und Kryptographie Einstellungen setzen sollte und wie man diverse Services, die sich auf Kryptographie verlassen (SSH, SSL, ...) haerten kann.
  11
  12 Das Ziel ist es *nicht* Werbung fuer einen bestimmten Hersteller zu machen !
  13 Das whitepaper sollte uebergreifend, neutral, sachlich, kurz und praktisch sein.
  14
  15 Wir wollen sowohl praktische Tipps fuer Sysadmins & co als auch gute krytpographische Empfehlungen (modulo dem, was wir wissen) abgeben.
  16
  17 Wir schreiben prinzipiell auf Englisch und uebersetzen es auf Deutsch.
  18
  19
  20
  21 Zeitraum
  22 =========
  23
  24 ETA: Nov 2013.
  25
  26
  27 Kontakte / Potentielle Mit-Autoren:
  28 ===================================
  29   - IAIK Institut Graz?
  30   - A-SIT?
  31   - Posch?
  32   - CERT.at / GovCERT (Aaron Kaplan, Koordination)
  33   - Adi Kriegisch VRVis (practical applied security)
  34   - Manuel Koschuch (FH Wien)
  35   - SBA: ?
  36   - Ivan Rstic??
  37   - Seclab?
  38
  39
  40 Wer kontaktiert wen?
  41
  42   Manuel -> IAIK
  43   Aaron, Schisch -> Posch
  44   Aaron, Schisch -> SBA
  45   A-Sit ?
  46   Aaron -> seclab (Atrox, Platzer)
  47
  48
  49 Zielgruppe
  50 ==========
  51
  52   * Sysadmins
  53   * KMUs
  54   * power-user
  55   * interessierte Oeffentlichkeit
  56
  57
  58 Inhaltsverzeichnis
  59 ==================
  60
  61 I. Disclaimer
  62   aktueller Stand ... morgen kann alles anders sein
  63   disclaimer disclaimer disclaimer
  64   Der Inhalt dieses whitepapers ist ausschliessliche die persoenliche *Meinung* der Autoren. Wurde nach besten Wissen und Gewissen erstellt.
  65   Keine Garantie auf Korrektheit etc.
  66
  67   Disclaimer, was in dem Paper *nicht* drinnen steht bzw. was wir nicht wissen.
  68
  69   Veroeffentlichungsdatum angeben, kein Ablaufdatum des whitepapers angeben.
  70
  71
  72 II. Problembeschreibung
  73
  74   Aktuell gibt es viel Verunsicherung bezueglich Krypto, viele Leute fragen sich, was sie derzeit noch bei SSL , SSH oder PGP einstellen koennen.
  75   Welche Verfahren sind mittlerweile zu schwach? Wo gibt es Vermutungen, dass es Probleme gibt? Keylaengen?
  76   Praktische Security Probleme und RNGs: was kann man noch nehmen?
  77
  78
  79 III. Uebersicht ueber Verfahren
  80
  81   - RC4  == tot?
  82
  83 IV. Keylaengen
  84
  85 V. RNGs
  86
  87   Uebersicht. Was kann man machen, um gute Randomness zu haben?
  88
  89
  90 VI. Practical security settings fuer Services
  91
  92   - SSL
  93     - apache, nginx, lighttpd
  94     - Uebersicht ueber verschiedene SSL libs: gnutls vs. openssl und andere ssl libs (matrixssl, polarssl, ...)
  95     - openssl.conf settings
  96     - ...
  97   - SSH
  98   - PGP
  99   - PRNG settings : welcher RNG ist nicht gut?
 100     wie mache ich einen eigenen RNG?
 101     wie verwedne ich haveEGD (http://www.issihosts.com/haveged/)
 102   - $java-software: stdlib, bouncy castle, app-server (tomcat und so)
 103
 104 VII. PKI
 105   Empfehlung.
 106
 107
 108 VIII. Werkzeuge
 109   Liste von Werkzeugen
 110
 111   - welche tools kann ich verwenden, um selber zu checken, dass das OK ist?
 112   zB: ENT (http://www.fourmilab.ch/random/)
 113   Zufallstest tools + menschl. lesbar machen (--> tool Name? Manuel?)
 114
 115
 116 IX. Further Research
 117   - code analysis von crypto tools
 118
 119
 120 X. Referenzen
 121
 122   - SSL Labs
 123   - Heise SSL settings
 124   - Debian PGP  Empfehlungen:
 125   - RFCs  BCPs
 126   - IETF security working groups
 127
 128
 129 Tools
 130 =====
 131   Wir fangen mal an, alles mit git und LateX zu schreiben.
 132   Wir koennen auf was anderes umsteigen, wenn notwendig.
 133
 134