2 Erstes Treffen am 17.9., 18:30@s5
3 Teilnehmer: Adi, Manuel
10 kurzes whitepaper, checkliste schreiben. Das whitepaper soll eine gute, *praktische* Anleitung fuer das Zielpublikum sein, wie man heutzutage, nach dem aktuellen Stand des oeffentlich bekannten Wissens, SSL und Kryptographie Einstellungen setzen sollte und wie man diverse Services, die sich auf Kryptographie verlassen (SSH, SSL, ...) haerten kann.
12 Das Ziel ist es *nicht* Werbung fuer einen bestimmten Hersteller zu machen !
13 Das whitepaper sollte uebergreifend, neutral, sachlich, kurz und praktisch sein.
15 Wir wollen sowohl praktische Tipps fuer Sysadmins & co als auch gute krytpographische Empfehlungen (modulo dem, was wir wissen) abgeben.
17 Wir schreiben prinzipiell auf Englisch und uebersetzen es auf Deutsch.
27 Kontakte / Potentielle Mit-Autoren:
28 ===================================
32 - CERT.at / GovCERT (Aaron Kaplan, Koordination)
33 - Adi Kriegisch VRVis (practical applied security)
34 - Manuel Koschuch (FH Wien)
43 Aaron, Schisch -> Posch
46 Aaron -> seclab (Atrox, Platzer)
55 * interessierte Oeffentlichkeit
62 aktueller Stand ... morgen kann alles anders sein
63 disclaimer disclaimer disclaimer
64 Der Inhalt dieses whitepapers ist ausschliessliche die persoenliche *Meinung* der Autoren. Wurde nach besten Wissen und Gewissen erstellt.
65 Keine Garantie auf Korrektheit etc.
67 Disclaimer, was in dem Paper *nicht* drinnen steht bzw. was wir nicht wissen.
69 Veroeffentlichungsdatum angeben, kein Ablaufdatum des whitepapers angeben.
72 II. Problembeschreibung
74 Aktuell gibt es viel Verunsicherung bezueglich Krypto, viele Leute fragen sich, was sie derzeit noch bei SSL , SSH oder PGP einstellen koennen.
75 Welche Verfahren sind mittlerweile zu schwach? Wo gibt es Vermutungen, dass es Probleme gibt? Keylaengen?
76 Praktische Security Probleme und RNGs: was kann man noch nehmen?
79 III. Uebersicht ueber Verfahren
87 Uebersicht. Was kann man machen, um gute Randomness zu haben?
90 VI. Practical security settings fuer Services
93 - apache, nginx, lighttpd
94 - Uebersicht ueber verschiedene SSL libs: gnutls vs. openssl und andere ssl libs (matrixssl, polarssl, ...)
95 - openssl.conf settings
99 - PRNG settings : welcher RNG ist nicht gut?
100 wie mache ich einen eigenen RNG?
101 wie verwedne ich haveEGD (http://www.issihosts.com/haveged/)
102 - $java-software: stdlib, bouncy castle, app-server (tomcat und so)
111 - welche tools kann ich verwenden, um selber zu checken, dass das OK ist?
112 zB: ENT (http://www.fourmilab.ch/random/)
113 Zufallstest tools + menschl. lesbar machen (--> tool Name? Manuel?)
117 - code analysis von crypto tools
124 - Debian PGP Empfehlungen:
126 - IETF security working groups
131 Wir fangen mal an, alles mit git und LateX zu schreiben.
132 Wir koennen auf was anderes umsteigen, wenn notwendig.