commented bibtex run (no citation atm; fixed 'make clean'
[ach-master.git] / meeting-notes / meeting1.txt
1
2 Erstes Treffen am 17.9., 18:30@s5
3 Teilnehmer: Adi, Manuel
4
5
6
7 Was ist unser Ziel?
8 =====================
9
10 kurzes whitepaper, checkliste schreiben. Das whitepaper soll eine gute, *praktische* Anleitung fuer das Zielpublikum sein, wie man heutzutage, nach dem aktuellen Stand des oeffentlich bekannten Wissens, SSL und Kryptographie Einstellungen setzen sollte und wie man diverse Services, die sich auf Kryptographie verlassen (SSH, SSL, ...) haerten kann.
11
12 Das Ziel ist es *nicht* Werbung fuer einen bestimmten Hersteller zu machen !
13 Das whitepaper sollte uebergreifend, neutral, sachlich, kurz und praktisch sein.
14
15 Wir wollen sowohl praktische Tipps fuer Sysadmins & co als auch gute krytpographische Empfehlungen (modulo dem, was wir wissen) abgeben.
16
17 Wir schreiben prinzipiell auf Englisch und uebersetzen es auf Deutsch.
18
19
20
21 Zeitraum
22 =========
23
24 ETA: Nov 2013.
25
26
27 Kontakte / Potentielle Mit-Autoren:
28 ===================================
29   - IAIK Institut Graz?
30   - A-SIT?
31   - Posch?
32   - CERT.at / GovCERT (Aaron Kaplan, Koordination)
33   - Adi Kriegisch VRVis (practical applied security)
34   - Manuel Koschuch (FH Wien)
35   - SBA: ?
36   - Ivan Rstic??
37   - Seclab?
38
39
40 Wer kontaktiert wen?
41
42   Manuel -> IAIK
43   Aaron, Schisch -> Posch
44   Aaron, Schisch -> SBA
45   A-Sit ?
46   Aaron -> seclab (Atrox, Platzer)
47
48
49 Zielgruppe
50 ==========
51
52   * Sysadmins
53   * KMUs
54   * power-user
55   * interessierte Oeffentlichkeit
56
57
58 Inhaltsverzeichnis
59 ==================
60
61 I. Disclaimer
62   aktueller Stand ... morgen kann alles anders sein
63   disclaimer disclaimer disclaimer
64   Der Inhalt dieses whitepapers ist ausschliessliche die persoenliche *Meinung* der Autoren. Wurde nach besten Wissen und Gewissen erstellt.
65   Keine Garantie auf Korrektheit etc.
66
67   Disclaimer, was in dem Paper *nicht* drinnen steht bzw. was wir nicht wissen.
68
69   Veroeffentlichungsdatum angeben, kein Ablaufdatum des whitepapers angeben.
70
71
72 II. Problembeschreibung
73
74   Aktuell gibt es viel Verunsicherung bezueglich Krypto, viele Leute fragen sich, was sie derzeit noch bei SSL , SSH oder PGP einstellen koennen.
75   Welche Verfahren sind mittlerweile zu schwach? Wo gibt es Vermutungen, dass es Probleme gibt? Keylaengen? 
76   Praktische Security Probleme und RNGs: was kann man noch nehmen?
77
78
79 III. Uebersicht ueber Verfahren
80   
81   - RC4  == tot?
82
83 IV. Keylaengen
84
85 V. RNGs
86
87   Uebersicht. Was kann man machen, um gute Randomness zu haben? 
88
89
90 VI. Practical security settings fuer Services
91
92   - SSL
93     - apache 
94     - nginx
95     - Uebersicht ueber verschiedene SSL libs: gnutls vs. openssl und andere ssl libs (matrixssl, polarssl, ...)
96     - openssl.conf settings
97     -  ...
98   - SSH
99   - PGP
100   - PRNG settings : welcher RNG ist nicht gut?
101     wie mache ich einen eigenen RNG? 
102     wie verwedne ich haveEGD (http://www.issihosts.com/haveged/)
103   - 
104
105 VII. PKI
106   Empfehlung.
107
108
109 VIII. Werkzeuge
110   Liste von Werkzeugen
111
112   - welche tools kann ich verwenden, um selber zu checken, dass das OK ist?
113   zB: ENT (http://www.fourmilab.ch/random/)
114   Zufallstest tools + menschl. lesbar machen (--> tool Name? Manuel?)
115
116
117
118 IX. Further Research
119   - code analysis von crypto tools
120
121
122 X. Referenzen
123
124   - SSL Labs
125   - Heise SSL settings
126   - Debian PGP  Empfehlungen: 
127   - RFCs  BCPs
128   - IETF security working groups 
129
130
131 Tools
132 =====
133   Wir fangen mal an, alles mit git und LateX zu schreiben.
134   Wir koennen auf was anderes umsteigen, wenn notwendig.
135
136