Remove curve25519-sha256@libssh.org for now
[ach-master.git] / TODO.txt
index a31b0d1..1717cf3 100644 (file)
--- a/TODO.txt
+++ b/TODO.txt
@@ -1,4 +1,3 @@
-
 Website
 ========
 
@@ -6,13 +5,19 @@ BIG TOPICS
 ==========
 
 
+* be consistent: 2048 RSA < 128 bit symmetric cipher strength. We should aim at 128+ bits symmetric strength. --> fix RSA 2048 in the document. Upgrade to 3072
+
 * clean up 9.5 "chossing your own cipher"
 
 * DDOS possibilities when we increase cyrpto security?? What about that? (--> LATER)
 
 * write a Justification section to every setting, maybe have that later in the document. 
 
-* move the explanations to a later part of the document. Code snippets go *first* . The target group is sysadmins, must be easily copy & paste-able. Or find a different way so that they can easily use/read the document
+* more focus on these sections:
+  - GPG
+  - SSH : do we need a client subsection? 
+
+DONE * move the explanations to a later part of the document. Code snippets go *first* . The target group is sysadmins, must be easily copy & paste-able. Or find a different way so that they can easily use/read the document
 
 DONE * Decide/Discuss recommended ciphers:
   - DH parameters: what is our recommendation? >2048? >=2048? leave default (aka 1024)?
@@ -21,10 +26,18 @@ DONE * Decide/Discuss recommended ciphers:
 * comments from IAIK integrate (--> Aaron, check again if it was done)
 * SHA-1 section: write why it is a problem (--> Florian Mendel)
 * PKI section (--> Thomas Schreck)
-* include OpenSSL names/IANA names into appendix (--> cm)
+DONE * include OpenSSL names/IANA names into appendix (--> cm)
 * Document RNG problem in Apache (--> Pepi)
-* Oracle ?? (--> Berg?? maybe . Or aaron: ask nic.at. Or link to T-Systems paper) --> T-Systems paper
-* DB2 (--> Berg. Or ask MLeyrer)
+DONE * Oracle ?? (--> Berg?? maybe . Or aaron: ask nic.at. Or link to T-Systems paper) --> T-Systems paper
+DONE * DB2 (--> Berg. Or ask MLeyrer)
+* Add AES128 to cipherStringA ?
+* re-work chapter 2 (practical settings). Add lots of references to chapter 3 to get people interested in reading the theory.
+
+
+Website
+=======
+People with outdated browsers (winXP) etc can't see our webpage. --> make a landing page explaining 
+how to updated the browser :)
 
 
 Formatting
@@ -38,6 +51,17 @@ Rendering in Firefox (inline) on Windows seems to be really messed up. What happ
 
 * make every section like the Apache section (--> Aaron)
 
+* make a HTML Version of the document. It is much easier to copy & paste from than from PDFs.
+* Add Timestamp and git shorthash, not only date, to the title page of the document. Easier to check if you version of the document is current!
+
+
+Formats to export
+=================
+Requested by many people on Twitter
+    * Plain TXT version for use on headless servers
+    * HTML version for better reading in browsers and always up-to-date
+    * EPUB version for comfortable reading on tablets and ebook readers
+
 
 Workflow
 ========
@@ -45,6 +69,8 @@ Workflow
 * how to keep things up to date?
 * how to automatically test  compatibility?
 * how to make sure that this document has the latest information on cipher strengths?
+* !! GPG sign every PDF !!
+* store the keys in DNS: see RFC 4398
 
 
 Contents
@@ -69,6 +95,8 @@ Contents
 
 2. Test all settings 
 
+* Test especially with non-Debian-OS!
+
 * Test with more clients and other OSes than OSX / iPhone!!
 --> clients? 
   - thunderbird
@@ -82,9 +110,9 @@ Contents
   - chapter owner makes a test setup
   - tested by: XXX , on: $date. Screenshot of SSLlabs/ $testtool. (checktls.com)
 
-* document (cite) EVERYTHING! Why we chose certain values. Referneces, references, references. Otherwise it does not count!
+* document (cite) EVERYTHING! Why we chose certain values. References, references, references. Otherwise it does not count!
   Srsly!!
-* .bib file is completely wrong. Make good citations/references. Add books: Schneier, ...
+DONE * .bib file is completely wrong. Make good citations/references. Add books: Schneier, ...
 * !! important: add the version string to everything that we tested!!
 
 * two target groups:
@@ -93,17 +121,17 @@ Contents
 * look at TLS1.2 specs and really check if we want all of these settings
 
 
-Section 6
+Practical settings section
 ----------
 Definitely still missing these subsubsections:
 * Exchange Server ??  (--> bei M$ angefragt, Evtl. Beitrag von A-Trust)
   - SMTP, POP, IMAP
 DONE * Exim4 (-> Adi & Wolfgang Breya)
-* Checkpoint (-> cm)
+DONE * Checkpoint (-> cm)
 * Asa / Palo Alto (-> Azet)
 * Terminal Server (VNC ), ??
-* Squid
-* XMPP
+DONE * Squid
+DONE * XMPP
   --> verweise auf die xmpp community bzw. auf xmpp.net verweisen.
   Empfehlung: unbedingt ejabberd updaten!!  
 
@@ -152,6 +180,9 @@ seclayer-tcp    3495/tcp    # securitylayer over tcp
 * phpmyadmin --> haengt am apache, out of scope
 * DSL modems -> out of scope
 * UPnP, natPmp --> out of scope
+* SAML federated auth providers (e.g., all the REFEDS folks (https://refeds.org/)), including InCommon (http://www.incommon.org/federation/metadata.html)
+  https://wiki.shibboleth.net/confluence/display/SHIB2/TrustManagement (idea by Joe St. Sauver)
+* 
 ----- snip ---- all protocols that we looked at --- snip ----
 
 
@@ -161,9 +192,9 @@ seclayer-tcp    3495/tcp    # securitylayer over tcp
 
 RNDG section
 ------------
-- add two, three sentences
-- mention HaveGED 
-- embedded devices are a problem
+DONE - add two, three sentences
+DONE - mention HaveGED 
+DONE - embedded devices are a problem
 
 
 
@@ -173,13 +204,12 @@ Contacting / who?
 * Cisco
 * Leithold
 
-
 LATER / further 
 ================
 * OpenLDAP (-> Adi)
 * Radius
 * Windows Active Directory
-* SRP: not part of this document
-* \cipherA , \cipherB setting ---> does not work in our \begin{listing} environment --> maybe there is a different listing environment or use awk/sed/make/perl/python
+DONE * SRP: not part of this document. But we did not exclude it in our cipher string :)
+DONE * \cipherA , \cipherB setting ---> does not work in our \begin{listing} environment --> maybe there is a different listing environment or use awk/sed/make/perl/python
 * What about 3270 terminal emulation? How to do crypto there? Can we? ( --> IBM sec. Stammtisch. Aaron)