Merge branch 'master' of https://rhodecode.plunge.at/ach/ach-master
authorPepi Zawodsky <git@maclemon.at>
Mon, 4 Nov 2013 17:23:11 +0000 (18:23 +0100)
committerPepi Zawodsky <git@maclemon.at>
Mon, 4 Nov 2013 17:23:11 +0000 (18:23 +0100)
src/abstract.tex
src/applied-crypto-hardening.tex
src/practical_settings.tex
src/tools.tex
unsorted/ssh/ssh_version_strings.txt

index cb12314..951eece 100644 (file)
@@ -1,4 +1,4 @@
-\section{Abstract}
+\section*{Abstract}
 
 This whitepaper arose out of the need for system administrators to have an
 updated, solid, well researched and thought-through guide for configuring SSL,
@@ -14,7 +14,6 @@ weaknesses and sloppy settings in encryption frameworks to break the codes,
 next to using other means such as ``kinetic-decryption'' (breaking in, stealing
 keys) or planting backdoors and rigging random number generators, etc.
 
-
 This following whitepaper can only address one aspect of securing our
 information systems: getting the crypto settings right. Other attacks, as the
 above mentioned, require different protection schemes which are not covered in
index 068d1cf..4ffa664 100644 (file)
@@ -83,7 +83,7 @@
                                                                                }
 
 \pretitle{\vspace{-30pt} \begin{flushleft} \HorRule 
-                               \fontsize{50}{50} \usefont{OT1}{phv}{b}{n} \color{DarkRed} \selectfont 
+                               \fontsize{36}{36} \usefont{OT1}{phv}{b}{n} \color{DarkRed} \selectfont 
                                }
 \title{Applied Crypto Hardening}
 \posttitle{\par\end{flushleft}\vskip 0.5em}
 \\ \vskip 0.5em  (FH Campus Wien, VRVis, CERT.at, Karlsruhe Institute of Technology)
                                        \par\end{flushleft}\HorRule}
 
-\date{2013-11-03}
+\date{2013-11-04}
 
 
 
 % The first character should be within \initial{}
 %\initial{H}\textbf{ere is some sample text to show the initial in the introductory paragraph of this template article. The color and lineheight of the initial can be modified in the preamble of this document.}
 
-
 \input{abstract}
+\newpage
+\tableofcontents
+\newpage
 \input{disclaimer}
 \input{motivation}
 \input{methods}
index 68f6777..adbc1f2 100644 (file)
@@ -68,11 +68,12 @@ The results of following his adivce is a categorisation of cipher suites.
 \end{tabular}
 \end{center}
 
+A remark on the ``consider'' section: the BSI (Bundesamt f\"ur Sicherheit in der Informationstechnik, Germany) recommends in its technical report TR-02102-2\footnote{\url{https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf.html}} to \textbf{avoid} non-ephemeral\footnote{ephemeral keys are session keys which are destroyed upon termination of the encrypted session. In TLS/SSL, they are realized by the DHE cipher suites. } keys for any communication which might contain personal or sensitive data. In this document, we follow BSI's advice and therefore only keep cipher suites containing (EC)DH\textbf{E} variants. System administrators, who can not use perfect forward secrecy can still use the cipher suites in the consider section. We however, do not recommend them in this document.
 
 Note that the entries marked as "special" are cipher suites which are not common to all clients (webbrowsers etc).
 
 
-\subsubsection{Clients}
+\subsubsection{Client recommendations}
  
 Next we tested the cipher suites above on the following clients:
 
@@ -85,9 +86,10 @@ Next we tested the cipher suites above on the following clients:
 \end{itemize}
 
 
-The result of testing the cipher suites with these clients gives us the following result and a preference order
+The result of testing the cipher suites with these clients gives us a preference order as shown in table \ref{table:prefOrderCipherSuites}
 Should a client not be able to use a specific cipher suite, it will fall back to the next possible entry as given by the ordering.
 
+\begin{center}
 \begin{table}[h]
 \small
     \begin{tabular}{|l|l|l|l|l|}
@@ -103,15 +105,17 @@ Should a client not be able to use a specific cipher suite, it will fall back to
     8    & TLS\_DHE\_RSA\_WITH\_CAMELLIA\_256\_CBC\_SHA   &     0x0088 & Firefox                     \\ \hline
     9    & TLS\_DHE\_DSS\_WITH\_CAMELLIA\_256\_CBC\_SHA   &     0x0087 & Firefox                     \\ \hline
     \end{tabular}
+\caption{Preference order of cipher suites}
+\label{table:prefOrderCipherSuites}
 \end{table}
+\end{center}
 
-\FloatBarrier
 
-The same data again, specifying the OpenSSL name:
+Table \ref{table:prefOrderOpenSSLNames} shows the same data again with specifying the corresponding OpenSSL name.
 
+\begin{center}
 \begin{table}[h]
 \small
-\FloatBarrier
     \begin{tabular}{|l|l|l|}
     \hline
     Cipher Suite                                   & ID            & OpenSSL Name                  \\ \hline
@@ -125,7 +129,10 @@ The same data again, specifying the OpenSSL name:
     TLS\_DHE\_RSA\_WITH\_CAMELLIA\_256\_CBC\_SHA   &     0x0088 &     DHE-RSA-CAMELLIA256-SHA   \\ \hline
     TLS\_DHE\_DSS\_WITH\_CAMELLIA\_256\_CBC\_SHA   &     0x0087 &     DHE-DSS-CAMELLIA256-SHA   \\ \hline
     \end{tabular}
+\caption{Preference order of cipher suites, with OpenSSL names}
+\label{table:prefOrderOpenSSLNames}
 \end{table}
+\end{center}
 
 
 
@@ -136,7 +143,7 @@ Based on this ordering, we can now define the corresponding settings for servers
 Note: a "\textbackslash" (backslash) denotes a line continuation which was wrapped due to formatting reasons here. Do not copy it verbatim.
 
 \begin{verbatim}
-  SSLProtocol ALL -SSLv2
+  SSLProtocol +TLSv1.1 +TLSv1.2
   SSLHonorCipherOrder On
   SSLCipherSuite  ECDH+AESGCM:DH+AESGCM:\
     ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:\
@@ -166,6 +173,8 @@ Note: a "\textbackslash" (backslash) denotes a line continuation which was wrapp
 
 \subsection{OpenVPN}
 
+\subsection{IPSec}
+
 \subsection{PGP}
 
 \subsection{PRNG settings}
index 148b3bf..fca3a4d 100644 (file)
@@ -1,4 +1,4 @@
-\section{tools}
+\section{Tools}
 
 This section lists tools for checking the security settings.
 
index c2c71e0..635da06 100644 (file)
@@ -23,6 +23,7 @@ Ubuntu 10.10: SSH-2.0-OpenSSH_5.5p1 Debian-4ubuntu{4,5}
 Ubuntu 11.04: SSH-2.0-OpenSSH_5.8p1 Debian-1ubuntu3
 Ubuntu 11.10: SSH-2.0-OpenSSH_5.8p1 Debian-7ubuntu1
 Ubuntu 12.04: SSH-2.0-OpenSSH_5.9p1 Debian-5ubuntu1.1
+Ubuntu 13.04: SSH-2.0-OpenSSH_6.0p1 Debian-4
 
 FreeBSD
 FreeBSD 7.0:  SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110