Merge branch 'master' of https://git.bettercrypto.org/ach-master
authorAaron Kaplan <aaron@lo-res.org>
Mon, 18 Nov 2013 21:03:07 +0000 (22:03 +0100)
committerAaron Kaplan <aaron@lo-res.org>
Mon, 18 Nov 2013 21:03:07 +0000 (22:03 +0100)
TODO.txt
src/cipher_suites.tex
src/disclaimer.tex
src/practical_settings.tex

index fa13636..0b75c64 100644 (file)
--- a/TODO.txt
+++ b/TODO.txt
@@ -92,15 +92,15 @@ DONE * Exim4 (-> Adi & Wolfgang Breya)
 * whatsapp --> man kann nichts machen, out of scope
 * Lync: == SIP von M$. 
 * Skype: man kann ncihts machen, out of scope.
-* Wi-Fi APs, 802.1X, ... ????
+* Wi-Fi APs, 802.1X, ... ???? --> out of scope
 * Tomcats/...????
 * VPNs         ???
   * PPTP
   * Cisco IPSec
   * Juniper VPN
   * L2TP over IPSec -> egal
-* SIP   -> Klaus?
-* SRTP  -> Klaus?
+* SIP   -> Klaus???
+* SRTP  -> Klaus???
 * DNSSec ??    Verweis auf BCPxxx      --> out of scope
    - DANE
 What happens at the IETF at the moment?
index 447f178..0f14db5 100644 (file)
@@ -66,13 +66,14 @@ This results in the string:
 
 
 \begin{center}
+
 \begin{tabular}{| l | l | l | l | l| l | l |}
 \hline
 ID        & OpenSSL name                & Version & KeyEx & Auth & Cipher & Hash \\ \hline
-0xC030 & ECDHE-RSA-AES256-GCM-SHA384 & TLSv1.2 & ECDH  &  RSA &AESGCM(256)  & AEAD   \\ \hline
-0xC028 & ECDHE-RSA-AES256-SHA384     & TLSv1.2 & ECDH  &  RSA &AES(256)     & SHA384 \\ \hline
-0x009F & DHE-RSA-AES256-GCM-SHA384   & TLSv1.2 & DH    &  RSA &AESGCM(256)  & AEAD   \\ \hline
-0x006B & DHE-RSA-AES256-SHA256       & TLSv1.2 & DH    &  RSA &AES(256)     & SHA256 \\ \hline
+\verb|0xC030| & ECDHE-RSA-AES256-GCM-SHA384 & TLSv1.2 & ECDH  &  RSA &AESGCM(256)  & AEAD   \\ \hline
+\verb|0xC028| & ECDHE-RSA-AES256-SHA384     & TLSv1.2 & ECDH  &  RSA &AES(256)     & SHA384 \\ \hline
+\verb|0x009F| & DHE-RSA-AES256-GCM-SHA384   & TLSv1.2 & DH    &  RSA &AESGCM(256)  & AEAD   \\ \hline
+\verb|0x006B| & DHE-RSA-AES256-SHA256       & TLSv1.2 & DH    &  RSA &AES(256)     & SHA256 \\ \hline
 \end{tabular}
 \end{center}
 
index 39ddd9f..8fb243f 100644 (file)
@@ -9,4 +9,4 @@ This guide can only describe what the authors currently \emph{believe} to be the
 
 Nevertheless, ignoring the problem at hand and keeping outdated settings for SSL, SSH, PGP is not an option. We the authors, need this document as much as the gentle reader needs it.
 
-
+\todo{Aaron: mention downgrade attacks, jamming until they give up is the best cryptanalsysis technique}
index 3c930ad..20a4b32 100644 (file)
@@ -5,7 +5,10 @@
 
 \subsubsection{Apache}
 
+\begin{description}
+\item[Tested with Version:]
 
+\item[Settings:] \mbox{}
 
 %-All +TLSv1.1 +TLSv1.2
 \begin{lstlisting}[breaklines]
@@ -24,6 +27,8 @@
 Note again, that any cipher suite starting with ECDHE  can be omitted in case of doubt.
 %% XXX NOTE TO SELF: remove from future automatically generated lists!
 
+\item[Additional settings:]
+
 You should redirect everything to httpS:// if possible. In Apache you can do this with the following setting inside of a VirtualHost environment:
 
 \begin{lstlisting}[breaklines]
@@ -35,6 +40,11 @@ You should redirect everything to httpS:// if possible. In Apache you can do thi
   </VirtualHost>
 \end{lstlisting}
 
+\item[Justification for special settings (if needed):]
+
+\item[References:]
+
+\end{description}
 %XXXX   ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS
 
 
@@ -468,11 +478,13 @@ Note: older linux systems won't support SHA2, PuTTY does not support RIPE-MD160.
 \\
 
 
-\subsection{OpenVPN}
-
+\subsection{VPNs}
 \todo{write this subsection}
+\subsubsection{IPSec}
 
-\subsection{IPSec}
+\todo{cm: check if there are downgrade attacks for checkpoint \& co} \\
+\todo{cm: reference the paper describing how complex IPSec is and that it can't be checked properly} \\
+\todo{cm: change this to a table format: Variant ((A,B), (recommendations, recommendations))} \\
 
 \paragraph*{Assumptions}\mbox{}\\
 
@@ -488,8 +500,8 @@ against fake certificates.
 If you need to use Pre-Shared Key authentication:
 
 \begin{enumerate}
-\item Choose a random PSK of 20 characters or more (\todo{length, references!})
-\item Use a separate PSK for any IPSEC connection
+\item Choose a \textbf{random} PSK of 20 characters or more (\todo{length, references!})
+\item Use a \textbf{separate} PSK for any IPSEC connection
 \item Change the PSKs regularily
 \end{enumerate}
 
@@ -512,6 +524,9 @@ be roughly equivalent to ``Configuration B``; again,
 \verb|Suite-B-GCM-128| uses NIST elliptic curves, \verb|VPN-B| does
 not.
 
+\todo{Aaron: make an example for how to include images}
+\todo{cm: screenshots of Checkpoint settings}
+
 \paragraph*{IKE or Phase 1}\mbox{}\\
 
 IKE or Phase 1 is the mutual authentication and key exchange phase.
@@ -528,7 +543,7 @@ ECDH)
 
 Lifetime: \todo{need recommendations; 1 day seems to be common practice}
 
-\todo{what about blowfish, CAST?}
+\todo{what about CAST?}
 
 \paragraph*{ESP or Phase 2}\mbox{}\\
 
@@ -544,6 +559,21 @@ Hash Algorithm: none (if using AES-GCM), HMAC-SHA-SHA256 or longer
 Lifetime: \todo{need recommendations; 1--8 hours seems to be common practice}
 
 
+
+
+\subsubsection{OpenVPN}
+\todo{write this subsubsection}
+\subsubsection{PPTP}
+\todo{write this subsubsection}
+\subsubsection{Cisco IPSec}
+\todo{write this subsubsection}
+\subsubsection{Juniper VPN}
+\todo{write this subsubsection}
+\subsubsection{L2TP over IPSec}
+
+\todo{write this subsubsection}
+
+
 \subsection{PGP/ GPG - Pretty Good Privacy}
 
 \todo{re-work this subsection -- this is still only a draft!!}
@@ -559,6 +589,13 @@ seclayer-tcp    3495/tcp    # securitylayer over tcp
 \end{verbatim}
 
 
+\subsection{IPMI, ILO and other lights out management solutions}
+\todo{write this!! Recommendation. Empfehlung: nie ins Internet, nur in ein eigenes mgmt VLAN, das via VPN erreichbar ist!!}
+
+\subsection{SIP}
+\todo{ Write this section, Klaus??? }
+
+
 %%% Local Variables: 
 %%% mode: latex
 %%% TeX-master: "applied-crypto-hardening"