updated TODO
authorAaron Kaplan <aaron@lo-res.org>
Mon, 18 Nov 2013 21:02:36 +0000 (22:02 +0100)
committerAaron Kaplan <aaron@lo-res.org>
Mon, 18 Nov 2013 21:02:36 +0000 (22:02 +0100)
make IDs of ciphers fixed font

TODO.txt
src/cipher_suites.tex
src/disclaimer.tex
src/practical_settings.tex

index c43e101..25bf2ad 100644 (file)
--- a/TODO.txt
+++ b/TODO.txt
@@ -87,7 +87,7 @@ DONE * Exim4 (-> Adi & Wolfgang Breya)
 * whatsapp --> man kann nichts machen, out of scope
 * Lync: == SIP von M$. 
 * Skype: man kann ncihts machen, out of scope.
-* Wi-Fi APs, 802.1X, ... ????
+* Wi-Fi APs, 802.1X, ... ???? --> out of scope
 * Tomcats/...????
 * VPNs         ???
   * PPTP
index 447f178..0f14db5 100644 (file)
@@ -66,13 +66,14 @@ This results in the string:
 
 
 \begin{center}
+
 \begin{tabular}{| l | l | l | l | l| l | l |}
 \hline
 ID        & OpenSSL name                & Version & KeyEx & Auth & Cipher & Hash \\ \hline
-0xC030 & ECDHE-RSA-AES256-GCM-SHA384 & TLSv1.2 & ECDH  &  RSA &AESGCM(256)  & AEAD   \\ \hline
-0xC028 & ECDHE-RSA-AES256-SHA384     & TLSv1.2 & ECDH  &  RSA &AES(256)     & SHA384 \\ \hline
-0x009F & DHE-RSA-AES256-GCM-SHA384   & TLSv1.2 & DH    &  RSA &AESGCM(256)  & AEAD   \\ \hline
-0x006B & DHE-RSA-AES256-SHA256       & TLSv1.2 & DH    &  RSA &AES(256)     & SHA256 \\ \hline
+\verb|0xC030| & ECDHE-RSA-AES256-GCM-SHA384 & TLSv1.2 & ECDH  &  RSA &AESGCM(256)  & AEAD   \\ \hline
+\verb|0xC028| & ECDHE-RSA-AES256-SHA384     & TLSv1.2 & ECDH  &  RSA &AES(256)     & SHA384 \\ \hline
+\verb|0x009F| & DHE-RSA-AES256-GCM-SHA384   & TLSv1.2 & DH    &  RSA &AESGCM(256)  & AEAD   \\ \hline
+\verb|0x006B| & DHE-RSA-AES256-SHA256       & TLSv1.2 & DH    &  RSA &AES(256)     & SHA256 \\ \hline
 \end{tabular}
 \end{center}
 
index 39ddd9f..8fb243f 100644 (file)
@@ -9,4 +9,4 @@ This guide can only describe what the authors currently \emph{believe} to be the
 
 Nevertheless, ignoring the problem at hand and keeping outdated settings for SSL, SSH, PGP is not an option. We the authors, need this document as much as the gentle reader needs it.
 
-
+\todo{Aaron: mention downgrade attacks, jamming until they give up is the best cryptanalsysis technique}
index eae3738..20a4b32 100644 (file)
@@ -5,7 +5,10 @@
 
 \subsubsection{Apache}
 
+\begin{description}
+\item[Tested with Version:]
 
+\item[Settings:] \mbox{}
 
 %-All +TLSv1.1 +TLSv1.2
 \begin{lstlisting}[breaklines]
@@ -24,6 +27,8 @@
 Note again, that any cipher suite starting with ECDHE  can be omitted in case of doubt.
 %% XXX NOTE TO SELF: remove from future automatically generated lists!
 
+\item[Additional settings:]
+
 You should redirect everything to httpS:// if possible. In Apache you can do this with the following setting inside of a VirtualHost environment:
 
 \begin{lstlisting}[breaklines]
@@ -35,6 +40,11 @@ You should redirect everything to httpS:// if possible. In Apache you can do thi
   </VirtualHost>
 \end{lstlisting}
 
+\item[Justification for special settings (if needed):]
+
+\item[References:]
+
+\end{description}
 %XXXX   ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS
 
 
@@ -468,11 +478,13 @@ Note: older linux systems won't support SHA2, PuTTY does not support RIPE-MD160.
 \\
 
 
-\subsection{OpenVPN}
-
+\subsection{VPNs}
 \todo{write this subsection}
+\subsubsection{IPSec}
 
-\subsection{IPSec}
+\todo{cm: check if there are downgrade attacks for checkpoint \& co} \\
+\todo{cm: reference the paper describing how complex IPSec is and that it can't be checked properly} \\
+\todo{cm: change this to a table format: Variant ((A,B), (recommendations, recommendations))} \\
 
 \paragraph*{Assumptions}\mbox{}\\
 
@@ -488,8 +500,8 @@ against fake certificates.
 If you need to use Pre-Shared Key authentication:
 
 \begin{enumerate}
-\item Choose a random PSK of 20 characters or more (\todo{length, references!})
-\item Use a separate PSK for any IPSEC connection
+\item Choose a \textbf{random} PSK of 20 characters or more (\todo{length, references!})
+\item Use a \textbf{separate} PSK for any IPSEC connection
 \item Change the PSKs regularily
 \end{enumerate}
 
@@ -512,6 +524,9 @@ be roughly equivalent to ``Configuration B``; again,
 \verb|Suite-B-GCM-128| uses NIST elliptic curves, \verb|VPN-B| does
 not.
 
+\todo{Aaron: make an example for how to include images}
+\todo{cm: screenshots of Checkpoint settings}
+
 \paragraph*{IKE or Phase 1}\mbox{}\\
 
 IKE or Phase 1 is the mutual authentication and key exchange phase.
@@ -528,7 +543,7 @@ ECDH)
 
 Lifetime: \todo{need recommendations; 1 day seems to be common practice}
 
-\todo{what about blowfish, CAST?}
+\todo{what about CAST?}
 
 \paragraph*{ESP or Phase 2}\mbox{}\\
 
@@ -544,6 +559,21 @@ Hash Algorithm: none (if using AES-GCM), HMAC-SHA-SHA256 or longer
 Lifetime: \todo{need recommendations; 1--8 hours seems to be common practice}
 
 
+
+
+\subsubsection{OpenVPN}
+\todo{write this subsubsection}
+\subsubsection{PPTP}
+\todo{write this subsubsection}
+\subsubsection{Cisco IPSec}
+\todo{write this subsubsection}
+\subsubsection{Juniper VPN}
+\todo{write this subsubsection}
+\subsubsection{L2TP over IPSec}
+
+\todo{write this subsubsection}
+
+
 \subsection{PGP/ GPG - Pretty Good Privacy}
 
 \todo{re-work this subsection -- this is still only a draft!!}