Merge branch 'master' of https://rhodecode.plunge.at/ach/ach-master
authorAaron Kaplan <aaron@lo-res.org>
Mon, 4 Nov 2013 15:50:06 +0000 (16:50 +0100)
committerAaron Kaplan <aaron@lo-res.org>
Mon, 4 Nov 2013 15:50:06 +0000 (16:50 +0100)
src/abstract.tex
src/applied-crypto-hardening.tex
src/practical_settings.tex

index cb12314..951eece 100644 (file)
@@ -1,4 +1,4 @@
-\section{Abstract}
+\section*{Abstract}
 
 This whitepaper arose out of the need for system administrators to have an
 updated, solid, well researched and thought-through guide for configuring SSL,
@@ -14,7 +14,6 @@ weaknesses and sloppy settings in encryption frameworks to break the codes,
 next to using other means such as ``kinetic-decryption'' (breaking in, stealing
 keys) or planting backdoors and rigging random number generators, etc.
 
-
 This following whitepaper can only address one aspect of securing our
 information systems: getting the crypto settings right. Other attacks, as the
 above mentioned, require different protection schemes which are not covered in
index e05b8d6..4ffa664 100644 (file)
@@ -83,7 +83,7 @@
                                                                                }
 
 \pretitle{\vspace{-30pt} \begin{flushleft} \HorRule 
-                               \fontsize{50}{50} \usefont{OT1}{phv}{b}{n} \color{DarkRed} \selectfont 
+                               \fontsize{36}{36} \usefont{OT1}{phv}{b}{n} \color{DarkRed} \selectfont 
                                }
 \title{Applied Crypto Hardening}
 \posttitle{\par\end{flushleft}\vskip 0.5em}
 \\ \vskip 0.5em  (FH Campus Wien, VRVis, CERT.at, Karlsruhe Institute of Technology)
                                        \par\end{flushleft}\HorRule}
 
-\date{2013-11-03}
+\date{2013-11-04}
 
 
 
 % The first character should be within \initial{}
 %\initial{H}\textbf{ere is some sample text to show the initial in the introductory paragraph of this template article. The color and lineheight of the initial can be modified in the preamble of this document.}
 
-
 \input{abstract}
-
 \newpage
-
 \tableofcontents
-
 \newpage
-
 \input{disclaimer}
 \input{motivation}
 \input{methods}
index aadc199..adbc1f2 100644 (file)
@@ -68,7 +68,7 @@ The results of following his adivce is a categorisation of cipher suites.
 \end{tabular}
 \end{center}
 
-A remark on the ``consider'' section: the BSI (Bundesamt f\"ur Sicherheit in der Informationstechnik, Germany) recommends in its technical report TR-02102-2\footnote{\url{https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf.html}} to \textbf{avoid} non-ephemeral\footnote{ephemeral keys are session keys which are destroyed upon termination of the encrypted session} keys for any communication which might contain personal or sensitive data. In this document, we follow BSI's advice and therefore only keep cipher suites containing (EC)DH\textbf{E} variants. System administrators, who can not use perfect forward secrecy can still use the cipher suites in the consider section. We however, do not recommend them in this document.
+A remark on the ``consider'' section: the BSI (Bundesamt f\"ur Sicherheit in der Informationstechnik, Germany) recommends in its technical report TR-02102-2\footnote{\url{https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf.html}} to \textbf{avoid} non-ephemeral\footnote{ephemeral keys are session keys which are destroyed upon termination of the encrypted session. In TLS/SSL, they are realized by the DHE cipher suites. } keys for any communication which might contain personal or sensitive data. In this document, we follow BSI's advice and therefore only keep cipher suites containing (EC)DH\textbf{E} variants. System administrators, who can not use perfect forward secrecy can still use the cipher suites in the consider section. We however, do not recommend them in this document.
 
 Note that the entries marked as "special" are cipher suites which are not common to all clients (webbrowsers etc).
 
@@ -143,7 +143,7 @@ Based on this ordering, we can now define the corresponding settings for servers
 Note: a "\textbackslash" (backslash) denotes a line continuation which was wrapped due to formatting reasons here. Do not copy it verbatim.
 
 \begin{verbatim}
-  SSLProtocol ALL -SSLv2
+  SSLProtocol +TLSv1.1 +TLSv1.2
   SSLHonorCipherOrder On
   SSLCipherSuite  ECDH+AESGCM:DH+AESGCM:\
     ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:\