typos.
authorAaron Kaplan <aaron@lo-res.org>
Tue, 19 Nov 2013 00:39:27 +0000 (01:39 +0100)
committerAaron Kaplan <aaron@lo-res.org>
Tue, 19 Nov 2013 00:39:27 +0000 (01:39 +0100)
http://www.its-not-its.info/

src/ECC.tex
src/cipher_suites.tex
src/disclaimer.tex
src/methods.tex

index ac25c17..bd7e5a0 100644 (file)
@@ -2,11 +2,11 @@
 
 Elliptic Curve Cryptogaphy (simply called ECC from now on) is a branch of 
 cryptography that emerged in the mid-1980ties. Like RSA and Diffie-Hellman 
-it's security is based on the discrete logarithm problem
+its security is based on the discrete logarithm problem
 \footnote{\url{http://www.mccurley.org/papers/dlog.pdf}} 
 \footnote{\url{http://en.wikipedia.org/wiki/Discrete\_logarithm}}
 \footnote{\url{http://mathworld.wolfram.com/EllipticCurve.html}}.
-Finding the discrete logarithm of an elliptic curve from it's public base
+Finding the discrete logarithm of an elliptic curve from its public base
 point is thought to be infeasible. This is known as the Elliptic Curve Discrete 
 Logarithm Problem (ECDLP). ECC and the underlying mathematical foundation are not easy 
 to understand - luckily there have been some great introductions on the topic lately
index a16b4c6..6eef085 100644 (file)
@@ -89,7 +89,7 @@ Win 7 and Win 8.1 crypto stack, Opera 17, OpenSSL $\ge$ 1.0.1e, Safari 6 / iOS
 \subsubsection{Configuration B: weaker ciphers, many clients}
 
 In this section we propose a slighly "weaker" set of cipher suites. There are
-some known weaknesses of for example SHA-1 which is included in this this set.
+some known weaknesses of for example SHA-1 which is included in this set.
 However, the advantage of this set of cipher suites is its wider compatibility
 with clients. 
 
index 8fb243f..ba4e427 100644 (file)
@@ -1,7 +1,7 @@
 \section{Disclaimer}
 This guide specifically does not address physical security issues, protecting software and hardware against exploits, basic IT security housekeeping tasks, anti-tempest\footnote{\url{https://en.wikipedia.org/wiki/Tempest\_(codename)}} attack techniques, protecting against side-channel attacks or other similar attacks which are usually employed to circumvent strong encryption. The authors can not overstate the importance of these other techniques. 
 
-This guide can only describe what the authors currently \emph{believe} to be the best settings based on their personal experience. This guide was cross checked by multiple people. For a complete list, see the appendix section "reviewers". Even though, multiple specialists reviewed the guide, the authors can give \emph{no guarantee} whatsover that they made the right recommendations. Keep in mind that tomorrow there might be new attacks on some ciphers and many of the recommendations in this guide might turn out to be wrong.
+This guide can only describe what the authors currently \emph{believe} to be the best settings based on their personal experience. This guide was cross checked by multiple people. For a complete list, see the section ``reviewers''. Even though, multiple specialists reviewed the guide, the authors can give \emph{no guarantee} whatsover that they made the right recommendations. Keep in mind that tomorrow there might be new attacks on some ciphers and many of the recommendations in this guide might turn out to be wrong.
 
 
 %% should we keep that sentence?
@@ -9,4 +9,4 @@ This guide can only describe what the authors currently \emph{believe} to be the
 
 Nevertheless, ignoring the problem at hand and keeping outdated settings for SSL, SSH, PGP is not an option. We the authors, need this document as much as the gentle reader needs it.
 
-\todo{Aaron: mention downgrade attacks, jamming until they give up is the best cryptanalsysis technique}
+\todo{Aaron: mention downgrade attacks, jamming until they give up and go plaintext is the best cryptanalsysis technique}
index 2d612a8..3acba6f 100644 (file)
@@ -9,8 +9,8 @@ by the NSA.  As a consequence, NIST initiated a review process of their
 standardisation
 efforts\footnote{\url{http://csrc.nist.gov/groups/ST/crypto-review/index.html}}.
 For the purposes of this document and at the time of this writing, we
-intentionally do not blindly trust NIST's recommendations on cipher and cipher
-suite settings at this very moment. 
+intentionally do not blindly trust NIST's recommendations on cipher suite
+settings at this very moment. 
 
 Instead, we chose to collect the most well known facts about crypto-settings
 and let as many trusted specialists as possible review these settings.  The
@@ -22,6 +22,6 @@ operation to the document is logged via the ``git'' version control system and
 thus can be traced back to a specific author.  We do not trust an unknown git
 server. 
 
-Public peer-review / ``multiple eyes'' checking our recommendation is the best
+Public peer-review and  ``multiple eyes'' checking our recommendation is the best
 strategy we can imagine at the moment\footnote{\url{http://www.wired.com/opinion/2013/10/how-to-design-and-defend-against-the-perfect-backdoor/}}.