Merge branch 'master' of github.com:sebix/Applied-Crypto-Hardening into sebix-master

Revert "Updated make clean to prevent incorrect failures"

This reverts commit 4a5f09431ac311fd13a553e03cf534903467daee.

notes

Merge branch 'master' of https://git.bettercrypto.org/ach-master

notes

Updated make clean to prevent incorrect failures

notes

keep notes

don't forget things we said during the meeting. put it into TODO.md

add feedback by Tobias pape

Spell checking (used aspell, and dict.cc and wikipedia for reference)

warning in SSH-section about connection problems (has also been requested on mailinglist)

Adjusting listing box margin, was too for using texlive 2013, I had 2012

Revert paragraphDiamond

Merge branch 'master' of github.com:BetterCrypto/Applied-Crypto-Hardening
and adjust the LaTeX code

Conflicts:
src/practical_settings/mailserver.tex
src/practical_settings/vpn.tex

Merge pull request #46 from oglueck/master

add Openswan

add Openswan

postfix: docs are wrong, loglevel must be >= 1

Add information on ECDH-params for lighttpd

Merge branch 'master' of github.com:BetterCrypto/Applied-Crypto-Hardening

minor change

rename TODO.txt to TODO.md so that it is easier to read on github

Correct merge Error: nginx: "as long as they are > 1024 bits"

Merge remote-tracking branch 'upstream/master'

Merge branch 'master' of https://git.bettercrypto.org/ach-master

note about feedback: explain compression

last small typographical corrections
paragraphs and empty lines

PKI Self-Signing: add a command to create a cert and self-sign it

use the order Tested > Settings > References everywhere, corrected
some typographic issues with paragraphDiamond and paragraph

Use compact lists of mdwlist, save space

Remove Heading (scrheadings), Aaron's wish

Makefile: "make once" runs pdflatex once; .txt only removed if
existing (make otherwise throws an error)

LaTeX-Code cleanup, syntax uniformed and correct typography, new
command: \paragraphDiamond{heading}
it makes a paragraph and afterwards displays a \diamond, should be
used when you need something below \subsubsection. It is more
space-saving than \paragraph{heading}\mbox{}\\

Use UTF-8 for umlauts, copying them out of the PDF does now work,
corrected some HTML-Umlauts

Merge branch 'master' of github.com:BetterCrypto/Applied-Crypto-Hardening

Conflicts:
src/acknowledgements.tex
src/applied-crypto-hardening.tex
src/cipherStringB.txt
src/disclaimer.tex
src/perlify.pl
src/practical_settings.tex
src/practical_settings/DBs.tex
src/practical_settings/GPG.tex
src/practical_settings/im.tex
src/practical_settings/mailserver.tex
src/practical_settings/ssh.tex
src/practical_settings/vpn.tex
src/practical_settings/webserver.tex
src/reviewers.tex

Added very experimental TXT export

Added a tools to check for mixed SSL on your website

correction for F.Mendel's association: it is A-Sit and IAIK.

Merge pull request #44 from mathisdt/master

added tested versions and harmonized references to Debian Versions

added tested versions and harmonized references to Debian Versions (Wheezy makes more sense than 7.0 or 7.3)

the last _ fix did not fix it. Add a \url and escape #

fixed underscore in url

added todo to lighttpd (ec curve selection and dh parameters file)

DBs.tex still had a hardcoded cipherstring B text and no @@@CIPHERSTRINGB@@@ macro!
This was wrong. If we decide to use cipherstring B everywhere, then we need to also do it here.

RNGs.tex already had moved to src/theory/ . Remove outdated version in src/

remember topics we said in the meeting

fix intendation in openssh section

add openssh section for debian wheezy/openssh6.0

Merge pull request #43 from ax3l/fix-openSSH64kex

Remove curve25519-sha256@libssh.org for now

Remove curve25519-sha256@libssh.org for now

It did not make it in the last OpenSSH release,
we will re-add it with the next release, together with
chacha20-poly1305@openssh.com, ssh-ed25519,
ssh-ed25519-cert-v01@openssh.com and others.

Merge pull request #39 from fxkr/openssh-permitrootlogin-without-password

openssh: PermitRootLogin: no -> without-password

LaTeX comment on how to remove the draft watermark

updated/fixed keylength recommendations based on Ecrypt Paper

add IACR cryptoDB BibTeX entries for ALL THE PUBLICATIONS!

forgot to commit a comment in TODO.txt

Merge branch 'krono/draft-enhanchement' of https://github.com/krono/Applied-Crypto-Hardening

Re-enable SRP.

Reasoning:

1) feedback on the mailing lists requested removal of "!SRP".
2) first of all, sysadmins need to configure SRP manually anyway.
This means, disabling SRP in our cipher string will just lock it out anyway but not specifiying SRP will not disable it for an already configured SRP system
3) SRP seems to be a good protocol

Relevant mailing list posts:
http://lists.cert.at/pipermail/ach/2013-December/thread.html#616

add howmyssl.com

rename

collect more feedback

update feedback list

feedback on 2k RSA keys

properly reference the debian howto on PGP settings

try to find the most important points

list feedback items which must be reviewed

place to collect feedback

Re-enable draft

Revert "Revert "Merge pull request #36 from krono/krono/draft-enhanchement""

This reverts commit be7a9f46ca468be59644fc770ed01015f4c2042c.

Merge branch 'master' of https://git.bettercrypto.org/ach-master

merge of a conflict. @Azet: please always - when pulling in change requests from github.com - also sync these against the main repo.
(git push origin master)

Thanks :)

Conflicts:
src/practical_settings/ssh.tex

openssh: PermitRootLogin: without-password comment

It's useful, but we still default to the more secure "no".

Merge pull request #38 from fxkr/readme--reviewers.tex-was-renamed

readme/faq: reviewers.tex -> acknowledgements.tex

readme/faq: reviewers.tex -> acknowledgements.tex

no OpenSSH upstream support of DJB curves as of today

Merge pull request #32 from ax3l/ssh-moreEtmMacs

SSHd: add ETM MACs for SHA2

Only advertise OpenSSH 6.4

GCM, UMAC and ETM added in 6.2, but due to a memory corruption vulnerability
in 6.2 and 6.3 by an insecure GCM implementation
  http://www.openssh.com/txt/gcmrekey.adv
we only recommend OpenSSH 6.4+
  http://www.openssh.com/txt/release-6.4

ETM for SSH2 was introduced in OpenSSH 6.2

I tested the settings for OpenSSH 6.4.
Release log for OpenSSH 6.2: http://www.openssh.com/txt/release-6.2

Remove aes-192 for now

Merge pull request #37 from Intichar/master

Minor changes in IOS section

Remove AllowUsers

Too specific. Thanks to @azet for the feedback!

Add intermediate aes192-ctr

Won't harm and increases available ciphers

spaces -> tabs

Optional: Whitelist static users for login

Quite conservative but useful for systems with a very limited number
of allowed system users for SSH.

Tested with OpenSSH 6.4, too

more space between text and footnotes

Revert "Merge pull request #36 from krono/krono/draft-enhanchement"

This reverts commit 76b22bb473e0f089fcd78159af74f3226b9be089, reversing
changes made to a3b6a5dffd72b739b98b8c9c0ead5793ab747479.

Reason:
oops, wait... I see some problems:
1) the header on the top of each page always says "Contents" (no matter which chapter it is)
2) the draft git version in the footer disappeared
3) I actually don't see a bitmap.
Sorry, reverting for now...

Should really learn the alphabet...

Added myself to the reviewers list

Merge pull request #36 from krono/krono/draft-enhanchement

Change Draft-mark handling

Merge pull request #33 from ax3l/apache2-notefix

Confusion: EECDH+Cipher and stated "omit ECDHE"

Minor changes in IOS section

4096 bit rsa keys, corrected "404" link @ cisco homepage

Change Draft-mark handling

 1. Replace textual mark by whole-page bitmapped image.
    This is necessary to avoid accidental selection of the mark
    when copy&paste-ing from the document.
 2. Add a draft-indicator at bottom and top of the page.

Eventually, we can:
 1. Remove the watermark altogether
 2. Remove the draft-info from the normal page footer.

remove the draft across the document, since it is a problem with copy & paste

Merge pull request #35 from Ardobras/master

lighttpd config fix

lighttpd config fix

just ran across this small typo. either this or the curly bracket below should be removed to keep it c&p able. keep up the good work!

remember to update the webserver config (and document it ;-)

Did you mean EECDH here?

EECDH and ECDHE are synonyms
  https://www.mail-archive.com/openssl-dev@openssl.org/msg33405.html
but writing "you can omit all ciphers starting with ECDHE" and only
listing ciphers starting with "EECDH" will confuse the reader.

SSHd: add ETM MACs for SHA2

Should be in since 6.1 (but tested with OpenSSH 6.4).

Merge pull request #31 from ax3l/external-links

External links

Merge pull request #30 from ax3l/text-apachehttps

Replace httpS with bold s as in #22 for nginx

removed line vty stuff in ASA (thanks mario zabrocki)