/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to network-protocol.txt

  • Committer: Teddy Hogeborn
  • Date: 2015-07-20 03:03:33 UTC
  • mto: (237.7.594 trunk)
  • mto: This revision was merged to the branch mainline in revision 325.
  • Revision ID: teddy@recompile.se-20150720030333-203m2aeblypcsfte
Bug fix for GnuTLS 3: be compatible with old 2048-bit DSA keys.

The mandos-keygen program in Mandos version 1.6.0 and older generated
2048-bit DSA keys, and when GnuTLS uses these it has trouble
connecting using the Mandos default priority string.  This was
previously fixed in Mandos 1.6.2, but the bug reappeared when using
GnuTLS 3, so the default priority string has to change again; this
time also the Mandos client has to change its default, so now the
server and the client should use the same default priority string:

SECURE256:!CTYPE-X.509:+CTYPE-OPENPGP:!RSA:+SIGN-DSA-SHA256

* mandos (main/server_defaults): Changed default priority string.
* mandos-options.xml (/section/para[id="priority_compat"]): Removed.
  (/section/para[id="priority"]): Changed default priority string.
* mandos.conf ([DEFAULT]/priority): - '' -
* mandos.conf.xml (OPTIONS/priority): Refer to the id "priority"
                                      instead of "priority_compat".
* mandos.xml (OPTIONS/--priority): - '' -
* plugins.d/mandos-client.c (main): Changed default priority string.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
The Mandos server announces itself as a Zeroconf service of type
2
 
"_mandos._tcp". The Mandos client sends a line of text where the first
3
 
whitespace-separated field is the protocol version, which currently is
4
 
"1".  The client and server then start a TLS protocol handshake with a
5
 
slight quirk: the Mandos server program acts as a TLS "client" while
6
 
the connecting Mandos client acts as a TLS "server".  The Mandos
7
 
client must supply an OpenPGP certificate, and the fingerprint of this
8
 
certificate is used by the Mandos server to look up (in a list read
9
 
from a file at start time) which binary blob to give the client.  No
10
 
other authentication or authorization is done by the server.
11
 
 
12
 
| Mandos Client                              |     | Mandos Server |
13
 
|--------------------------------------------+-----+---------------|
14
 
| Connect                                    |     |               |
15
 
| "1\r\n"                                    | ->  |               |
16
 
| TLS handshake                              | <-> | TLS handshake |
17
 
| OpenPGP public key (part of TLS handshake) | ->  |               |
18
 
|                                            | <-  | Binary blob   |
19
 
|                                            |     | Close         |