/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to network-protocol.txt

  • Committer: Teddy Hogeborn
  • Date: 2014-06-22 02:19:30 UTC
  • Revision ID: teddy@recompile.se-20140622021930-icl7h4cm97blhjml
mandos-keygen: Generate "checker" option to use SSH fingerprints.

To turn this off, use a new "--no-ssh" option to mandos-keygen.

* INSTALL (Mandos Server, Mandos Client): Document new suggested
                                          installation of SSH.
* Makefile (confdir/clients.conf): Use new "--no-ssh" option to
                                   "mandos-keygen".
* debian/control (mandos/Depends): Changed to "fping | ssh-client".
  (mandos-client/Recommends): New; set to "ssh".
* intro.xml (FREQUENTLY ASKED QUESTIONS): Rename and rewrite section
                                          called "Faking ping
                                          replies?" to address new
                                          default behavior.
* mandos-clients.conf.xml (OPTIONS/checker): Briefly discuss new
                                             behavior of
                                             mandos-keygen.
* mandos-keygen: Bug fix: Suppress failure output of "shred" to remove
                 "sec*", since no such files may exist.
 (password mode): Scan for SSH key fingerprints and output as new
                  "checker" and "ssh_fingerprint" options, unless new
                  "--no-ssh" option is given.
* mandos-keygen.xml (SYNOPSIS/--force): Bug fix: Document short form.
  (OPTIONS/--no-ssh): New.
  (SEE ALSO): Add reference "ssh-keyscan(1)".
* plugins.d/mandos-client.xml (SECURITY): Briefly mention the
                                          possibility of using SSH key
                                          fingerprints for checking.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
The Mandos server announces itself as a Zeroconf service of type
2
 
"_mandos._tcp". The Mandos client sends a line of text where the first
3
 
whitespace-separated field is the protocol version, which currently is
4
 
"1".  The client and server then start a TLS protocol handshake with a
5
 
slight quirk: the Mandos server program acts as a TLS "client" while
6
 
the connecting Mandos client acts as a TLS "server".  The Mandos
7
 
client must supply an OpenPGP certificate, and the fingerprint of this
8
 
certificate is used by the Mandos server to look up (in a list read
9
 
from a file at start time) which binary blob to give the client.  No
10
 
other authentication or authorization is done by the server.
11
 
 
12
 
| Mandos Client                              |     | Mandos Server |
13
 
|--------------------------------------------+-----+---------------|
14
 
| Connect                                    |     |               |
15
 
| "1\r\n"                                    | ->  |               |
16
 
| TLS handshake                              | <-> | TLS handshake |
17
 
| OpenPGP public key (part of TLS handshake) | ->  |               |
18
 
|                                            | <-  | Binary blob   |
19
 
|                                            |     | Close         |