/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/po/templates.pot

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:03:38 UTC
  • Revision ID: teddy@recompile.se-20150310180338-pcxw6r2qmw9k6br9
Add ":!RSA" to GnuTLS priority string, to disallow non-DHE kx.

If Mandos was somehow made to use a non-ephemeral Diffie-Hellman key
exchange algorithm in the TLS handshake, any saved network traffic
could then be decrypted later if the Mandos client key was obtained.
By default, Mandos uses ephemeral DH key exchanges which does not have
this problem, but a non-ephemeral key exchange algorithm was still
enabled by default.  The simplest solution is to simply turn that off,
which ensures that Mandos will always use ephemeral DH key exchanges.

There is a "PFS" priority string specifier, but we can't use it because:

1. Security-wise, it is a mix between "NORMAL" and "SECURE128" - it
   enables a lot more algorithms than "SECURE256".

2. It is only available since GnuTLS 3.2.4.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
# SOME DESCRIPTIVE TITLE.
2
 
# Copyright (C) YEAR THE PACKAGE'S COPYRIGHT HOLDER
3
 
# This file is distributed under the same license as the mandos package.
4
 
# FIRST AUTHOR <EMAIL@ADDRESS>, YEAR.
5
 
#
6
 
#, fuzzy
7
 
msgid ""
8
 
msgstr ""
9
 
"Project-Id-Version: mandos\n"
10
 
"Report-Msgid-Bugs-To: mandos@packages.debian.org\n"
11
 
"POT-Creation-Date: 2019-07-27 21:06+0200\n"
12
 
"PO-Revision-Date: YEAR-MO-DA HO:MI+ZONE\n"
13
 
"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
14
 
"Language-Team: LANGUAGE <LL@li.org>\n"
15
 
"Language: \n"
16
 
"MIME-Version: 1.0\n"
17
 
"Content-Type: text/plain; charset=CHARSET\n"
18
 
"Content-Transfer-Encoding: 8bit\n"
19
 
 
20
 
#. Type: note
21
 
#. Description
22
 
#: ../mandos.templates:1001
23
 
msgid "New client option \"key_id\" is REQUIRED on server"
24
 
msgstr ""
25
 
 
26
 
#. Type: note
27
 
#. Description
28
 
#: ../mandos.templates:1001
29
 
msgid ""
30
 
"A new \"key_id\" client option is REQUIRED in the clients.conf file, "
31
 
"otherwise the client most likely will not reboot unattended.  This option:"
32
 
msgstr ""
33
 
 
34
 
#. Type: note
35
 
#. Description
36
 
#: ../mandos.templates:1001
37
 
msgid "key_id = <HEXSTRING>"
38
 
msgstr ""
39
 
 
40
 
#. Type: note
41
 
#. Description
42
 
#: ../mandos.templates:1001
43
 
msgid ""
44
 
"must be added in the file /etc/mandos/clients.conf, right before the "
45
 
"\"fingerprint\" option, for each Mandos client.  You must edit that file and "
46
 
"add this option for all clients.  To see the correct key ID for each client, "
47
 
"run this command (on each client):"
48
 
msgstr ""
49
 
 
50
 
#. Type: note
51
 
#. Description
52
 
#: ../mandos.templates:1001
53
 
msgid "mandos-keygen -F/dev/null|grep ^key_id"
54
 
msgstr ""
55
 
 
56
 
#. Type: note
57
 
#. Description
58
 
#: ../mandos.templates:1001
59
 
msgid ""
60
 
"Note: the clients must all also be using GnuTLS 3.6.6 or later; the server "
61
 
"cannot serve passwords for both old and new clients!"
62
 
msgstr ""
63
 
 
64
 
#. Type: note
65
 
#. Description
66
 
#: ../mandos.templates:1001
67
 
msgid ""
68
 
"Rationale: With GnuTLS 3.6.6, Mandos has been forced to stop using OpenPGP "
69
 
"keys as TLS session keys.  A new TLS key pair will be generated on each "
70
 
"client and will be used as identification, but the key ID of the public key "
71
 
"needs to be added to this server, since this will now be used to identify "
72
 
"the client to the server."
73
 
msgstr ""
74
 
 
75
 
#. Type: note
76
 
#. Description
77
 
#: ../mandos.templates:2001
78
 
msgid "Bad key IDs have been removed from clients.conf"
79
 
msgstr ""
80
 
 
81
 
#. Type: note
82
 
#. Description
83
 
#: ../mandos.templates:2001
84
 
msgid ""
85
 
"Bad key IDs, which were created by a bug in Mandos client 1.8.0, have been "
86
 
"removed from /etc/mandos/clients.conf"
87
 
msgstr ""
88
 
 
89
 
#. Type: note
90
 
#. description
91
 
#: ../mandos-client.templates:1001
92
 
msgid "New client option \"${key_id}\" is REQUIRED on server"
93
 
msgstr ""
94
 
 
95
 
#. Type: note
96
 
#. description
97
 
#: ../mandos-client.templates:1001
98
 
msgid ""
99
 
"A new \"key_id\" client option is REQUIRED in the server's clients.conf "
100
 
"file, otherwise this computer most likely will not reboot unattended.  This "
101
 
"option:"
102
 
msgstr ""
103
 
 
104
 
#. Type: note
105
 
#. description
106
 
#: ../mandos-client.templates:1001
107
 
msgid "${key_id}"
108
 
msgstr ""
109
 
 
110
 
#. Type: note
111
 
#. description
112
 
#: ../mandos-client.templates:1001
113
 
msgid ""
114
 
"must be added (all on one line!) on the Mandos server host, in the file /etc/"
115
 
"mandos/clients.conf, right before the \"fingerprint\" option for this Mandos "
116
 
"client.  You must edit that file on that server and add this option."
117
 
msgstr ""
118
 
 
119
 
#. Type: note
120
 
#. description
121
 
#: ../mandos-client.templates:1001
122
 
msgid ""
123
 
"With GnuTLS 3.6.6, Mandos has been forced to stop using OpenPGP keys as TLS "
124
 
"session keys.  A new TLS key pair has been generated and will be used as "
125
 
"identification, but the key ID of the public key needs to be added to the "
126
 
"server, since this will now be used to identify the client to the server."
127
 
msgstr ""