/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:52:09 UTC
  • Revision ID: teddy@recompile.se-20150310185209-lxuovbu09zwyk9bx
Automatically determine the number of DH bits in the TLS handshake.

Instead of using a default value of 1024, check the OpenPGP key and
determine an appropriate number of DH bits to use, (using GnuTLS
functions made for this).  Document this new default behavior.

* plugins.d/mandos-client.c (safe_string): New function.
  (init_gnutls_global): If not specified, determine the number of DH
                        bits to use, based on the OpenPGP key.
* plugins.d/mandos-client.xml (OPTIONS): Document this new default of
                                         the --dh-bits option.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2013-06-21">
 
5
<!ENTITY TIMESTAMP "2015-03-08">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
36
      <year>2012</year>
 
37
      <year>2013</year>
 
38
      <year>2014</year>
37
39
      <holder>Teddy Hogeborn</holder>
38
40
      <holder>Björn Påhlsson</holder>
39
41
    </copyright>
218
220
            assumed to separate the address from the port number.
219
221
          </para>
220
222
          <para>
221
 
            This option is normally only useful for testing and
222
 
            debugging.
 
223
            Normally, Zeroconf would be used to locate Mandos servers,
 
224
            in which case this option would only be used when testing
 
225
            and debugging.
223
226
          </para>
224
227
        </listitem>
225
228
      </varlistentry>
258
261
          <para>
259
262
            <replaceable>NAME</replaceable> can be the string
260
263
            <quote><literal>none</literal></quote>; this will make
261
 
            <command>&COMMANDNAME;</command> not bring up
262
 
            <emphasis>any</emphasis> interfaces specified
263
 
            <emphasis>after</emphasis> this string.  This is not
264
 
            recommended, and only meant for advanced users.
 
264
            <command>&COMMANDNAME;</command> only bring up interfaces
 
265
            specified <emphasis>before</emphasis> this string.  This
 
266
            is not recommended, and only meant for advanced users.
265
267
          </para>
266
268
        </listitem>
267
269
      </varlistentry>
309
311
        <listitem>
310
312
          <para>
311
313
            Sets the number of bits to use for the prime number in the
312
 
            TLS Diffie-Hellman key exchange.  Default is 1024.
 
314
            TLS Diffie-Hellman key exchange.  The default value is
 
315
            selected automatically based on the OpenPGP key.
313
316
          </para>
314
317
        </listitem>
315
318
      </varlistentry>
746
749
    <para>
747
750
      It will also help if the checker program on the server is
748
751
      configured to request something from the client which can not be
749
 
      spoofed by someone else on the network, unlike unencrypted
750
 
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
 
752
      spoofed by someone else on the network, like SSH server key
 
753
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
 
754
      echo (<quote>ping</quote>) replies.
751
755
    </para>
752
756
    <para>
753
757
      <emphasis>Note</emphasis>: This makes it completely insecure to