/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2015-03-10 18:52:09 UTC
  • Revision ID: teddy@recompile.se-20150310185209-lxuovbu09zwyk9bx
Automatically determine the number of DH bits in the TLS handshake.

Instead of using a default value of 1024, check the OpenPGP key and
determine an appropriate number of DH bits to use, (using GnuTLS
functions made for this).  Document this new default behavior.

* plugins.d/mandos-client.c (safe_string): New function.
  (init_gnutls_global): If not specified, determine the number of DH
                        bits to use, based on the OpenPGP key.
* plugins.d/mandos-client.xml (OPTIONS): Document this new default of
                                         the --dh-bits option.

Thanks to Andreas Fischer <af@bantuX.org> for reporting this issue.

Show diffs side-by-side

added added

removed removed

Lines of Context:
plugins.d/mandos-client.xml
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2014-03-01">
 
5
<!ENTITY TIMESTAMP "2015-03-08">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
261
261
          <para>
262
262
            <replaceable>NAME</replaceable> can be the string
263
263
            <quote><literal>none</literal></quote>; this will make
264
 
            <command>&COMMANDNAME;</command> not bring up
265
 
            <emphasis>any</emphasis> interfaces specified
266
 
            <emphasis>after</emphasis> this string.  This is not
267
 
            recommended, and only meant for advanced users.
 
264
            <command>&COMMANDNAME;</command> only bring up interfaces
 
265
            specified <emphasis>before</emphasis> this string.  This
 
266
            is not recommended, and only meant for advanced users.
268
267
          </para>
269
268
        </listitem>
270
269
      </varlistentry>
312
311
        <listitem>
313
312
          <para>
314
313
            Sets the number of bits to use for the prime number in the
315
 
            TLS Diffie-Hellman key exchange.  Default is 1024.
 
314
            TLS Diffie-Hellman key exchange.  The default value is
 
315
            selected automatically based on the OpenPGP key.
316
316
          </para>
317
317
        </listitem>
318
318
      </varlistentry>
749
749
    <para>
750
750
      It will also help if the checker program on the server is
751
751
      configured to request something from the client which can not be
752
 
      spoofed by someone else on the network, unlike unencrypted
753
 
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
 
752
      spoofed by someone else on the network, like SSH server key
 
753
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
 
754
      echo (<quote>ping</quote>) replies.
754
755
    </para>
755
756
    <para>
756
757
      <emphasis>Note</emphasis>: This makes it completely insecure to