[Dovecot-de] dovecot 2.2.18 and ssl_parameters_regenerate

Django [BOfH] django at nausch.org
Di Jun 2 16:43:59 CEST 2015


Griasde Alexander,

Am 02.06.2015 um 15:10 schrieb Alexander Stoll:

> *hmmpf* Exkurs: es ging mir nicht darum mit dem Finger auf Dich zu
> zeigen ;-)

Ach zeig nur, ich kann das ab. :) Solange nicht wieder Peer direkt bei
mir anklopft ist mir alles wurscht ...

> Grundsätzlich scheint mir die Reaktion auf Logjam in der Mehrheit eher
> von reflexhaftem Aktionismus geprägt zu sein und nicht aufgrund
> ausreichendem Verständnis für die extrem komplexen Zusammenhänge.

Aktuelle Sicherheitslücken wie Logjam nutze ich immer, mir Gedanken zu
machen, ob ich das richtige richtig tue. So bin ich bei Dovecot ja auf
den Umstand gestoßen, dass nicht wie in Timos Doku steht 1x pro Woche
entsprechende DH-Parameter neu ausgehandelt werden, sonder eben nix
passiert. Bei den Webservern habe ich mich Dank Logjam in Sachen wie
OCSP (stapling), SPDY, HPKP oder HSTS einzuarbeiten.

Ich versuche für mich immer zu verstehen, warum was wie funktioniert und
wie ich es anstellen muss, wie ich zu meinem gewünschten Ziel komme.

> Irgendwie hat bisher niemand in transparenter Weise dargestellt und
> nachvollziehbar gemacht, was die zyklische Neugenerierung der Parameter
> so ganz konkret bringt, vor allem im Kontext zu anderen Größen, die auf
> die Sicherheit einer Verbindung Einfluss haben.

Also Andreas's Argumentation von hier teile ich mal grundsätzlich:
https://andreasschulze.de/dovecot/ssl-params
Wo bei natürlich ein entsprechender Nachweis, ala ssllabs.com mich schon
sehr interessieren würde.

> Anbetracht der extremen "Kosten" (CPU), die vor allem kleine Systeme
> trifft (schon mal getestet wie lange n Raspi dazu braucht? ;-) )
> verwundert mich das.

Also ich mach ja auch viele verrückte Sachen, aber 'nen MTA oder MDA auf
'nen Raspi zu packen, ist selbst mir zu krass und abwegig. Da bin ich
eher einer von der Sorte, nicht kleckern sondern ordendlich ranklotzen.

> Natürlich muss man nicht diskutieren, dass der zyklische Wechsel bei
> einem inhärent für Precomputation Attacks anfälligen Verfahren ohne
> Zweifel statistisch gesehen irgendwelche Vorteile bringt, nur, wie
> fallen die ganz konkret im "Real Life" gegenüber den anderen Stellgrößen
> aus?

Gute und berechtigte Frage, ich hoffe ich bin nach dem Durchackern der
Thematik halbwegs in der Lage, mir hierzu entsprechende Antworten zu geben.

> Ich habe mich nur mühsamst in die Materie eingelesen, bemüht die
> Gesamtproblematik nachzuvollziehen und eben Probleme, nach meiner
> eigenen Abschätzung und Ummünzen in reale Rezepte ...

Da sind wir uns vermutlich ziemlich ähnlich.

> Gerne darf jemand mit entsprechendem Fachwissen versuchen eine
> nachvollziehbare Risikobewertung/Auswirkung, vor allem auch in Relation
> zu anderen Parametern (Wahl der Ziffer, Güte der Entropie, etc.)
> gegenüberzustellen, das fände ich ungeheuer erhellend und hilfreich!

FULLACK! Also Peer, P at rick & Co raus aus der Versenkung und lass uns
nicht dumm sterben! ;)


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


Mehr Informationen über die Mailingliste Dovecot