Administratoren! Machet Krypto, aber besser...
Bettercrypto hilft Systemadmins, Verschlüsselung einzurichten und zu verbessern. Copy&Paste ist gewünscht, Verbesserungsvorschläge ebenso.
Nur gute Verschlüsselung funktioniert, denn Überwacher versuchen mit großem Aufwand, Implementierungsfehler zu provozieren und auszunutzen. Rechtzeitig zum Kalenderjahr 1 nach Snowden hat Bettercrypto.org deshalb den Entwurf eines Leitfadens für Applied Crypto Hardening (PDF) veröffentlicht. Die Anleitung wurde auf dem 30. Chaos Communication Congress (30C3) präsentiert. Sie zeigt Systemadministratoren, wie sie Systeme und Kommunikation besser schützen können.
Die Anweisungen und Einstellungen sind für Copy & Paste gemacht. Außerdem wird jeweils kurz erklärt, warum genau diese Version empfohlen wird oder warum bestimmte Alternativen weniger ratsam wären. Dazu kommen Kommandozeilen-Befehle, Werkzeuge für Tests und Links zu Hersteller-Infos.
Behandelt werden Webserver, Mailserver, SSL, SSH, PGP/GPG, Instant Messaging, VPN, Datenbanken und Proxys. Sowohl freie als auch kommerzielle Systeme werden berücksichtigt. Für einschlägig Interessierte erläutert ein eigenes Kapitel die theoretischen Hintergründe.
Verschlüsselung einrichten, Verbesserungen vorschlagen
Bettercrypto.org ist eine Privatinitiative von IT-Security-Experten und Verschlüsselungsfachleuten aus Belgien, Deutschland und Österreich. Die Entstehung und Weiterentwicklung des Dokuments ist und wird öffentlich dokumentiert.
"Uns ist wichtig, dass alle Admins überall Verschlüsselung einsetzen. Zudem können bestehende Sicherheitsmaßnahmen oft durch wenige Zeichen in den Settings deutlich verbessert werden", betont Bettercrypto.org gegenüber heise online, "Wir wollen das allen Admins so einfach wie möglich machen."
Den Anspruch der Perfektion erheben die Autoren ausdrücklich nicht. Vielmehr laden sie jedermann ein, Fehler zu melden oder Verbesserungsvorschläge zu machen. Der Leitfaden ist unter einer Creative-Commons-Lizenz (CC-SA-BY) verfügbar und kann daher, beispielsweise für den Einsatz in Unternehmen, frei verteilt werden.
Beispiel
Als Auszug aus Applied Crypto Hardening hier die empfohlenen SSH-Einstellungen bei Cisco ASA 9.1(3):
crypto key generate rsa modulus 2048
ssh version 2
ssh key - exchange group dh - group14 - sha1
line vty 0 4
transport input ssh
Im Unterschied zu den Default-Settings wird statt SSH 1 oder 2 nur noch SSH 2 zugelassen. Der DH-Schlüsselaustausch wird von group1 auf group14 aufgewertet, und die Schlüssellänge wird auf das systembedingte Maximum von 2048 bit angehoben. Die letzte Zeile legt fest, dass nur SSH-Logins möglich sind. Schließlich soll zur Überprüfung der Schlüsselaustausch beobachtet werden, in dem sich ein Client mit aktiviertem verbose logging einloggt:
$ ssh -vvv myserver.com
(cwo)
