…und TLS 1.3 gebleichenbacht :(

Wenn Du denkst, Du hast gute Krypto installiert, kommt ein Bleichenbacher um die Ecke und was ist die Essenz?

Die X.te Bleichenbacher Attacke funktioniert auch bei TLS 1.3 !

Wie ZDNET heute berichtet, ist einen Team von Forschern mit einem CACHE Timingangriff gelungen, auch im TLS 1.3 die RSA Parameter der Verbindung auszulesen. Ehrlich gesagt, lohnt es nicht mal darüber zu berichten, weil das mit den Bleichenbacherangriffen immer so weiter gehen wird, wenn der uralte RSA Kram da nicht mal rausfliegt.

Gestern habe ich noch die GNU Admins angeprangert, weil die nur TLS 1.0 können, aber falls das eine fatalistische Prognose zur TLS Krypto der Zukunft war, Glückwunsch: Volltreffer, versenkt.  Es lohnt nicht auf neue Versionen zu gehen, wenn die dann doch wie die Fliegen umfallen. Es müßte doch noch mehr Leute geben die was davon verstehen und endlich mal was ohne RSA bauen, daß funktioniert.

Quelle: https://www.zdnet.com/article/new-tls-encryption-busting-attack-also-impacts-the-newer-tls-1-3/

Gnu.org im Jahr 1998 stecken geblieben

Ja, ich weiß, Ihr könnt es nicht mehr lesen, der xte Mailserver der keine TLS 1.2 kann, nur leider hat der hier eggs.gnu.org eine wichtige Rolle, der handelt nämlich Emails für gnu.org . Kein TLS 1.2 , keine Emails mehr aus Europa.

„.. und dabei ist FOSS & TLS 1.2 kein Widerspruch.“

Trying TLS on eggs.gnu.org[209.51.188.92:25] (10):

secondstest stage and result
[000.007]Connected to server
[000.167]<–220 eggs.gnu.org ESMTP Exim 4.71 Sat, 09 Feb 2019 11:54:20 -0500
[000.167]We are allowed to connect
[000.167] –>EHLO www6.CheckTLS.com
[000.174]<–250-eggs.gnu.org Hello www6.checktls.com [159.89.187.50]
250-SIZE 52428800
250-PIPELINING
250-STARTTLS
250 HELP
[000.174]We can use this server
[000.175]TLS is an option on this server
[000.175] –>STARTTLS
[000.185]<–220 TLS go ahead
[000.186]STARTTLS command works on this server
[000.275]Connection converted to SSL
SSLVersion in use: TLSv1
Cipher in use: DHE-RSA-AES256-SHA
Certificate 1 of 3 in chain: Cert VALIDATED: ok
Cert Hostname VERIFIED (eggs.gnu.org = eggs.gnu.org | DNS:eggs.gnu.org | DNS:mail.gnu.org)
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=03:f9:06:4d:6c:6d:1e:1c:83:03:50:8a:32:c0:d5:a9:da:99
subject= /CN=eggs.gnu.org
issuer= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
Certificate 2 of 3 in chain: Cert VALIDATED: ok
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=0a:01:41:42:00:00:01:53:85:73:6a:0b:85:ec:a7:08
subject= /C=US/O=Let’s Encrypt/CN=Let’s Encrypt Authority X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
Certificate 3 of 3 in chain: Cert VALIDATED: ok
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
subject= /O=Digital Signature Trust Co./CN=DST Root CA X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3

wenn man mal genauer hinsieht mit :  „openssl s_client -connect eggs.gnu.org:25 -starttls smtp -tls1“

Subject=/CN=eggs.gnu.org
….
New, SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
….
250 HELP

sieht dann auch, daß der Cipher noch aus SSLv3 Zeiten stammt, was nicht verwundert, weil TLS 1.0 nur SSLv3 mit SNI Support ist.

Falls jemand von Euch jemand den GNU Leuten Emails schicken will, machts gleich in Klartext 😀

Wifiscanner App

Habt Ihr Euch mal gewünscht, daß Ihr mehr als nur die Liste mit verfügbaren WIFI Netzen sehen zu können ? Vielleicht auch, wo die liegen ? Also rein technisch, auf welchem Channel ? Na dann hätte ich da was für Euch:

Oh Ja, bei der Aufnahme was ganz schön was los 😀

Es dürfte offensichtlich sein, was man damit machen kann 😉 Weniger offensichtlich ist, wo man es her bekommt.

Versuchts mal hier:  https://github.com/Cyborgscode/wifiscanner

Wers gut findet kann ja mal einen Like auf Github da lassen.

Ach ja

das obligatorische Making-Of : 1 Tag GTK lernen, C hassen und Polkit verfluchend ( hat sich gelegt  😉 ) könnt Ihr ja selbst mal machen 😉

Die Schriftgröße des Bootprozesses anpassen

Wie man die Schrift im Bootmenü größer bekommt, konnten Ihr ja hier schon nachlesen: Wie man den GRUB2-EFI-Bootfont ändert . Jetzt passen wir noch den Bootprozess an, weil man dann Fehler besser lesen kann.

Mit dem Kernel auf Du und Du

Die Überschrift ist irreführend, den partnerschaftlich geht es heute nicht zu 😉 Vielmehr werden wir dem Kernel mal einen kleinen Tipp geben, den er nicht ignorieren kann.

Das Problem ist leicht zu sehen, wenn man ein großes Display, aber schlecht Augen hat. Als Jugendlicher wird man vielleicht mit FHD und UHD Bildschirmen noch zurecht kommen, aber als Ü30 wird sich das schnell ändern. Also müssen wir bei solchen Displays mal ein bisschen nachhelfen.

Das es da keinen vernünftigen Automatismus gibt, der nachvollzieht, daß ein UHD Display, aber ein 10pt Font keine gute Kombi sind, ist ehrlich gesagt enttäuschend. Diese Displays gibts ja nicht erst seit gestern. Dann ändern wir das mal manuell:

# vi /etc/default/grub

an die Zeile :

GRUB_CMDLINE_LINUX=“… rhgb quiet audit=0

hängen wir diese Anweisung an:

GRUB_CMDLINE_LINUX=“… rhgb quiet audit=0 vconsole.font=latarcyrheb-sun32

Wer einen größeren Font braucht, muß am Ende nur die Zahl anpassen 48, 72,96 usw. (ACHTUNG: es muß nicht jede Kombination der Fontgröße auch wirklich geben).

Jetzt noch die Grub.cfg aktualisieren:

EFI: grub2-mkconfig -o /boot/efi/EFI/fedora/grub.cfg
BIOS: grub2-mkconfig -o /boot/grub2/grub.cfg

und fertig. Probiert ruhig aus.

Wie man den GRUB2-EFI-Bootfont ändert

Ihr wollt auf einem FULL-HD Display nicht mehr mit der Lupe nach Eurem Grub2 Bootmenü schauen?

Die folgende Anleitung könnte helfen

Es sind drei Schritte nötig um die Fontgröße im EFI Menü zu ändern.

1. Bootfont erstellen:

grub2-mkfont -s 36 -o /boot/efi/EFI/fedora/fonts/sans.pf2 /usr/share/fonts/dejavu/DejaVuSansMono.ttf

Ihr seid natürlich frei einen eigenen anderen Font auf Eurem Computer zu benutzen.

2. die GRUB Default anpassen:

# vi /etc/default/grub

GRUB_TERMINAL_OUTPUT=“console

ändern in :

GRUB_TERMINAL_OUTPUT=“gfxterm

und unten anfügen :
GRUB_FONT=/boot/efi/EFI/fedora/fonts/sans.pf2

3. Noch die grub.cfg updaten:

grub2-mkconfig -o /boot/efi/EFI/fedora/grub.cfg

Fertig. Einmal rebooten und ab sofort könnt Ihr ohne Lupe aus dem Haus gehen 😉

Diese Anleitung ist nur für EFI Boots gültig, selbst wenn Ihr EFI im Bios abgeschaltet habt. Wurde das System mit EFI installiert, braucht Ihr den EFI Weg zum Bootfont.

Update für Legacy-Bios-Boots:

grub2-mkconfig -o /boot/grub2/grub.cfg