Přepis řeči - Bezpečný e-mail bezpečnější díky DANE

0:00:15	dobré dopoledne takže mně slyšíte
0:00:19	moje přednáška se s program bojovala bezpečný měl bezpečnější díky kterým
0:00:25	dane já jsem ondřej caletka že jste slyšeli
0:00:30	jasný jako je strýčku přejmenoval a
0:00:33	slovo bezpečný se nahradil slovem bezpečnější to s toho důvodu že vlastně
0:00:39	bezpečných sobě evokuje že jde o jako finální stav
0:00:43	a ona nikdy nejste uplně bezpečně vždycky jako je co zlepšovat takže řekněme že to
0:00:49	bude jenom takový jako bezpečnější
0:00:53	a že nějaké příchozí jak natož nebo natahovat
0:00:57	takže jde o to jde o to že maily všechny používané
0:01:02	a že je možné že bychom je mohli třeba používat bezpečný ale ještě nějž začnu
0:01:09	volit oni mailu
0:01:11	tak tady mám takový povinný
0:01:12	slajd který ukazuje
0:01:15	o sdružení se své ze kterého přikláněl kterém pracuju sdružení se set je zúžení dvaceti
0:01:21	šesti českých veřejných vysokých škol a akademie které provozuje národní síť vědy a výzkumu co
0:01:27	se ten národní síly výzkum to je dejte infrastruktura kterou tady vidíte
0:01:32	nejsou všemožně optické kabely natažené přes celou republiku máme ohromnou kapacitu linek ale nedělá nerozhodně
0:01:40	jinou síť děláme i
0:01:42	děláme i další projekty které s tím více či méně souvisí takže třeba máme oddělení
0:01:47	síťové identity které zaštiťuje projekt nebudou
0:01:50	co šelu ming wifi který určitě znáte mezi univerzitami
0:01:54	máme stejně obdobně and uvádí frejerova row identitu byl přihlašování jednotné přihlašování máme vlastní certifikační
0:02:01	autoritu
0:02:02	máme bezpečnostní tým u střelec který vyvíjí vlastní nástroje jako mandl máme na menta co
0:02:09	jsou nějaké expertní systémy na řešení bezpečnostní zezadu máme dokonce forenzní laboratoř která dokáže analyzovat
0:02:17	iluze málo li
0:02:19	na speciální certifikaci máme oddělení výpočetní židů že si kde může počítat nějaké ohromné operace
0:02:26	nenese metacentrum a zní nedávno vyčleněné oddělení datových úložišť se s nedá také které umožňuje
0:02:33	podstatě každému uživateli s akademického vlastně užívá datová uložiště
0:02:37	máme systémy vlastní systémy a dohled takovéhle infrastruktury za svoje práv a máme tak je
0:02:44	třeba oddělení multimédií které například jeví systém který jsme utratili troše open sousloví software ne
0:02:50	nízkolatenční před video všeho si ve vysokém rozlišení
0:02:53	takže by jste viděli že cesnet rozhodně není jenom síť je toho opravdu hodně
0:02:58	a bylo by teda samostatnou přednášku tak a teď došl bezpečnějším umyju
0:03:02	elektronické pošty všichni víte všichni používáte víte že to protokol který je nebo věc která
0:03:07	je starší než internet elektronická pošta je vystaven řízneš když existoval vůbec protokol tcp ip
0:03:14	a nicméně za tu dobu co existoval tak měnila ty protokoly tým se přenáší a
0:03:18	na tom internetu se používá protokol ty jsem sem tp je to se znamená simple
0:03:25	mail pracovat jako seš když
0:03:27	jistě ne jádra pro pokud stejný vyřešené nějaké věci jako třeba zprávy a také myslíte
0:03:31	že vám to pak tak uši jsem to jako není šest let trochu mimo
0:03:35	ale co je důležité říct achieved rajská pošle založena na principu přepojování zpráv hobla jeho
0:03:42	který by tu zprávu napíšete někam předáte odtamtud se předá někam dá a pak se
0:03:47	předá zase někam dál a pak třeba do pude do cíle a
0:03:51	důležité je že důležité je že
0:03:54	vlastně ušli kdysi dávno kdy jsme se učili s internetem devadesátých letech tak se prostě
0:03:59	že ta taková poučka vždy milník stejný neni psát něco byste nám se na zadní
0:04:03	stranu pohlednice protože prostě testy zprávy sou vlastně otevřené
0:04:09	a kdykoli se můžete dostat do nepovolaných rukou no ono to tak úplně není že
0:04:13	by to mohlo číst úplně kdokoliv když se podíváme na to jak se nejběžněji nejběžnější
0:04:18	neruším tenhleten tak máme vlastně většinou ty je entity které ten ímejl mohou číst po
0:04:25	cestě sou štyři ten obrázek je z wikipedie
0:04:28	já
0:04:29	takže tady vidíte že vlastně někdo kdo napíše výměna nějaká alice
0:04:34	nebo napíše a nějaký způsob všechna sudému
0:04:38	je se mnou který první matouš to vodeslat ten i pro ní odešle nějakému se
0:04:43	mu příjemce tady ještě tady je se počítat boba který se dost toho sedumnáctýho přestane
0:04:49	kterou lze protokolem po při používáš někdo zas pro to bylo při
0:04:52	to je taková věc z minulého tisíciletí ano při že se správně na té
0:04:56	jako vidíte že no
0:04:59	tak je to bývalo asi to patří do historie má to svoje místo v historii
0:05:02	podobně jako třeba já ze zdic osumdesát jedna tak
0:05:07	no
0:05:08	takže případě takže není takže když se měníme no a když si uvědomíme vlastně kde
0:05:13	ty se vyrobit leží tak touhletou samo o sobě není zas tak špatné protože
0:05:18	možná naivně předpokládáme že ty počítej ty lidé ty počítače těch lidí jsou jejich mírným
0:05:24	l majetkem a tím pádem na nich nějaké odposlouchávání nehrozí to jsem ale naivní co
0:05:29	a
0:05:30	že ty servery
0:05:32	povětšinou třeba ten server a dalece bude patřit nějakého nepřikrátil velmi s na ulici a
0:05:38	ten serverové bude patřit třeba nezítra zaměstná voba takže vlastně nikdo kromě alice a její
0:05:44	organizace a voba jeho validace
0:05:46	by se to je uplně jako neměl mít možnost dívat
0:05:50	teoreticky
0:05:51	takže kdo může poslouchat nové se odesílatel ten server příjemce růže
0:05:55	dojdeme k tomu jsem rád server že jí vlastně podle všeho lišit romaně a kdokoliv
0:06:00	té vysokoškoláka beru které se právě se ukázaly takové bůčky skutečně jako asi existují
0:06:06	a nejspíš linka nahrává pak otázka se taky no čte já si skoro myslím že
0:06:11	vtom objemu je to dost problém
0:06:12	ale můžou existovat
0:06:16	ten pán soudem který s tím přišel tak vyvolal spoustu reakci jedna z nich je
0:06:21	ls céčko který zrakem rebece ve sta osumdesát osum
0:06:24	a které takového dni to make up rizik monitoring je ze na tak to znamená
0:06:29	že to všemocné všeobjímající sledování je útokem
0:06:33	a měli hele to takovej navrhovány tak aby
0:06:37	aby tenhle útok byl znesnadnila vámi techniky to znamená nikoliv znemožněn ale znesnadňovaly co to
0:06:44	de
0:06:44	a nejenom návrhových protokolu měl kdy mi líbí
0:06:47	takhle vlastně navrhovány i nebo já si myslím že by ta kniha milovaný stávající služby
0:06:54	kde je to jenom trochu možné tak
0:06:56	co vše třeba ten ímejl
0:06:59	nim jel tedy můžeme nějakým způsobem zabezpečit a soudnej takové dvě základní kategorie
0:07:06	to co bychom asi všichni chtěli a co je uplně nejlepší věc je eventuelní to
0:07:09	znamená že na tom prvním počítači té alice ste zpráva zašifruje nějaké šifrované podoby té
0:07:16	nebude nikdo jiný rozumět nečte
0:07:17	boku svého počítače a po cestě to bude nějaký znatelný guláš chtěl protokoly existují existuje
0:07:23	řadu let normálně fungují
0:07:25	není se mu to je to teda i na s tedy standard kterýmu se říká
0:07:28	jestli má je máme
0:07:30	nyní nově je to kritice jestli to graf idnes h syntax
0:07:36	nebo ten vedlejší ty tady používám a infrastruktury veřejného klíče
0:07:40	nebo ten jakoby alternativní systém p g p který nejde oblíbený protože má tu síť
0:07:46	důvěry ve po vkrást
0:07:47	tohle funguje jestli je to velmi bezpečně
0:07:50	máte zásadní problém je to nepoužívá
0:07:53	respektive nikdo nebude abych byl přesný používají to používají to třeba tady slajd používá se
0:08:00	docela dobře korporátní prostředí a víte proč taková ta věc která donutila lidí který rádi
0:08:05	aspoň podepisovali svoje jinejch korporátní prostředí je ta
0:08:09	že oni zjistili
0:08:10	že vím právní oddělení na žílo
0:08:12	na jejich firemní mail server a konfigurovat po že když omylu se přiloží asi dvou
0:08:17	odstavců právní doška že tento není dále nové smlouvě a že veškeré informace jsou důvěrné
0:08:22	a uplně nejlepší to měli se stalo posledně jsem potřeboval bych sou nějaký mail
0:08:27	od sebe vykysnu přesně a dva listy papíru avantgardistovo vyrobil za nenapsal pomyslete lepší rouše
0:08:32	cvičení tohoto mailu do vedení řádek ty jsi výsledek druhý papír kteří kátého blízké leták
0:08:38	a
0:08:39	zaměstnanci velice rychle přišel to že pokud mají asi má jen se ve firmě na
0:08:44	shození a pokud svůj tým jeho podepíšu pomocí hesla je na svém počítači tak tedy
0:08:48	poštovní server oni může přidat tu patičku protože vy poškodil ten podpis
0:08:53	takže to je hlavní důvod proč dneska zaměstnanci korporátní prostřední podepisují sujeme pomocí je slajd
0:08:58	takže aspoň k něčemu je to dobré horší rušený si řekneme dobře tu změnu to
0:09:03	je přesně zajistil autenticito leoše to problém ste šifrování protože u šifrování vy potřebujete znát
0:09:10	veřejný klíč té protistrany
0:09:11	na tohle bohužel není do dneška pořádně vymyšleno
0:09:16	vy prostě nemáte snadnou přijde dost jak zjistit že protistrana používá nějaký nějaké šifrování že
0:09:23	když pošleš rozpravu lidí že ji rozšiřuje
0:09:25	a nemáte šanci zdi je typem ženy veřejný klíč obvykle jediné do co funguje že
0:09:30	ta první strávím pošle podepsaný milá byla na každou podpisu sis toho viděli teda veřejný
0:09:34	klíč
0:09:35	a pak může titulek ničem podepisovat
0:09:38	ten další problém je že
0:09:40	další problém je že spousta lidí sketch teď mi jej včetně mě na více zařízení
0:09:44	včetně takový věci jako mobilu a ták a i když já jsem schopen všímat šifrované
0:09:48	jména jsem schopen že bez víme že fajn je pouze na některé nesmí zařízení je
0:09:53	a všech takže když mi třeba někdo
0:09:55	automaticky že bude všechny jinde tak já si k nim dostal když se dostanu počítače
0:09:58	dokud se mnou byl taky prostě nepřišel protože ten mobil potřeba neumí a kdyby to
0:10:02	uměl vevnitř a nechtěl svěřovat ten privátní klíč k rozšiřování těch zpráv
0:10:07	takže tento moment je skvělé
0:10:10	ale bohužel naráží na to že ty uživatele s tím mají problém
0:10:15	dobře tak to můžeme aspoň trochu zlepšit tak můžeme udělat něco co bude jenom hloupá
0:10:19	jo to znamená že se to bude vlastně na každém na každém serveru který to
0:10:24	přepnu přeposílá tu zprávu tak to bude tahleta tohoto zabezpečení končit
0:10:29	ty standardizl se doma tady jeden jaký podepisovacího je šifrovacího podepisovacího dejte jim a ufoni
0:10:36	dále budu mluvit jenom určitě jste slyšeli nesekl existuje je to vlastně podepisování správné serveru
0:10:42	a tam je cílem právě zajistit autenticitu a případně nové toho zda tato zpráva přišla
0:10:46	jakožto systém já tě nepotěším systémech
0:10:51	ale je to jeho podepisování je zajišťuje to se důvěrnost co ještě důvěrnost tak je
0:10:55	smtp den protokol pro přenos pošty úmrtí lézt to znamená šifrování stejně jako má tenhle
0:11:01	toto posl tak smtp uvidí les je taky možné používat
0:11:06	to má velikou výhodu že to dnes při neúčasti úřad zaujal bylo to vůbec netuší
0:11:10	nemusí to nějak řešit a prostě i automaticky eliminujete nebo prostě s nějakou minimální vyvrací
0:11:18	eliminujete všechny možné odposlechy po cestě což byste podle toho beze pes osumdesát osum
0:11:23	měli dělat
0:11:25	samozřejmě zjednali bílé toho ba jo takže každý server který je součástí toho procesu
0:11:29	ten se mnou máte celá ulice se zde zprávy se může dostat to je úplně
0:11:35	jiný příběh a říkám dem většinou té to bude mít systém
0:11:41	tak to co se vtom celé to bylo u little se používá pouze tyto a
0:11:44	oportunistického šifrování proč oportunistického protože bohužel si táhneme za sebou tu železnou kouli zpětné kompatibility
0:11:52	a není možné prostě ze dne na den říct jako teďka budeme do šlapou zašifrovaně
0:11:57	protože
0:11:58	nějaké část a jasně řekl přesně jaká část
0:12:01	se vole internetu
0:12:03	to šifrování vůbec nepodporuje
0:12:05	takže
0:12:05	co můžeme jako dělat pokud co může se nebo co automaticky náš poštovní server dělá
0:12:10	pokuď máme nějaký normální ale nějaký za ten lidský
0:12:14	tak je to že
0:12:16	když se připojíš předává poštu tak se připojit k nějakému se metod rosserova ten
0:12:20	v rámci odpovědi na hlavičku bylo napíše své funkce které podporuje když takže podpory funkci
0:12:25	start ls
0:12:27	tak ten klient na ten tejden zavolá přítel start else
0:12:30	navážet else spojení
0:12:32	a
0:12:33	předá tu poštu šifrování ovšem
0:12:36	ovšem onen navážet do toho spojení takže šifruje ale nijak neautentizuje o neprovádí žádné ověření
0:12:42	identity
0:12:43	a dokonce ani
0:12:45	ne to jako mně nedělá problém s toho když tam se použije nějaká stará a
0:12:51	už dávno nepoužívaná šifra
0:12:53	koberce čtyři která je slabá zlomit a nám nějakého řádu minut
0:12:58	protože proč by to dělal protože když tam dostat rozsah těch volbách nebude takovouto zprávu
0:13:03	úplně klidně pošle prosté textu tak nemá není žádný důvod cokoliv vynucovat na tom šifrování
0:13:09	provede jakékoliv šifrování to nejhorší možné bude vždycky lepší než předřadného prosté textu
0:13:17	takže by se zdál dobrý ničem úplně k ničemu to rozhodně není protože aspoň můžete
0:13:21	vždycky se odolní proti
0:13:22	pasivním odposlechů když někdo bude jenom nahrávat a nebude mít možno zasahovat do jeho validace
0:13:29	taky s tou šifrované spojení bude mít problém necelé zjistit vlastně obsah té zprávy
0:13:36	a co víc litr a můžete protože některé cíle někte jako vyhlášené
0:13:41	se tady se mailové
0:13:43	jako by to šifrování prostor na lepší úrovni tak vy si můžete ve svém poštovní
0:13:47	server u
0:13:49	při předávání zpráv dalším se mnou nastavit ty na určité cíle
0:13:53	bude vynucovat lepší šifrování může tam třeba ručně nastavit mailu a seznam protože víte že
0:13:58	čím je seznam
0:14:01	ty je v máte certifikát je správné vystavený na správné jméno takže tam když je
0:14:06	tam takže když tam zadáte
0:14:08	tak budete mít jistotu že prostě ani nečinila ani na seznam se nos práva je
0:14:14	doručí tom plain textu a ten učí se pokud se o že to šifrování já
0:14:18	tím a bude tam použít nějaký špatný je špatný čtrnáct
0:14:23	zásadní otázka dyž tam je
0:14:25	že tohle řeším té uplně neškáluje dobře když vypukne teď džíny já jsem na pokryté
0:14:30	docela dost free minule
0:14:32	jak se dozvíte že zrovna že nelze tam sou ty zprávy protože jsem vám to
0:14:35	řek
0:14:35	jak jsem říkal nedělá proces nevyzkoušel
0:14:38	to je prostě systém který jako úplně nefunguje a asi by to chtělo nějakou databázi
0:14:42	společného tam je bychom si s
0:14:45	sami navzájem všichni důvěryhodně deklarovali já při na poště šifrování ty měli show vyplej indexem
0:14:51	a uvidíte že to je to k čemu já tady chci dneska dojít
0:14:55	samozřejmě vydání světě když si půjčím tady článek petra kočovali z dá trochu lezl analyzuju
0:15:02	tak vidíte že kdykoli tam dohodnete pro se tak jsem to přepsána sem to poslal
0:15:07	to platí úplně stejně všecko
0:15:09	takže prostě ano měl by být všude samé to pros
0:15:12	šíleně víc právě důvěryhodné certifikát je a tím pádem bychom prostě novinové to doručování tím
0:15:18	nezabezpečený způsobem a push ta by byla krásně zabezpečena řešeny se všemi zemi by to
0:15:23	přímo pro vaně každý se dověděl správný certifikát debil tilted a všechno by to bylo
0:15:30	naprosto bezpečně
0:15:33	a nebo ne
0:15:35	takže se takhle ptám po větě
0:15:38	vy se zpátky podíváme ten původní princip mailu tak zjistíme že tady ta alice
0:15:44	prosím na
0:15:46	nimi na houby zavináč jde o
0:15:49	no jo ale on ten server není že musím dělat to že se zeptá systému
0:15:53	dns na to co je za emigrant probere or
0:15:57	tam se teprv dozví že to je mx tečka bečka or k nadávání spojení se
0:16:01	místečka byly tečka
0:16:03	takže i kdybychom nakrásně měl všechny certifikát správně dostane zprávu
0:16:09	ne zabezpečíme sem
0:16:11	je to úplně k ničemu útočník změní odpověď na ní záznam na svůj vlastní se
0:16:16	v lidovém mít svůj vlastní certifikát plně důvěryhodný a byla abyste vlastně v koncích a
0:16:22	se ve smlouvě tam kde sme byli původně takže on ten neřek opravdu jako asi
0:16:27	potřeba bude k něčemu a prostě tohle je ve finále se jako
0:16:30	no
0:16:31	tím způsobem nevyřeší ty protože prostě když nemáte bezpečně se nemůžete
0:16:36	nemůžete věřit tomu kam míříte není záznam
0:16:39	čili jediné co by fungovalo i bez nelze se ku by bylo kdyby ty certifikáty
0:16:44	ty se mu byly vystaveny vždycky a to doménové jméno nikoliv doménové jméno toho serveru
0:16:49	ale doménové jméno té domény pro kterou přímá pušku
0:16:53	co
0:16:54	prosím o že to nejde nebo že to je nepraktické
0:16:58	ono já si to myslím že to nejde a že to je nepraktické ale
0:17:02	on by se ukázalo že vlastně to uplně stejně praktické jako je to u dnešního
0:17:05	webu kde to ale přitom de jestli stejným spouštět slíbil poklusu tak oni vám jsou
0:17:10	schopní
0:17:10	oni mají skutečně nějakých svých proxi sebe které obsluhují tisíce
0:17:15	doménu vystavený certifikát pro tisíce doménových jmen a
0:17:20	kde to ale určitě to je to je to úsilí tedy netriviální které museli vynaložit
0:17:25	a
0:17:26	rozhodně si nemyslím že to tak mělo být že to je tak správně takže proteiny
0:17:30	je to ještě víc nepraktické prodej často lidem mají třeba
0:17:34	svůj vlastní doménu na nějakém
0:17:36	u nějakému stejný nové společnosti ale jinde nemají třeba užijou jiného s nim bude společnost
0:17:41	revizi představte jak byste takové prostředí jako by zajistili aby jak ten nebo hosty tak
0:17:47	ten je lhostejný oba dva přizpůsobují to napadlo pro studenty ty mě operovali dní certifikát
0:17:52	pro tu vaší doménou bylo by to
0:17:55	technicky velmi nepraktické a ty šlo použitelné
0:18:00	a navíc tady máme pořád problém s tou viz ty vole to vás že aby
0:18:03	nesystémový zkušenost tržně bydlet museli dát úplně všichni troš zase uvidíme za chviličku na grafech
0:18:09	že to takt úplně není
0:18:13	a před tady trošku naznačil že vlastně
0:18:16	my bychom a co nějakou databázi těch
0:18:18	sem s tím seznamem dědové které jsou jako vhodné pro bezpečně doručování pošty no a
0:18:23	teď tu však o
0:18:24	myslí že ta databáze slyšíte bezpečná typem nenese se tak push jasný ti kterým směrem
0:18:29	peníze se u dáme že prostě deseti přesně to správné místo
0:18:33	nemůžeme distribuovaně deklarovat jávštin na poštu jenom zabezpečeni
0:18:39	a jak se to udělanou já si to právě je jedním z výstupu pracovní skupiny
0:18:44	dej jiné s autem ty když rovny entitní s ten ze by jsme se minete
0:18:50	lesa záznam tedy té lesa seš nebo se s jejichž je záznam který
0:18:56	umístíte dodnes popis toho serveru certifikát u
0:19:01	tohle
0:19:03	do původně myšlen problémy bohužel tam se to nedočkal o a ještě v nejbližší době
0:19:07	se to rozhodně nedočká nějakého hromadného nasazení nachystaný webových prohlížečů ovšem je to vymyšleno i
0:19:14	pro maily uši to dokonce i standardizováno to je nechceš o které standardize chování právě
0:19:20	se metopa server přehrávání pošty
0:19:22	je vyšlo velmi nedávno je to tohle číslo sedum šest sedum dva
0:19:27	tento s záznam deklaruje celkem štyry různé způsoby použití stylu ty první dva
0:19:33	ps neškrknuté to je při píchnutí certifikační autorita znáte když máte normální stékání certifikát a
0:19:40	chcete jakoby eště úspěšný že vedle správný tak jako by tam připíchněte tu autoritu která
0:19:46	ho vydala
0:19:47	případně no ten koncový certifikát
0:19:49	tak tyhlety dvě
0:19:50	varianty nejsou pro sebe teplo vo to sebe to pohled else podporovány proc ne škrtnul
0:19:57	právě z toho důvodu že proto sem evropou hotel se samotné pekárně nemá smysl takže
0:20:02	je zbytečné a komplikované
0:20:05	používat proto že tyhle ty záznamy té při ty chudý nějakou část a vlastně spoléhají
0:20:10	na tu funkci to opékání které pro ty nefunguje
0:20:13	více
0:20:15	ano je to zakázáno a některé implementace a některé implementace tyhlety mu svoji jako mapují
0:20:23	nula jedničko vápně turbo trojku ale prostě si není doporučováno jasně napsáno že prostě pokud
0:20:30	chcete použít pro co metodu silně byste použity přísloví máte číslo tři
0:20:35	typ číslo vadit číslo tři sou vlastně z toho že vy tam vkládáte novýho důvěry
0:20:39	zcela mimo tento jaká jistou to znamená že vůbec nepotřebujete žádný důvěryhodný certifikát o odjinud
0:20:45	a
0:20:47	vydej můžete hovořit například tímhle způsobem
0:20:50	potíž pro po dvacet pět recept nějaká serveru
0:20:55	a tady ten typ při to znamená že tam přímo otisk toho certifikátu který má
0:20:59	ten koncový sem pokud to uděláte ty číslo tři není vůbec žádný problém jeden koncový
0:21:04	sem měl certifikát typu se ofsajd
0:21:07	dokonce ani není problém šest dní náboj expirovaný provedl vystavení na jiné jméno místo ho
0:21:12	se neověřuje není potřeba to ověřoval protože stačí ověřitelný ty s
0:21:19	dobře tak sme řekli jako ten jak to ten ne jak ten příjemce potenciální vystaví
0:21:27	a teď je otázka jak se má správně chovat ten
0:21:31	sebe tepe klient který chce předat poštu
0:21:34	tak aby to bylo bezpečně a zároveň tak aby to bylo kompatibilní abychom si nerozbily
0:21:38	tech třicet let sou
0:21:39	fungující měl
0:21:41	pro ty historické lokality kde nic lepšího než staré dobré se metopa není tak
0:21:46	funguje to přesně tak utečeme v levém horním rohu
0:21:51	nejdřív nej mít záznam proto doménu kam kterou chceme kterou chcete je na kterou chceme
0:21:57	doručovat pošlu
0:21:58	tak
0:21:59	i s tím že a zjistíme
0:22:01	ještě jeden záznam podepsaný dnssec to je
0:22:06	důležité protože pokud enemy záznam není proč se mě leze zykem nemáme jestli jsme stejné
0:22:10	správně mi záznam a sobě nemá cenu nic dalšího ověřovat to znamená že pokud
0:22:16	ten záznam policie jazykem
0:22:19	končíme
0:22:20	na doručení soubor mystickým tele svez kontroly znáte to co jsem popsal to co dneska
0:22:24	běžná většina se používá
0:22:27	pokud ram máme u štěstí je prošli jsme tím první sítem že ten mi záznamy
0:22:32	podepsaný jestli se k tak se toho den a se zeptáme nebylo záznam zná přidáme
0:22:37	podtržítko dvacet pět tečka podtržítko té celkové tečka to název to abych se mohl a
0:22:42	zeptáme se na ten záznam byl s a zjistím jestli existuje pokud existuje
0:22:47	a je podepsaný touž tady jako vy aplikováno jako automaticky
0:22:53	tak to chvíli push máme jistotu
0:22:55	jednak že ten server je správný aby ten server se dobrovolně přihlásil
0:23:00	do toho že si přeje aby k němu byly doručovány nejeli po dešifrování tu chvíli
0:23:06	mně přepneme logiku
0:23:08	na vynucenou vynucené tiles viděl celou kontrolu silnější fér a vynucené lince ne a vymizelo
0:23:15	kontrolu otisků tebe vydá to slíbil záznamem
0:23:19	pokud něco z toho šel že
0:23:20	tak ta zpráva se prostě nedoručíme přepne za template pejska odloží se do fronty a
0:23:25	slušně to čase nula jste to nespravilo
0:23:27	stejně tak se ta zpráva množinu fronty pokud selže
0:23:31	ještě je výrazná bude celkem logické jo pokud selže zjištění to hotel s záznam takže
0:23:36	ty užívaj se odloží do fronty na zloděje pokud pro záznam existuje tak zase víme
0:23:42	že ta léta doména sice řádka já ne se zvykem ale její majitel se nepřihlásil
0:23:47	toto léto
0:23:48	ve systému doručování bezpečných mailu a tu chvíli zase můžeme tím oportunistických způsobem
0:23:56	je to teda takové ty vole si priority
0:24:01	teď se vlastně co se přesně říkal tak tady máte ještě napsané
0:24:05	důležité tady je že zatímco nenormálního podrazí způsob je
0:24:09	násilník velmi triviální na auditu toků pokud tam nějaký člověk uprostřed úplně stačí abyste odpovědi
0:24:15	daného vymazal ten příznak start osel tu chvíli ten to je se domnívá že ten
0:24:20	server nepodporuje šifrování nesoudní ani nesnaží
0:24:23	tak tuhle chvíli ten hledali to kompletně vyloučený protože
0:24:26	pokud veze zjistíme ten autisto odpis toho certifikát nad limit abecedy vydá musí být a
0:24:32	pokud by tam nebyl tak to prostě není tak je to chyba a ten měl
0:24:35	se vůbec nedoručí
0:24:37	a samozřejmě to problém jako s každým ty filtr takový protože když technologie funguje správně
0:24:42	tak vlastně nesmíte jiné televizi jenom ženy se vyloučí
0:24:46	pokud jste já tě nejde výskyty nedoručenými vždycky problém no takže
0:24:50	je to
0:24:51	ale je otázka jestli dopravu je lepší do určité každou cenu i když to vždy
0:24:56	špatně nebo když to špatně dyž víte že něco špatně
0:24:58	tak to ročně doručit samozřejmě já si myslím že to druhé správně
0:25:04	kdo to umí takle validovat tak
0:25:06	brně první implementace a už docela dlouho je ten postfixovém je celej jedenáct
0:25:12	ve vývoji je implementace projekt zima pro open sebe teplo to vše von projektu pro
0:25:18	výjezdy nicméně nevím v jakém stádiu jsem to hledal tak si eště pořád nebyly ani
0:25:24	jako nějaké veřejně repozitáře kdybyste si to mohli nainstalovat vyzkoušet ale tom postu se to
0:25:30	funguje velmi dobře
0:25:31	přes rok
0:25:35	důležité je proč to se a nefunguje proveditel nefunguje protože dnes jakožto přenosových protokolů je
0:25:43	poměrně rozbitý a co se týče koncový sítí
0:25:47	protože jsou tam nejrůznější proxi servery domácí rotate atif portály a podobné věci které tenhle
0:25:52	se rozvíjí takovým způsobem že byl se ze vleze na koncové na koncové stanici ohromný
0:25:57	problém
0:26:00	zatímco
0:26:01	tady mi validuje letadle se zejtra tom sem to pro sem se to pro sebe
0:26:06	bývají umístěny mnohem lépe z hlediska případných problémů snese se toto se mi bývají umístění
0:26:11	do datových centrech a mají obvykle poměrně volný přístup k internetu nebo případně no nějak
0:26:17	formulovaný rozhodně nejsem rozhodně
0:26:19	tam nejsou takové problémy zase klecí takže validovat donese se na straně poštovního se du
0:26:24	je mnohem snadnější rychle doléhá straně všech
0:26:26	všech klientů webový prohlížeč
0:26:29	proto tady s není problém a proto tady je možné tu ten dev assistant praxi
0:26:33	pouhý skutečně ušli
0:26:35	push přes
0:26:40	a leška že případě i kdybyste tohleto nechtěli používat tak každým případě můžu jenom doporučit
0:26:45	že opravdu byste měli validovat dnssec nějaký mylný server právě z toho důvodu že veškeré
0:26:51	směrování pošty je stojí a padá s těmi záznamy které prostě když budou zmanipulované byl
0:26:57	se tak vy budete pošle tu pušku úplně na nižší ceny posílám
0:27:01	a
0:27:02	no se jí nosil pak nakonec můžou šel učit správným směrem že se někam okolní
0:27:07	a jenom přibydou nějaké hlavičky já si se nedívá delší hlavy že všech tím ivane
0:27:10	zkoumá do cestu kvůli daný měl šel takže byste ho stejně asi nepřišli takže jako
0:27:15	tady je opravdu
0:27:16	opravdu
0:27:18	rozhodně dobré přinejmenším jestli ještě nemáte a jestli se stát já ti poštovní server
0:27:24	tuhle věci tam zapnout
0:27:27	tak
0:27:27	a co je na tom jednom systému úplně nejlepší
0:27:30	že doručování na
0:27:33	ty stávající legraci
0:27:36	servery které prostě jak texas vylučovali před lety které v ní dosud jenom to sem
0:27:44	hotovo bez žádného to zas tak prostě funguje jako doposud takže nemusíte mít žádný white
0:27:49	list black list
0:27:50	prostě to funguje protože když tam není tento les záznam tak se automaticky předem toho
0:27:55	oportunistického režimu který je ten výchozí
0:27:58	no nebo ne
0:28:01	když se ptám tak tam zas nějaký háček bude
0:28:03	ale těch háčků je tam poměrně málo takže
0:28:07	podstatě za ten rok nebo kolik co uši validuje ji na svém soukromém zatím jsem
0:28:13	soukromém jsem will tell sázavě tak jsem zaznamenal dva případy kdy byl problém ten první
0:28:21	případ je provozní problém který souvisí s tím že právě
0:28:25	tyto záznamy neska sou v takovém stádiu jako early adopters to znamená první uživatele a
0:28:32	obvykle to tak že vlastně nikdo se dočte hotel s záznamy to řekne si to
0:28:37	je skvělá věc to bych no nasadit rád rozhodneme se a
0:28:41	vůbec se třeba neobtěžuje
0:28:43	to tohle dalo říc tomu člověkovi který má dataset ssl certifikát já stalo s
0:28:49	a při nebo případně s ní láskou pracovat na něj ani dopravy postupy
0:28:53	a pokud s toho dostane napadlo je přesně k tomu problému
0:28:56	že minulý rok jste učil u toho mu za dvěstě padesát šest je všechny zahájení
0:29:02	školy certifikát i přes tedy dostatečně bezpečně a všechny měnili autority a dělají další věci
0:29:07	kolem toho
0:29:08	no a při té při založení kolikrát stalo
0:29:11	že někteří měně autoritu ale nechat lidi měnit certifikát a nechali tam ve stadiu stal
0:29:16	certifikát u
0:29:18	tu chvíli samozřejmě doručování přes
0:29:21	tohle se je s touhle variací selhalo a je to tak správně byl to je
0:29:25	přesně ta chyba proti které se to zabezpečena
0:29:27	tady ta jedem protokol tom zcela nevinně ten protokol nemůže dělat nic lepšího ne že
0:29:33	to nenaučí protože to je přesně v sobě o něm
0:29:36	po něho chcete
0:29:37	a
0:29:37	eště důležitej že když uvidíš už to víte tak si musíte uvědomit že vylez
0:29:43	není nic hned to znamená že budeme s pokud máte umístěný nějaký otisk
0:29:48	a tedy certifikát tak to nemůžete udělat takže teď vyměníte certifikát a pak to zní
0:29:53	tejden s ne
0:29:54	musíte vždycky udělat tak
0:29:56	který si nejdřív nejede ten výpis toho certifikátu kterou je bys mi stavíte se spolu
0:30:02	s tím starým otiskem
0:30:04	a počkáte nějakou dobu až budete mít jistotu že celý svět zná oba dva ty
0:30:08	uctiv tam donese
0:30:09	a pak teprv může ten certifikát vyměnit a podmíněně zase vymažete s toho byl se
0:30:14	případně ten starý outlist
0:30:15	protože nejsem není synchronní nemůžete dosáhnout kompletního si mechanismu a kde se platí vždycky taková
0:30:23	logika
0:30:24	že pokud je se něco navíc tak to nevadí ale nesmí tam něco chyby takže
0:30:30	když tam něco ještě něco navíc si tam sednout dycky a jeden z nich platí
0:30:33	jedný neplatí je to vpořádku to je právě logy jak jádra zavedená kvůli tomu že
0:30:37	dal jsem nemůžete nikdy synchronně aktualizovat
0:30:42	a druhý problém který se týkal přesně jenom snění
0:30:46	který vlastně byl s
0:30:48	způsobem byl takový hezký lokalizovaný na českou republiku a konkrétněji do nějakého jihočeského mě ztratíš
0:30:57	někteří už víte kam mířím
0:31:00	tak druhý problém je s tím že někteří naši čeští registrátoři domem nainstalovali nějaký
0:31:10	dnes se server který není úplně dobrý
0:31:14	a eště úpravu o to horší je když není ještě přidej podporu byl se která
0:31:18	taky není úplně dobrá nemá dostatečný množství není dostatečně otestován a vše stojí používají na
0:31:24	produkci na všech svých třech no byly museli
0:31:26	protože to přišlo nějakým způsobem vhodné pro napojenej stávající systémy no a
0:31:31	tenhleten jejich autoritativní server měl takovou poměrně základnou firmu která se praktickém provozu
0:31:37	neprojevila pokud tam někdo měl
0:31:39	pokud tam někdo měl na definovaný pátka
0:31:42	se na jedničku
0:31:44	tohle to je to nejhorší co můžete chtít nejhorší to budete mít zase je vesnička
0:31:48	tak
0:31:50	a zároveň tam neměla něco najdete lesa záznam což to neměl nikdo protože to ani
0:31:54	neumožňoval daný systém
0:31:56	tak
0:31:57	důsledkem bylo že takže ten autoritativní jsem neviděl takovou strukturu ty donesl se k záznam
0:32:04	můžete že to nebylo možné zvalidovat
0:32:06	prostě ta validace při dotazu na neexistující záznam selhala
0:32:10	vy si řeknete tam není a pochybuji no před ní nepřišel protože
0:32:14	pokud se zeptáte na neexistující doménové jméno a dostanete odpověď mx domény
0:32:20	nebo dostavil to vyser fail
0:32:23	tak jako tak se dostal prádlo po vy prostě zajet a povědět donese selhalo a
0:32:27	většinou vás nezajímá
0:32:29	případě že niveč vám je odnese se chová data
0:32:31	tak je to ovšem zásadní rozdíl
0:32:34	pokud dostanete rss jako vodpojej těmi kdo mi znamená trest roztaje podepsaný mutes o tom
0:32:39	že ta doména opravdu existuje
0:32:42	a vy víte že nejste zatímco
0:32:43	ji dostanete návratový kód se na fail
0:32:46	tak se dostali pouze informaci o tom že selhal pokus o validaci což nemusí znamenat
0:32:51	že ten záznam instaluje taky znamená že někdo se snaží dosud lůza do schovat
0:32:55	a předstírat že nejste prostě byl odhalen podobné lese si
0:32:59	teorie pokud je odhalen polovinu desek uvidět ten obrázek
0:33:02	znamená to je selže adresování toho donese z toho záznamu
0:33:06	a zpráva je odložena do fronty a složitě za chvíli znovu takže
0:33:11	to byl ten druhý problém
0:33:12	na který sem během těch let narazil ale jsou to opravdu ojedinělé problémy a můžu
0:33:19	vám s klidným svědomím říct že
0:33:22	oba dva u se podaří jo
0:33:24	víceméně eliminovat a současné době měření té sem provedl před ní je tak sem na
0:33:30	žádný rozbitý ten lesa nenadsadil takže zapnout validaci já jsem jel jsem byl je bezpečné
0:33:37	jak to otestovat
0:33:39	můžete to dělat ručně to jsem dělal před rokem jsem ještě neznal nástroj ty jsi
0:33:44	nepustil se finger který je součástí ostře co a který slouží právě proto abyste otestovali
0:33:51	jsem a to pro komunikaci s tím tell se zabezpečení bude strašně jednoduše zavoláte postoj
0:33:56	se finger a zadáte jméno domény
0:33:59	autor souboje atomic záznam rosou je to případné ty případné tyto lesa záznamy a
0:34:06	jako že to trošku bude vědět bohužel se to nebo to udělat větší aby to
0:34:10	vzal že ne že to vím že to jedinej zkouším seznam cz a
0:34:15	ono znají a tady je zjistí že telefon certifikát se ní mailovy na vystavení certifikát
0:34:22	podle mého tohle myslel
0:34:24	a ne
0:34:25	protože základní nastavení ne postel set lidí nedůvěřuje žádnej certifikační autoritě tak vám to stejně
0:34:31	řekne to spojení a metra state prostě navázal se to lze spojení a není a
0:34:36	důvěryhodné
0:34:37	proti tomu diskusi kterýho doménu třeba ten co se
0:34:42	stay vidíte záznam že i uzeniny a hranách nenašels nějaký ls a nám
0:34:48	a
0:34:50	vidíte certifikáty taky vystaven a záviděl sameťáka a korupce je chtěl bych vidět
0:34:56	a vidíte že tato spojení zadní standardně na verify které zásadní rozdíl tady vyjde prostě
0:35:02	ty pana spojení kterej umí a spojení s té funkční není já když už je
0:35:08	takle vypadá tak samozřejmě to vede k tomu že to chce taky nějak změřit takže
0:35:14	co sem udělal minulý týden
0:35:16	jednorázově asi by to bylo lepší nás litovat ale zase nějaké měl čistej jsem tak
0:35:21	udělat neměnná zaměření
0:35:23	že sem se sbíral logy
0:35:26	z některých poštovní se mnou
0:35:30	a s těch logů sem jenom publikoval
0:35:33	právě
0:35:34	cílového a cílová doménová jména tam se jako píšou skutečnej měl dělat skutečně ale ta
0:35:40	je voliči to bude se tadydle měření dělá je někdo to dělá třeba s alexem
0:35:43	to něco tok tisíc stop s to tak si uděláte měření
0:35:48	což ale alexe seznam excelu tady to uplně nemusí korespondovat s těmi jinými dobrými stránkami
0:35:54	a naopak já se teda vzal hranatá za poslední nějaký asi rok
0:36:00	jo ty mailové adresy se tak asi dva na jednu hromadu našel jsem jich asi
0:36:03	čtyři a půl tisíce a tohle se zjistit takže donese set no je to poměrně
0:36:10	dobré ne
0:36:11	ale mohlo by to být výrazně lepší takže vidíte že jako dvacet jedna procent tisíc
0:36:16	přesně tisíc domem je chráněn se těm
0:36:20	další tři tisíce šest set není za dvě tři byste šest je tudle chvíli vlastně
0:36:24	uškodil psaný že nemůžou být nějak lépe chráněny
0:36:30	jak je to s tím stát ls
0:36:33	tak pořád nemáme čtvrtý no teraz tato se nepodporuje
0:36:38	ale ne
0:36:39	tři štvrtiny skoro docela pěkné to podporující vše
0:36:43	zase naopak velmi pozitivní čekal jsem to mnohem horší no a ta zelený mísečky rušení
0:36:49	nevíte kolik toho je tam je padesát to sou k té přesně palisádou nezaniknete města
0:36:54	máte lesa záznam je které tím pádem jsou před zapsali do toho do toho programu
0:36:58	pro bezpečnější předávání mailu
0:37:04	tak
0:37:05	když jsem zjistil že těch
0:37:07	tele se ještě jsem chtěl podpořit ls je tolik
0:37:11	mě začla pivo tak sedí to je vozem podívat se blíž
0:37:15	jaké druhy certifikátů jsou tam umí nasazené takže
0:37:19	další dělat to ukazuje
0:37:23	tak
0:37:24	když to vemu té červené nějaká značná část je se ofsajd znamená sou ty
0:37:29	vyšel jsou takové které se vidíme utře už máte debian instalujete space tak se vám
0:37:33	automaticky vygeneruje sám sem certifikát na vás není to se nula takže aniž byste něco
0:37:41	mu se aktivně dělat tak se tady bude stát do červeného stalo
0:37:45	pak je poměrně velká část a je ta oranžová okrová
0:37:50	kde máme nedůvěryhodného vydavatel znamená je to certifikát vydaný jediný nechám sebou ale my toho
0:37:56	někoho jiného neznáme pro účely tohodletoho tohleto měření jsem použil vlastně standardní sadu důvěryhodný certifikátu
0:38:04	kterou má
0:38:05	myslím že debian to byl
0:38:07	učenců ten účet než prostě standardní sadu kterou a nějaká linuxová distribuce sobě a prostě
0:38:15	pokud vyšly jako nedůvěryhodní tak děkuju šescet
0:38:20	její ale poměrně a zbytek vlastně nic certifikát to znamená něco kolem řekněme dvou třetin
0:38:26	sou
0:38:27	už du jo nečerpá měli taky zajímavé
0:38:30	že i pro takovouhle službu je to vlastně
0:38:33	dá se říc zbytečně nebo téměř nepoužitelné tak
0:38:36	je takové velké množství certifikátu které jsou důvěryhodné s tím že
0:38:40	těch osm procentních říci důvěryhodných ale vystavených na úplně jiném io které se neshoduje ani
0:38:45	se mi serverem
0:38:46	a nikdo maily jménem
0:38:49	tyhle šestnáct šedesát dva skoro polovina
0:38:52	chtěli zeseru procent tak
0:38:54	ty jsou vystaveny právě na to
0:38:57	na to jméno které odpovídá doménové mu jméno u toho serveru to znamená ty sou
0:39:03	vystaveni správně a ten server ale pokud ta doména nemá dnes esej tak vlastně stejně
0:39:08	žádnou ochranu nepředstavují a teprve těch čtyři sta padesát šest zelených
0:39:13	těch třináct procent
0:39:14	jsou ty se dali té
0:39:16	by teoreticky mohli být důvěryhodné i bez dnssec o protože mají
0:39:20	protože mají certifikát vystavený na jméno domény pro kterou všímají poštu
0:39:26	jo
0:39:27	takže vidíte že
0:39:28	i nějž těch důvěryhodných je takové množství
0:39:32	jen tak na část je tam mluvil máte vo hlavu a vezmeme ze zvyku
0:39:36	víte že se těch opravdu potřeba a hlavně vy nemáte žádnou šanci se to ty
0:39:42	kdo jsou tihle
0:39:44	dosud tahle části byste chtěli ten seznam spravovat nějaký na nichž tom nenese se ubohosti
0:39:48	to záznamu tak není žádná strana možnost jak prostě zjistíte že jsou chvíle které si
0:39:55	má dát stavi do white listu že ty tyto dělají správně
0:40:01	a uplně závěr tady je
0:40:03	no ostrým tohle je těch padesát doménových ne která mají správně tele s záznam a
0:40:11	samozřejmě tady už trošku vidíte že takže je to trošičku nevyvážené protože se to za
0:40:17	našeho firemního sednul
0:40:18	takže tam vyskytují takové věci jako jo mimochodem ta velikost těch von to je naprosto
0:40:23	náhodná to nemá vůbec žádnou souvislost ničím to prostě o ten software který dělá ten
0:40:27	cloud před tebou klaus to prostě náhodně aby to bylo zajímavější o to že perioda
0:40:32	nějaké velké no jako něco co jste zač že nějaká podivná testovací lidské a udává
0:40:37	nefunguje
0:40:38	a pak jsou tady asi jaké malinké chocolates ne pak já teďka je té call
0:40:43	a který takovejch jako nevíte ale jak chcete
0:40:47	nich té evoluce se
0:40:51	takže vidíte že to docela jestli je to jako
0:40:55	nemůžeme se zahrady věci mám prsty nám jo tak třeba je té for tam prsty
0:40:59	nemám turisté ze taky není moje a třeba tady kterou nám bude taky není moje
0:41:06	určitě
0:41:07	takže
0:41:08	jednotlivce
0:41:12	tak
0:41:12	takže artistovými tak
0:41:14	když to řadím opakovat tak se může začal přidat teda ten to je to je
0:41:17	toho tak cloud dalo udělat znovu jako přednášku znova no
0:41:26	ano
0:41:46	já to zkusím drazí jak je plná znám rozvede jestli jako nadhled je ten certifikát
0:41:52	je které nemají nic nestane jméno nebo sou sepsaný nebo neznámého vydavatel jestli by se
0:41:57	vůbec měl určovat pošta a já říkám že měla protože nemá smysl
0:42:01	nemá smysl jako by
0:42:04	protože jí opačný stavem by bylo že pro ty lety kdy pokud bych řekl že
0:42:08	to jsou špatně nemá sem určovat tak bych tam musel za plyn textem
0:42:12	a cokoliv je lepší dyž kontext
0:42:19	a to stojí když se taky nemůžu uvěřit
0:42:21	no
0:42:33	jo takle
0:42:35	jo
0:42:38	ano je ten zásadní problém s tou že prostě zatímco webový prohlížeč je to stejně
0:42:43	jako vyližte prostě že tam takový a certifikát jo tak vyhlásí hroznou chybu a dělá
0:42:48	takovéhle tři kusy
0:42:51	problém je že u toho push to měl jsem není žádný uživatel který vydal na
0:42:54	tlačítko a je dobrý
0:42:56	takže
0:42:58	a
0:42:59	zásadní věci je
0:43:00	že pokud by to tak nebylo je říká tak by to
0:43:04	po hubě takové rozhodnutí skutečně bylo
0:43:06	tak by to kompletně zabilo podporu tells co předávání pošty protože by to nikdo nikdy
0:43:11	nasadil
0:43:12	protože to je přesně nebylo že by to
0:43:14	je duševní se bojí nasadit něco co by mohlo potenciálně rozbít stávající systémy takže ne
0:43:19	že prostě pokud by se
0:43:21	pokud by vydání certifikátu který je nedůvěryhodný zvláště když si vezmeme to že abychom se
0:43:27	dostavit do byl neatomický stojí
0:43:29	nejenom nějaké úsilí dokonce vše stojí nějaké peníze tak jako je jasné že prostě
0:43:35	samozřejmě teoreticky je možné stopy dole i a ne není tele se zde se pouze
0:43:39	šifruje a nejprve neověřuje se strany takže ekvivalent toho když tam jeden ze kterých dát
0:43:44	dělali a já si mysim že ale není to se je pořád mnohem lepší ještě
0:43:48	plain text a tím pádem já to bylo že prostě a není byl se
0:44:07	ano ale se já si myslím že nikoliv
0:44:10	já se já jsem si je fialová lepší nějž ještě do saint třeba jo ale
0:44:14	já si nemyslím že jako prostě to potom poho přímém fajn že prostě
0:44:19	když se obsahem přímá ne protože nás je nezajímá tak si myslím že nás nemůže
0:44:23	zajímat není že to krásně ani že to cokoliv jinýho prostě
0:44:26	jakoby nemůžeme zvýším standardem
0:44:29	mít víc mít jakoby horší nazelovaný pohlížet jako horší certifikát
0:44:39	přesně ták no tak se teďka sou
0:44:44	ano tak se to dá říct přesně tak je to prostě a volatile se umožnili
0:44:47	ale není a není režimu že tam ani žádnej certifikát je jsou ale
0:44:54	mysim že to je problém nakonfigurovat samo o sobě funguje tak co vám ochránil pro
0:44:58	jestli znáte nagios remote
0:45:01	něco tak nedopadne funguje pomocí a není hotel se dnes dešifruji ale nic není neprokazuje
0:45:09	tak
0:45:10	na tím se dostáváme k závěru mojí přednášky takže
0:45:14	co by chtěl říct
0:45:15	abyste pomohl je šifrování jasně se leda pro servery jestli pozor vezmu třeba debil nám
0:45:20	to nejste základu ta chtěla žen tom ne
0:45:23	takže žen two
0:45:24	včetně mají pracovní stanice má posty
0:45:27	který šifrování je podporu jenom protože tam nikdo neviděl texasem certifikát a nezapo tam pro
0:45:32	konfiguraci
0:45:34	nic to nestojí a vůbec nemá cenu utrácet za nějaký certifikát
0:45:38	je to úplně jedno protože písemná ne úplně jiných nejlepší certifikát který existuje zaplatit za
0:45:43	ní úplně nejvíc peněz
0:45:45	tak je to stejně úplně jedno protože každý vás můžu bernoulliovy dohodne dát dosáhla a
0:45:50	jak měla a zase naopak
0:45:51	jakmile rád klesá záznam vůbec nezáleží na tom jaký ty certifikát tam máte ten sem
0:45:56	se mě úplně dostatečně
0:45:59	donese se prostě musíte mít dnes jako to nejde a bez deme sekundy můžete doručil
0:46:04	bezpečný a když máte nenese se kartel s vlastně nic nestojí jenom pokud máte nějaký
0:46:09	divný systém na zprávu vynesl dát tak prostě styl se a
0:46:15	toho se a třeba nebude tam zadat no a
0:46:19	validovat ty validovat tyhle ty tele s záznamy na straně toho se mu ty jdou
0:46:24	přes právě toho se metoda klienta je bezpečné
0:46:27	ale
0:46:28	můžu vám doporučit a udělal jsem dobrá tedy poslední incident dvou přidat si kontrolní na
0:46:35	hlášku s postfixu server se techniky no trasy
0:46:39	kterou když uvidíte tak víte že právě došlo k tomu že prostě podle toho se
0:46:43	a bych se tam není ho doučovat a proto se to spravovat žádost dobu byl
0:46:46	do fronty a když zjistíte tak má to vy dočasně tři něco ta zpráva leží
0:46:50	ve frontě zatelefonovat na druhou stranu přiznáte to blbě rozbili jste to už ani já
0:46:55	jsem tam vlastně tady ta jedna parcela zaplněná pak se měnil certifikát
0:46:59	přesně takhle to dopadlo asi dvou firem znak nevolal
0:47:02	jo takže já je takže vám ani se tak jako svoji ty postupy já čtu
0:47:06	nebo je taky oběžně nerozšířil jako je teď tak to bude úplně úplný standard no
0:47:11	eště nižší růst plně se rozloučím tak
0:47:13	by chtěl říct jako kam dál
0:47:15	že když se tedy dostaneme do tohodletoho ověřování sem etapou hotel s kam dát by
0:47:21	se dalo nízkým použitím že se kolem jejího pro
0:47:24	nebezpečnější než tak první věc sou třeba záznamy které sou teďka všude tím
0:47:30	jakoby v diskuzi a to sou open výživný tý a se má jinej záznamy
0:47:36	kde bychom si vlastně pomocí se uloženy očisti veřejných klíčů neuspíší pí je boleslavi
0:47:43	a
0:47:44	to nám vydrží ten program té zelené šátku že bych kdybyste chtěli ale šifrovat
0:47:48	tak vlastně nemá máte velký problém nezjistit ověření když ne protistrany vystihl poslat šifrovaný jo
0:47:54	když bude nějaký standard jak se na takovéto ta systému donesl
0:47:59	tak je ten problém třeba je vyřešen a
0:48:01	dokonce tohle umožní takovou věc a už existuje experimentální implementaci která se děsím jedna
0:48:07	co všem byl teda to znamená to software kdy pustíte na poštovní serveru
0:48:11	a on
0:48:12	a pro stahujete přes něj zprávy která posílají uživatele ve svých notebooku a podobný
0:48:17	a hned software se pro každý ten podržíte mi ho podívá komu je určen a
0:48:21	podívá se právě nikam nenesl já zkusím najít veřejný že když ale že vezme ten
0:48:25	tak nemel našeho je pude na straně sem
0:48:27	takže vy můžete mi kompletně se zbavíte té toho problému s tím predikovat uživatelé mají
0:48:32	ještě tato šifrování jak mají se starat o svůj certifikát
0:48:36	a prostě nebo je to podepisování ale šifrování
0:48:39	vy zajistíte aby prostě ani když to správné putovat přes ty další se vydat i
0:48:43	další ze vy si v ní je počet lidí to je docela hezká myšlenka
0:48:47	tudle chvíli té že tam ještě není úplně implementace existuje nějaká testovací ale ještě to
0:48:52	není
0:48:53	ještě to není rozhodně něco co bych moh někdo doporučit nebo je to spíš jako
0:48:56	takový směr kudy se vydat
0:48:57	no a další možnost zatím ne se tam byl sám a vede hotel závazné pro
0:49:02	prokazování je tedy serveru ale čistě teoreticky vydat se mohlo zajímat aby se takle před
0:49:07	prokazovat klienta by ten to je používat klientský certifikát
0:49:10	nebyl anonymní vůči tomu serveru
0:49:12	a zase ověření trestal certifikát místo aby se dělalo pomocí pelikáni modelu kdyby to bylo
0:49:17	komplikované tak se musí a pomocí klientského chce pomocí dějinnou
0:49:23	čemu by taková informace byla možná no tak jen aby ten server teoreticky mohl žít
0:49:28	že nějakou zprávu o ní nevíš tendence nepředstaví jako ten správný klient
0:49:32	atomicky dá to může být takový vlastně já bych to nazval s ten asteroid je
0:49:36	stejná dsp kde se vlastně upřel pomocí lese
0:49:43	dobře vyznají já prosím dokončím ještě dvě věty
0:49:50	teď sem totiž úplně ztratil nic
0:49:52	hezké za starých ano takže řekněte sklepě pouze
0:49:55	nějaká deklarace
0:49:57	tady můžete mít
0:49:59	ty pro graficky zabezpečen a to je všechno dobrou noc

Bezpečný e-mail bezpečnější díky DANE

Neděle 8.11.2015 - D105

Ondřej Caletka (CESNET)