Přepis řeči - DNSSEC na vlastním serveru snadno a rychle

0:00:16	tak dobré odpoledne
0:00:18	moje mezi caletka pracujeme sdružení cest ne vše zájmové sdružení veřejných vysokých školách tady měli
0:00:24	je
0:00:25	které pro ze stejného sítě je výzkumu zajímavé není mě že toho sdružení bylo založeno
0:00:30	přesně v roce devatenáct devadesát šest
0:00:32	takže kdo slaví dvacet let své existence
0:00:35	a
0:00:37	dobudováme s tebou jak něco o tom
0:00:39	o dns jakou a jak ho snadno a rychle nasadit na své vlastní doméně
0:00:45	tak
0:00:46	nejdřív ještě něco málo sdružení cestné takže jsem říkal sdružení u
0:00:50	ne je
0:00:51	sdružení veřejných disk výšková dvacet šest a že nikdy spíš kola akademie věd jako členské
0:00:55	sítě
0:00:56	provozujeme národní síti a výzkumu lejzr se proces ne ta je tady vidět
0:01:02	tím že to žluté sou
0:01:04	optické trasy pozdějšího rychlostně stojí aby to za sekundu
0:01:07	takže připojení propojení jestli páteřní síť vlastně po celém česku ale není to zdaleka jen
0:01:14	signály tady nějaké pro projekty datech které se desíti přímo týká graf to systém tras
0:01:19	pro analýzu dat o tocích v té síti
0:01:24	mám ráda chtějí na je projekty takže na příkazy celulosou vlasti bezpečnost lidovců
0:01:30	bezpečnostní tým cestné dcera s nejstarší bezpečnostní tím včas ku
0:01:35	my víme vlastní bezpečnostní nástroje warn amen ptát máme vlastní forenzní laboratoř trefila se a
0:01:42	_e se zabývá se zabývá analýzou různýma levelů a petra čím testování na taky věcmi
0:01:49	no máme taky oddělení síťové jděte ty které zajišťuje na národní úrovních o takových služeb
0:01:55	jako je třeba nebudou to znamená lobbying
0:01:57	wifi v rámci akademické sféry _e jedu id cz rolling identit od ní způsobem na
0:02:04	vlastní certifikační autoritu
0:02:06	no a máme taky oblast vzdálené spolupráce téhle oblasti například nemám zásob jako zástupce software
0:02:12	který se ultra něco vše open source software pro
0:02:15	nízkolatenční viděl přenosy ve vysokém rozlišení
0:02:19	systému se dá pozor to řekl správně
0:02:23	ták a poslední oblast rosa vydáme oblast lidového počítání to dneska i trošku vidíte praxi
0:02:29	jak to vypadá protože je to tohle velitel dvě lodě doletem metacentrum a
0:02:35	cest nedej také tedy služba datových úložišť
0:02:38	a pokud vyvíjet čas já doufám že vidět a který budou praktickou ukázku
0:02:42	pro kterou sem si právě zřídil server v něčem čemu se říká mi tak to
0:02:46	auta je to vlastně služba metacentra která dokáže vytvořit takové
0:02:52	virtuální stroje pro
0:02:54	tak triviální pouštěli půl správné cizí slova na pro
0:02:58	dočasné použití které nemají by pořád ale pouze na pár hodin ní a pak následně
0:03:02	zrušit
0:03:03	se zruší tak sem si tam vytvořili virtuální server
0:03:06	ta které vám dneska předvádět ukázku s tím že se těma
0:03:10	doufejme že se během té krátké ukázky stihneme dostat ze stavů
0:03:13	_hm nezabezpečeno až do stavu zabezpečeno
0:03:18	tak teď šla s ní té vlastní přednášce když se řekne dnssec tak takové ty
0:03:23	základní fakta předpokládá že všichni z vás už slyšeli někdy odjede se sekundu nikdy neslyšel
0:03:28	že se ku
0:03:30	nikdo se nehlásí tak možná všichni spí
0:03:33	kdo někdy slyšel donese se ku
0:03:36	skoro všichni se hlásíte ten zbytek svých dobrý
0:03:40	je to enteru _e zabezpečení autenticit zpráv to znamená nepřečte to má v názvu sekty
0:03:45	co šrámy oko deseti lety nějak je šifrování tak o šifrování vůbec nejde jde pouze
0:03:51	o autenticitu znát elektronické podepisování funguje to tak že
0:03:55	ten kdo vlastní doménu
0:03:57	tak podepíše ta data
0:03:59	je která sou ste doma je uložena
0:04:02	a kdokoliv pak kdo ty data stav systému na se používá tak tě může validovat
0:04:07	je potřeba si uvědomit že systém donese vlastně
0:04:09	prostupuje celým internetem protože
0:04:11	já sem že podstatě úplně všechny aplikace a internetu
0:04:15	nějakým způsobem používají donesl snad s vyjímkou skype u
0:04:23	tak důležité nenese se ku je že používá úplně jiný model důvěry neřeš všechny ostatní
0:04:30	šifrované služby používá se tam hierarchická delegace důvěry to znamená že
0:04:35	stejně jako deset distribuovaný systém kde
0:04:39	podřízená doména _m a jak při je není odkázána z nadřazeny domény
0:04:44	tak stejným způsobem sedící důvěryhodnost takže
0:04:48	my důvěru vy důvěřujeme kořenovou zónu která je podepsána
0:04:52	nebyla podepsaná v roce dva tisíce deset
0:04:54	a
0:04:55	tuhletu důvěru konečnou zónu se na nás tahle ta důvěra se nám následně deleguje na
0:05:00	nižší pod podřízené zóny zejména tom taky je že ten deseti navržení takže jo možné
0:05:06	postupné nasazování takže i když některé domény třeba nejsou podepsané tak to neznamená že by
0:05:12	pro ně nenese úplně nefungoval
0:05:14	protože i proti pro ně funguje tenhle se každou noc toho koženého té koncové zóny
0:05:19	která podepsaná jak jsem říkal před další zóny až do okamžiku kdy se informace podepsána
0:05:25	informace o tom
0:05:27	že
0:05:28	dál ten strom pokračujeme podepsaný to znamená že
0:05:30	i doména která není podepsaná je chráněn adrese zykem před únosem ten a servery která
0:05:36	třeba podepsaná je
0:05:38	a v podstatě všechno musí podepsal na není to tak jednoduché že byste řekli že
0:05:43	budete předstírat že něco vraceli nějakým
0:05:46	ten sig obešli je tam docela sofistikované ano celá komplikované suše právě to
0:05:51	co
0:05:52	částečně brání v nasazování
0:05:55	to je takový motivační obrázek proč si myslím že
0:05:59	že by stálo za to něco s tím den se těm ještě začít dělat
0:06:05	vědět o se statistik cz nick sdružení správce české doméně tečka cz
0:06:10	a oni mají takovou hezkou statistiku která říká kolik domén
0:06:16	kolik procent doménu má zavedeno dnssec
0:06:19	no a vidíte že aktuální čísla pro chování dobu ukazují čtyřicet devět celých osum procent
0:06:25	jeden takový je to je takový ohromný zvuk se čtyryceti na padesát procent v nedávné
0:06:29	době ze který může
0:06:31	jeden velký jeden velký poskytovatel
0:06:34	který začal podepisovat do mashe zákazníků
0:06:37	v současné době smeaton takže nám chybí pět tisíc šest lidí domem pokud se nekoupe
0:06:42	podaří bude za pět tisíc českých domem tak se dostane do stavu že bude chcete
0:06:47	doméně víc podepsaný ještě podepsaný do _m
0:06:50	což šmudlu světový unikát komouš takle třetí liga se týče
0:06:55	percentuálně zastoupení bytelně v absolutních číslech lidé jsou nějaké domény které jsou mají hodně podepsaných
0:07:01	ména jsou podepsané a se mejt hodně menu celkově
0:07:06	takže když vás tady vidíme vás tady tak šedesa možná takže každý vám takových nějakých
0:07:12	na každý území takovým jako několik stovek domén televizi po dnešní přednášce podepsal tak možná
0:07:17	to ještě tak jako nepůjde tak snadno ale třeba tomu že se to jen
0:07:22	další věc která mě tak jako zahřálo u srdce je možná ste si všimli že
0:07:28	teďka prvního listopadu bylo spuštěno porušení prostředí elektronické dct že
0:07:33	a taková pěkná věc je že skutečně aspoň jeden se tomu dá se proti tomu
0:07:38	říct cokoliv
0:07:39	ale jedna věc se musí uznat že opravdu slíbili že budou mít nsa tají p
0:07:43	v šest
0:07:44	a skutečně mají dnssec a mají bere šest
0:07:47	takže to je to je aspoň jako to je potřeba jako palec nahoru že některé
0:07:51	státní orgány opravdu fungují podle současných standardu
0:07:58	tak je ten dev assistant jsem říkal majda lomeno musí podepsat to je to o
0:08:03	čem to je dnešní přednáška a pak to musí na druhé straně validovat taky jedna
0:08:07	z možností je to validovat je že si pořídíte kladino prohlížet vyvíjí sdružení cz mít
0:08:14	_e platit server idnes hledá to případně to lesa validátor případně se to menuje v
0:08:18	jednom
0:08:19	described else _e validátor
0:08:22	takže provede kompletní validaci ten asi klid else si dát
0:08:28	zkontroluje se sám to víš připojena tu správnou adresu
0:08:31	a
0:08:33	ale je to jeho platit za na nezasahuje do toho vlastního procesu tells variace prohlížeči
0:08:38	tady má zase třeba ukázku ten zelený klíček říká ne doména je podepsán lze se
0:08:45	těm
0:08:45	_e ten zelený _e v ní ten zámeček nebo na začnete tady tak ukazuje
0:08:52	ještě něco že jo sice obtisk certifikát u toho toto pro se spojení že uložený
0:08:58	vylez a souhlasí
0:09:01	cože další jakoby služba na ty byl svědkem o tom a stejně budu mluvit
0:09:06	další možností problém je že se výklad ale ten blani nezasahuje do toho promluví aby
0:09:10	nás tenhle symbol nějakých zachránit před nějakým výnosem
0:09:15	únosem dát nebo před nějakým
0:09:17	přesměrování bezpečný tak je potřeba validovat ještě před tím že je někde na cestě mezi
0:09:23	tím prohlížeče vaším a tím
0:09:25	a tím internetem
0:09:28	taková možnost která se nabízí je která je poměrně
0:09:31	snadno realizovatelná je problém je to validaci přímo ve svém domácím routeru
0:09:36	_e o to se pokoušelo hodně doušek jako několik projektu takových bylo
0:09:43	a takový který se ukázal jako že ty kteří to dotáhne si ne já si
0:09:48	myslím tak jsou vyneste věku se svými routery tunis
0:09:51	tady řeč teda to ris omnia kde
0:09:55	které tuhletu validaci mají k sobě je to tady dnes příčin nejčastějších problémů uživatelů když
0:10:01	si koupí nový routeru mění ze starý
0:10:04	ale
0:10:04	pozadí jako není to problém na nějakém svém ste vyros proběhnout stačí tomu aktuální binding
0:10:11	je volán vám nic nebo no dierese slovem sou tři o svobodné no se mi
0:10:16	které umí desek validaci
0:10:18	ta konfiguraci omega připravena tak je to stačí vlastně nainstalovat a tím je to tím
0:10:22	je to hotové protože všecko dost často máte připravené máte dvě možnosti jak to vojáci
0:10:27	provádět to
0:10:28	nastavíte rekurzivně že jim plní to znamená jeden den se server celý provádí celou rekurzivní
0:10:34	vlastně o kořenový server ešte koncové až tom koncovém ty tě
0:10:38	vtom případě
0:10:40	je to trochu pomalejší ale řekněme spolehlivější druhá možnost je že to berte může budete
0:10:44	asi přesměrovávat na nějaký nadřazený jsem vašeho
0:10:47	prováděla a jenom ho budete jenom nebudete není
0:10:51	je nebudete nějakým způsobem validovat
0:10:54	tohle dá že to že když váš projekt má nějaký zastaralý nelze server tak to
0:10:58	tím tak vám to může zkazit ten provoz a
0:11:01	vám tam validace selže a tím pádem se k těm datům nedostanete takže to je
0:11:06	to sou právě ten časté problémy s tím a tím jsou
0:11:09	ták
0:11:11	verze se k samozřejmě jako každá bezpečnostní pohodě
0:11:14	není vše spásný takže
0:11:17	není brání ty data ohod
0:11:19	toho místa kde jsou podepsány do místa kde sou uvažovány ale ně předtím ale je
0:11:23	zatím
0:11:24	to znamená že pokud validuje teda domácím routeru nebo nějakém vzdáleném donese serveru
0:11:31	a mezitím vzdáleně leze do kterýho jdete a místem nedovoluje jet informaci o věci konzumujete
0:11:36	může s ležet nějaký útočník tak samozřejmě proti tomu vás deset neochrání
0:11:42	takže to specifikace se ku
0:11:44	to řeší tak že prostě nařizuje že takový takzvaná musí být zabezpečen neříká přes nějakým
0:11:49	způsobem ale prostě
0:11:52	je to ne že pokud byste o té pochu pochybovat o té bezpečnostní mohli pochybovat
0:11:56	tak je potřeba
0:11:57	validovat znovu ta kritická data zvládat a třeba o nějaký ty bezpečný těch certifikát act
0:12:03	ls a podobně
0:12:06	představit a variace na vzdáleném se mu takové nejznámější ledující donese server je vůl public
0:12:11	byl seznámen čtyři osmičky
0:12:13	který samozřejmě poměry ale core vás takže jakoby vy to informace o té validaci nemusíte
0:12:18	uplně brát jako že pro _e závazná ale
0:12:22	má velikou výhodou hlavně pro ně protože tím že oni ledový tak se děje eliminují
0:12:27	z velké části riziko
0:12:29	že jí někdo vtom jejich rekurzivním resolveru otráví cache takže lidi tohle je cílový primárně
0:12:34	kvůli sobě až sekundárně kvůli nějaký zákazníků
0:12:38	takže ideálně prostě wayland je to de klidně vícekrát za sebou
0:12:43	to je ten nejbezpečnější stát
0:12:46	samozřejmě zase se k umí detekovat ale neumí opravovat nemám celej křišťálová koule součást protokol
0:12:52	není
0:12:53	takže pokud vám někdo bude soustavně kazit přenese data lze nebo na cestě tak prostě
0:12:58	validátor vám to detekuje budova vás chyby a vám to bude jevit jako den jalovce
0:13:03	viz to znamená ne vylepšení služby
0:13:05	protože služba která by normálně fungovala nebo fungovala prostě
0:13:09	najednou nefunguje protože lidé se sokolem vmanipulovaná
0:13:13	jak se mi to nejčastější příčinou je
0:13:15	nějaká stará verze rekurzivně do sebe někde po cestě
0:13:21	špatně nastavený firewall idnes _e se k tím že přidává popisy ten zvyšuje vydat velikosti
0:13:25	deset dát
0:13:26	takže se třeba čestní přechází na té chcete
0:13:29	někteří a měně ještě nepřijeli functional se pracuje ne na portu údaj devadesát šel a
0:13:33	jako to pět set devadesát tři
0:13:35	takže poté co devadesát tři boku na filech
0:13:38	a to pak způsobuje nefunkčnost
0:13:40	stejnak ty provést fragmentovaný provozem zase když velikost paketu přes _e nemanických patnácet bajtů
0:13:46	je začnou se dít podivné věci a celé to přestane fungovat
0:13:50	máme taky kapitol stále takové ty veselé stránky co každého strašně baví když se připojí
0:13:56	k wifi a ty taky obvykle kazí dnssec provoz
0:14:00	no a
0:14:01	pak je tejden problém že
0:14:05	spousta držitelů domény ten den se seka sedí aniž by to muselo uplně rozumně co
0:14:11	dělají opisují nějaký názor slepě a pak se něco rozbije oni vlastně neví co s
0:14:16	tím
0:14:17	a pokud někdo a se divil se jich aniž by třeba sám a litoval
0:14:20	pak se může stát ani lživě že vlastně s on je on
0:14:23	má problém na své straně a neví o něm a pro něj vypadá všechno pořádku
0:14:27	a problém se schvaluje na ty kteří validuje
0:14:29	to naštěstí ne stejnak nikdo nedodržoval je docela dost díky tomu úvodu
0:14:34	třicet procent uživatelů internetu je za vlády dujícími resolvery takže když
0:14:39	nic nezkazí tydlecty popis tak
0:14:42	se to pravděpodobně na to přijdete
0:14:44	všichni čeští mobilní operátoři naštvaní takovou máte rozbitý podpis
0:14:48	tak se nedostane té z mobilu to mobilních dát na tu danou stranu
0:14:55	a teď teda k tomu jak ten vlasech snadno a rychle dostat na vlastní sem
0:15:00	já jsem zrovna že přestože jsem říkal že byste mě slepě následovat kuchařku
0:15:03	tak vám tady ukážu takovou kočku kterou můžete slepě následovat a která co
0:15:08	_e
0:15:09	je to protože
0:15:11	samozřejmě to tom obraze ku probíhá nějaký vývoj
0:15:14	takže my přeskočíme veškerou fedory jo karel sto prakticky jak to udělat co k tomu
0:15:19	potřebujeme abychom mohli abychom mohli začít provozovat
0:15:23	máme vás předpoklady že máme vlastní kde se server
0:15:26	na ně máme nadefinuju nějakou zónu
0:15:28	používáme ten nejběžnější ten server třeba jim
0:15:32	ve verzi devět osum suše standardní verze která je debian vosum dispozici na normální s
0:15:37	table dneska a
0:15:40	my potřebujeme teda abychom operace tak patře vytvořit klíč
0:15:44	kterým to bude podepisovat
0:15:46	tady se používají certifikát používá jsem normálně svoje klíče
0:15:50	_e nemohli ty klíče nemají žádnou omezenou životnost znáte vyrobíte a dokud je sami nemění
0:15:54	teď tebou platy
0:15:57	ten a ten klíč je tím klíčem pak musí a podepisovat vždycky donese záznamy to
0:16:02	je podstata donese zvyku že vždycky deme se záznam jsou podepsány
0:16:05	pozor na to ty podpisy u životnost mají omezenou to znamená že popisy
0:16:09	když se oni nebude starat tady stěžují a neštěstí
0:16:13	dneska máme dneska máme bind že který dokáže ty podpisy obnovovat zcela automaticky takže _e
0:16:20	stačí a byte vám musí běžet proto aby dával tydle se data když vám bude
0:16:25	video tak vám bude jedno popisy takže vlastně
0:16:28	se o to nemusíte vůbec starat
0:16:30	no a když tohleto všecko válek má podepsáno opuštěnou musíme říct _e nadřazené shodně sme
0:16:34	podepsali což uděláme tím že tam místní ne
0:16:37	holky s toho našeho klíče
0:16:38	no a poslední boty že klíče bychom je pravidelně vyměňovat
0:16:43	tohle mi si trošku zjednodušíme tím že použijeme zase aktuální state of dá technologie co
0:16:48	jsou etické křivky
0:16:49	etické křivky oproti dřívější dns a dnes a mají výhodu velikou vtom
0:16:57	že sou výrazně bezpečnější při měl velmi krátkých klíčí takže
0:17:01	eliptická křivka a jestli čem o délce
0:17:05	_e tři sta osmdesát čtyři bitů
0:17:07	je zhruba stejně silná jako _e desátníka délce tři tisíce bytů
0:17:14	dnes jak jsem říkal je problém s velkými zpráva než tam se to hodí obzvlášť
0:17:18	tam je to prostě úplně skvělá věc
0:17:21	a _m tím pádem můžeme přeskočit všechny ty z neskákal hezká klíče co kdysi jestli
0:17:27	se někde četl odezev vole
0:17:28	to je ta věc ze které se dycky za motáte
0:17:31	a prostě tam bude mít jenom jeden klíč to bude _e c desátý čtyři bude
0:17:34	strašně silný bude silnější těžkých kořenové zóny takže
0:17:38	na to neosloví nějaký důvěryhodnost a
0:17:41	bude to klíč který bude zároveň trvanlivý že se nemusíme bát vona mít několik let
0:17:45	klidně
0:17:48	to je teda baník devět a sem uzavřel ti lidé osum tak jsem to poplet
0:17:52	tak se omlouvám
0:17:54	tak automaticky podepisuje zónu
0:17:58	pravidelně
0:17:59	a přitom _e nešálí bych původní zónou jsou takže pokud máte za nový sou return
0:18:04	máte třeba komentáře
0:18:05	klidně ho můžete mít dál
0:18:07	jediné co tam mají neumí sám generovat klíč takže my vlastně uděláme jenom to že
0:18:12	viditelné klíč
0:18:13	upravíme konfiguraci bajtů jednoduše přidáme pár řádků
0:18:17	a publikujeme kde se záznam nadřazené zóně tím dále je zbytku světa že sme podepsali
0:18:23	a to je podstatě všechno a šlo to uděláme tak nám _e tak máme hotovo
0:18:28	a
0:18:30	tak máme hotovou a má proč sám
0:18:32	ale ještě nešla ženy dělat tak je tady mám takovou poznámku o
0:18:36	nedostatku entropie proto generování klíč už se použije náhodná čísla na označí za se berou
0:18:42	zde from do
0:18:43	jak možná víte ty franto mě zařízení které vidět generuje
0:18:49	náhodná čísla mezi sebou entropií ale pouze případě že ten systém nějaká náhodná čísla má
0:18:56	takže a když to jde teda
0:18:57	no a sou jsou na špatně
0:19:00	eště šipka graph novou
0:19:03	tak takže já tady pomůžu příkaz pipu ju
0:19:06	který
0:19:07	který vám beze kolik dat proteklo danou nule vidíte že by to už tady deset
0:19:12	sekund mluvím a ne pro tak nám ani byte protože předtím zámku nasypal prostě rivalitu
0:19:17	a teďka tady ten protože to je virtuální server na virtuální seru nejsou moc život
0:19:21	druhý entropie tak tady máme problém
0:19:24	a právě vodejde bychom tady dali ukázku toho podepisování tak by se nám to tak
0:19:28	bych se nám to celé zasekává no právě na tom že by se blokujícím čtení
0:19:32	četl řízení
0:19:33	je from doma čekalo by se a
0:19:35	dostaneme dostatek entropie naštěstí muslimský ty
0:19:40	velmi snadný
0:19:41	takže bychom aniž bychom věděli to celé funguje taky jste nás lety jsem _e a
0:19:45	vidět
0:19:46	stačil takovej instalovat
0:19:49	a on se postará o to že začne plnit ty zdroj entropie nějaký vnitřní strany
0:19:54	procesoru
0:19:55	takže ty když to pustíme tak vidíte že nám tam stavil nějakých sedum jedna paní
0:20:00	jedna celá osum megabajtů za vteřinu
0:20:03	entropie cože
0:20:05	nebo náhodných čísel přesnějšího takže vidíte že
0:20:08	tím že si povolil toho aby na to nezamrzlo
0:20:14	druhá možnost row můžete použít je že místo kde fragmentů že tedy fůra do
0:20:19	takže takový ten pseudonáhodný generátor typu zesílený signál mi čísel ale to se všude píše
0:20:25	to není doporučované protože
0:20:27	neměli jste push a pseudonáhodná čísla pro generování nějaký ty teda ty záležitosti není to
0:20:31	bezpečné takže stínu může přijít na to čísle ten
0:20:34	před drahně na to si dovolila
0:20:37	vytvořit si stejná na čísla tím pádem se vytvořit váš privátní
0:20:42	tak výchozí stav který sem tady se voltera připravit já to mám totiž hodně nepřipravené
0:20:48	to přednášku a že to bylo to o to zajímavější
0:20:52	je ten že jsem tady nejistého paní na debian osmičku
0:20:56	a tom pajdu sem založil soubor
0:21:01	tady ukážu pak
0:21:03	úplná a kat cz a pak sem ještě udělat je nezbytné věci že se televizor
0:21:07	nový soubor
0:21:08	dal do dal do
0:21:14	takže to je jak jistě
0:21:16	štěstí pozadí tak ten třeba otevřu
0:21:19	blíže
0:21:20	takže jsem ho dal donese takže to ještě tak úplně a
0:21:25	a zcela cz tak sem tady tak asi ukradl vo konference takže tady jde nějakou
0:21:29	stránku druhé snadno tak jo centilitr abyste je že to
0:21:33	vůle ale rozhodně nejdete zámeček je přeškrtnutý
0:21:37	je to nezabezpečil donese se k _e
0:21:40	můžeme se podívat budu trošku předbíhat nástrojem který se vejde nesouvisí
0:21:47	na a katce se
0:21:50	nástroj na zemi s krásně dokáže vizualizovat stany ti lidé se ti dát takže tady
0:21:56	vidíte co je typy jsou barvu nebezpečnej a se černou barvou je nebezpečné co je
0:22:00	červenou barvou tak _e
0:22:01	taky rozbité
0:22:03	takže tady vidíte koženou z o která jsem škole podepsaná té důvěřujeme bezmezně to máme
0:22:08	prostě zakódován vesele ve zdrojovém kódu
0:22:11	se je delegovaná důvěra na cz doménu
0:22:15	cz doména následně deleguje dům důvěru na doménu a katce ze
0:22:20	no a kate cz doména tady má _e se k tři to je právě to
0:22:24	o čem sem mluvil to je podepsaný důkaz o tom diatomit podepsané nemá takže vidíte
0:22:28	že tady nám ta šipka přestal bych vypisovač ale být června
0:22:32	a tady máme delegovaný první delegována tu na to doménovou praha a k a cz
0:22:36	takhle to vypadá typicky akorát že teda úroveň když máte je podepsanou je podepsanou doménu
0:22:41	práci této plno méně po plné podepsaná po mně to ne podepsané
0:22:48	takle pásem zeleně konfigurace prostě ten soubor takle to je toho jeho obsah toho souboru
0:22:52	je vidíte že celkem prázdný
0:22:54	a
0:22:56	tohle je konfigurace bajtů
0:23:00	tak
0:23:02	tak musíme udělat to že vygenerujeme viděl mi klíče
0:23:06	takže založíme se adresáře etc panictví
0:23:10	vlezeme do něj a začne vyrábět klíče
0:23:14	ty to bude trénink paměti protože a to je jiná připravené takže
0:23:19	že to bude lepší
0:23:21	letecky
0:23:27	co je teďka znáte vás teďka ke to co šikovná věc
0:23:36	se sek
0:23:37	ti tě
0:23:42	mínus a algoritmus té se s
0:23:46	mám
0:23:50	dvě stě padesát šest neznám stě padesát šest
0:23:53	ano
0:23:54	to je dvě stě padesát šest nestandardní název té křivky o tu jistotu že nějaká
0:23:59	americká americký úřad
0:24:01	_e za dvěstě padesát šest je ty vyučovací funkce která se používá von popisování
0:24:08	mínus tak tam a hrome
0:24:12	mínus máte patent na open a
0:24:17	a celá
0:24:22	vypadnou nám klíšť nemáme jeho název
0:24:25	se podíváme na k nám tady vznikly dva soubory
0:24:28	když se podíváme takle tak vidíme že jsou příště to ne pro auta tenhlecté dětem
0:24:33	privátní klíč řešitelný pouze pro auta
0:24:35	a modrej klidně můžu ukázat protože to je úplně
0:24:40	normálně byste tohle na to je pro něj koukat ale tohle to tajemství které nikoho
0:24:45	nemá teďka
0:24:47	vidíte že tam jsou kromě toho vlastního píšeš nějaká časovací meta data které nemají používá
0:24:51	k tomovi věděl
0:24:52	věděl co má když má ten klíč nasadit jo má při se používá pokud ne
0:24:58	neplní ty nijak
0:24:59	tak se prostě fakt chováním okamžiku listo vygenerované oblasti ten klíč
0:25:03	aktivuje a začne se pouští what
0:25:05	tak a teď ještě musíme udělat tu věc ten bájný běží pod router neběží plotňák
0:25:09	tím že ve méně privilegovaným uživatelem takže my potřebujeme mu _e přidat právo leštění do
0:25:16	privátního klíče
0:25:17	co děláme tím příkazem changed mode
0:25:23	je plus
0:25:26	že to bylo pět plus
0:25:30	to je jednička tady zase
0:25:39	jo
0:25:40	a teďka
0:25:41	důležitá věc tar možná ste si všimli že to teďka se měl ten
0:25:47	tohle doporučované chování debianu že vlastně
0:25:50	li
0:25:52	li zónový soubory to není ručně nebo madridu místní pět let sobi
0:25:57	spolu s tebou konfigurací a vy máte mít cestu za vodou absolutně
0:26:01	proti tomu máte konfigurační soubory generovaný automaticky
0:26:05	tak tam tu cestou dávat nemáte a máte ten soubor dále dovolenou protože automatický dělané
0:26:10	soubory patří letec
0:26:11	pak když začnete nějakým způsobem sledovat jejich je to co tak určitě nechcete aby vám
0:26:15	tam to je to c prostě překážel nějaké soubory které
0:26:18	tam nechcete a ta správná cesta kandel ty soubory patří
0:26:22	je války už balím tyto šeptat že ta cesta pro ten
0:26:25	provozní adresář takže vlezeme do warp je špatný
0:26:31	ta
0:26:32	a tady
0:26:33	na linku jedné ten soubor se docela bavit
0:26:38	open a
0:26:40	proč děláme
0:26:42	děláme to protože vedle toho souboru který teďka spravujeme ručně a pořád budeme takové máte
0:26:48	mají vytvoří další tři soubory právě s těmi dresy podpisy a my chcem aby ty
0:26:52	soubory to možnost toho adresáře etc bájný je u všeho protože tam je mávají zapisovací
0:26:57	právo takže bychom
0:26:58	to se řešili problém správy
0:27:02	tohle si neudělal já jsem to udělal jinak nešlo tady napsáno ale mysim to bude
0:27:06	taky fungovat
0:27:07	tak a teďka uděláme jenom drobnou úpravu konfiguraci takže
0:27:14	teď se to bude trénink paměti
0:27:20	my
0:27:23	já jsem špatně etc tam
0:27:27	co jeden film kontakty
0:27:33	tady vidíte to co se tam děje takže některých té tom provozním adresář dekády na
0:27:38	pak vymažu cestu
0:27:40	teď se vlastně ještě neudělal žádnou změnu pro tam ten simlink
0:27:44	a ty tady přidáme ty řádky
0:27:46	i na nic není tě s autorem ssl malý ty
0:28:06	a poslední nejdůležitější musíme žít je ten adresář s klíči etc bavit
0:28:11	ty
0:28:13	je vektory
0:28:19	otec
0:28:21	jo from neznáte ctrl jste to je
0:28:25	dokáže poradit
0:28:32	snad se to nějak nepoklesne tak já žádné překlepy
0:28:37	_e
0:28:37	ještě než to nehodu tak vám ukážu ty persóna podepsaná není tomto už ten styk
0:28:42	ovšem musím loterijní takže tady v evropě určitě vám
0:28:46	zeptáme se příkazem dick přímo na server
0:28:49	o a
0:28:52	open a
0:28:54	a celá
0:28:56	se ze
0:28:57	a zeptáme se zeptáme se na tu samou doménu
0:29:02	a celá c z a zeptáme se dále tam plus donese se
0:29:08	jako že chceme dnssec data
0:29:11	tak když sme dostali odpověď ale žádná dnssec data sme nedostali
0:29:17	tak
0:29:18	tak uděláme teď dále to kouzlo
0:29:21	že tady dáme hrnce
0:29:23	renault
0:29:28	a podíváme se do logu
0:29:32	nezdají červené té vesnice špatná známka ale to jeho chyba nějakého varování
0:29:38	důležité se nám tady napsalo
0:29:44	z do sání
0:29:46	tady konfigura jízdou pí
0:29:48	nechtějí _e ven
0:29:50	pátého novém rok dva tisíce šestnáct dvacet devět což mi řek že právě teďka bylo
0:29:56	je to je za hodinu za hodinu ano
0:29:58	bylo to ano to každou hodinu kontroluje ten adresář s klíči a sleduje jestli nám
0:30:02	tam je nějaký klíč
0:30:03	který by se třeba mohl vyměnit nebo tak něco
0:30:07	tak proudu nám teda vznikly jak jsem o tom mluvil tom pracovním adresáře můžu se
0:30:12	tam podívat
0:30:15	v a
0:30:18	se trefím na pevná to vám
0:30:20	to je
0:30:21	páni
0:30:22	tak na nevznikly ty soubory svůj kterým se vám dělá jeden simlink to sou soubory
0:30:27	open a katce z tečka j bejt jak že je velká to je
0:30:30	tady žurnál který sleduje vlastně změny tom našem souboru
0:30:34	ten náš souboj původní se nijak nezměnil té ten jenom pro čtení talentem a jízdy
0:30:38	nemůže
0:30:39	knihoven nesedlo rozhovor ty dneška science té podepsaný té kopie toho našeho soubor doplněná všimněte
0:30:46	si ty si a ještě tady žurnál který se veze změníte podepsané verzi když teďka
0:30:51	uděláme tu změnu že se zeptáme znovu tím je úplně stejný dotaz tak u se
0:30:55	nás tady vysypou
0:30:57	další data návštěvy lavinový typ záznam
0:30:59	_e si to že právě ressource golf imidže takže tady vidíte nějaký podpis ten úkolem
0:31:06	vidíte časová razítka konce platnosti podpisu
0:31:09	a začátku platnosti podpisu
0:31:11	takže znát jako květina na tedy zase čtyři je před hodinou byste budoval je to
0:31:16	vůbec _e je to znát máme patnáct třicet jedna bez router bude celé čtrnáct dvacet
0:31:21	jedna podle tři na dvacet jedna to tak odpovídá protože vždycky se ten čas začátku
0:31:26	platnosti dával hodinu dopředu
0:31:28	u nějakým problémům ze mysim vlastní hodí na
0:31:32	konec platnosti nestandardní nastavení dušu na měsíc tedy vadí dyž znamená klopě
0:31:37	jde že pátého prosince přestanou platit
0:31:40	tohle byla vlastně do toho popisu
0:31:42	no a pak se tam ještě samozřejmě můžeme zeptat na ten záznam typu byl nesedí
0:31:48	což je ten slídič vlastní který se to ověřuje
0:31:51	a ten je tady
0:31:52	a pokud není měli diversity o trestá jak víte že to je takový štěňátko víte
0:31:57	který znám to vyšlo na jeden řádek na kousek takže vidíte že opravdu ty věci
0:32:01	desátý časů
0:32:02	maličké
0:32:06	toho je trochu problém to je otázka jestli ukážu ten policejní zdrojový soubor
0:32:10	můžeme to zkusit to nebude úplně triviální protože já sem tady ta svá zamlčel takovou
0:32:15	věc že ten nový soubor pokud si ho zapisuje a ně znám paní tak proč
0:32:21	by si jo generovat tom tech stavem lidských že tam _e formátovací jo generuje
0:32:24	ve formátu pro ně přístupem
0:32:27	takže takovýhle binárních bordel pokud by se opravdu chtěli přečíst
0:32:31	tady na tento je ta která se jmény
0:32:34	komp a je zone
0:32:36	která ho umí načíst a umí kdo umí lovit vyplesknout té normální to době ale
0:32:41	je potřeba tam přidat nějaké přepínače které si z hlavy nepomatuju
0:32:49	takže má podepsáno podstatě ano to může veskrze podívat na ten servis
0:32:54	tak asi rámec ale závaznou
0:32:57	deset dá aby null
0:33:00	a
0:33:01	vidíme že to jako ještě uplně nebo jo
0:33:04	je co nám to mouchy
0:33:05	a nic nedávali pozor tak už víte co následuje chybě
0:33:09	zde se podepsali ale ono to myší no nevím
0:33:14	ano takže co vás teďka čeká a teďka když bude vypadat velmi podobně jako to
0:33:18	vypadalo předtím
0:33:20	ona tady bude která řazeného zóně
0:33:24	tady bude pořád an sich tři a tady je pořád černá šipka je něco změnilo
0:33:29	vidíte že tady už je nějaký dvě nesedí zaznamená vidíte že tady je ňáký podpis
0:33:33	který nátury by se ta data té zóny takže něco se tam přeci a změnilo
0:33:38	ale bohužel o tohodle odpad tohoto podpisů nevede tyrkysová šipka k tomuhle popisu takže je
0:33:44	to plovoucí ve vzduchu deseti nastavení ták že pokud nadřazená za na tvrdí že není
0:33:50	podepsáno
0:33:51	tak vůbec nezáleží na tom jestli je podepsáno není podepsáno je dobře podepsáno špatně podepsáno
0:33:57	všechno se to chová úplně stejně
0:34:00	takže my teďka deme na tu na tu druhou část
0:34:03	a sice
0:34:04	musíme to o tom dát vědět jak se to jak se to jak se to
0:34:07	dělá
0:34:09	je to
0:34:11	je to poměrně snadné jsme to ještě bych chtěl říct že je jsem s přítelkyní
0:34:16	slajdy že vlastně kdykoli to bude měnit tenzorový soubor bude mít daleko doposud prostě vylezeme
0:34:21	tam a dáme roce opravíme něco dám rd celou
0:34:25	všechno se stane automaticky samou že to vlastně podstatně převést
0:34:29	ale dalo poslední deset minut tak cool to nebudu pokoušet
0:34:33	je
0:34:35	de podpis automaticky obnovují nemusíte se o to bavíš používají bude to fungovat a jak
0:34:40	tomu najdete na zelené zóně ve sobě přímo výstupy té se liší podle toho jaká
0:34:44	je to leze názor na lidi že to zóna cz a nebo zóna _e ú
0:34:48	tak ty mají takový speciální přístup že ty chtějí po vás tejden
0:34:53	předně měření klíč
0:34:55	a ulici z něj sami vytvoříte lodi stará kdy už tady máte podstatě hotovo protože
0:34:59	ten veřejný klíč se nám vyrostl tom adresáři
0:35:02	takže by šlo tady hromada kecat empty s a
0:35:06	tam kde je ten tečka týhle ten private ten private nikomu ní ně dávejte
0:35:11	ale podstatě tohleto
0:35:13	tohle to co je přesně vidíte tak nějakým způsobem předáte
0:35:17	registru
0:35:18	prostředí z vašeho registrátor a ten dalo dobré mít role taková okýnka na tyhle ty
0:35:22	jednotlivé políčka bych tam to vás na něco co je dvě stě padesát sedum
0:35:26	ne něco co je třináct a pak sázíme ptát
0:35:28	ne takovým velkým bochníky na to je to bejt šedesát čtyři řetězec
0:35:31	tady do tohoto vyplníte
0:35:33	a máte nešel ostatní nadřazené zóny chtějí přímo ten záznam teda neobtiskne za zlé podstatě
0:35:40	lžeš tohodletoho klíče použijeme na domény
0:35:44	a
0:35:45	to znamená že tvá že musí vyrobit je nadpis
0:35:48	na to zajímá zatáček by se to já u té doby nesedí ten strom tý
0:35:52	takže dáme
0:35:55	donese se
0:35:56	dbs fronty
0:35:58	teď dáme
0:36:01	no slova tečku
0:36:04	a vypadnou nám dokonce dva otisky
0:36:06	jeden tady má jedničku
0:36:08	_e používá funkci je za a jedna dvojitej má dvojku ten růža funkci _e závisti
0:36:13	padesát šest
0:36:13	pokud ten klíč _e c de se na
0:36:16	to všichni co umí je c de se na takový je závisti padesát šest takže
0:36:19	nedává smysl dává ten první šťouráte oba neuděláte chybu
0:36:23	ale samozřejmě s pyšnější na tom ten druhý
0:36:25	tak a teďka tady bude takové mu ta jim to je takové kouzlo žádnou tak
0:36:29	pro zkop dosladili to litru který je vidíte
0:36:32	mrzuté nadřazené domény
0:36:36	vloží to normálně dozorového souboru
0:36:40	a vyvolá a chci dát na jejímž konci měl být podepsán to víte lépe zvolit
0:36:47	a jestli se to všecko povedlo
0:36:50	tak teďka
0:36:52	se začnou dít věci
0:36:54	tady dáme aby nám
0:36:58	takže bude mít štěstí
0:37:01	tam
0:37:02	ta černá šipka se sníst nájezdy ty slova
0:37:06	to šlo nějak rychle podezřelé
0:37:10	a skoro bych řek že to tak tě je to tam
0:37:14	magore sám bylo to troll patnáct minut dvacet minut
0:37:17	šlo to rychle
0:37:21	jak to zkontrolovat tak veselej
0:37:25	u sebe ukazoval vidíte vpravo jako ukázku které trošku veselejší
0:37:30	takhle to vypadá když se vám povede není klíčení viz ani vy ste ne lidi
0:37:34	té praze zóně madam červenou šipku a tu chvíli vám volají zákazníci že vaše doména
0:37:39	není viditelná takže to je stav který nechcete vidět nikdy
0:37:44	eště existuje taky nástrojů sou nástroj který se provede nějaké kontroly a řekne vám to
0:37:49	je s tou doménou špatně můžete si to vyzkoušet jako
0:37:52	o mají kontrolu no a
0:37:55	to je vpodstatě to je podstatě takový tým podstatě máte hotovo
0:38:01	dnssec je zavedený
0:38:03	třem moc rád že
0:38:04	napsal jsem ten postup kromě toho že se mu takle přednášel
0:38:08	u šedinou
0:38:09	tak se napsali článek na louce z a
0:38:11	moc mě potěšilo že na základě toho článku se třeba konečně podepsala doména českého vysokého
0:38:17	učení technického praze
0:38:19	takže čvut cz jede přesně na tom o tom přesně jako systému
0:38:24	protože tam co to odkládal odměnu až na to bude čas až citlivá studuj a
0:38:28	pak se ukázalo že jste to
0:38:29	se dá zvládnout za pár desítek minut
0:38:34	ještě abych řekl ta informace úplná jak jsem řekl ten klíč
0:38:41	recese a je dostatečně silní
0:38:44	na to aby vám to moh vydržet poměrně dlouho
0:38:48	ostatně kořenová zonální byla podepsána tvrdíte deset klíčem
0:38:53	typu ls a o délce
0:38:55	o délce dva tisíce čtyři osum bitů
0:38:58	a ten klíč je tam provozu dodnes a bude vyměněn
0:39:02	v listopadu příštího roku to znamená že trošku že sou je
0:39:06	mají stanovila každý pět let a nepovedlo se to uplně včas
0:39:10	ale vidíte že jako by ty klíče jsou poměrně silné poměrně bezpečné a tady klíče
0:39:15	ještě o něco silnější takže pokud někdo nedej nějakou zásadní zranitelnost tomletom tónu konkrétnější autoritu
0:39:23	recese a penny stě padesát šest nebo vtom jste šanci funkci za dvěstě padesát šest
0:39:28	tak
0:39:30	vydrží hodně dlouho
0:39:31	nicméně kdybys to pro mě touhu ten klíčení tak samozřejmě tobě
0:39:35	uděláte to takže viděli ten nový klíč _e
0:39:39	a ten nový klíč zase za deště a jsem velice slajd
0:39:44	je nový týce použili podepisování vstupuje se ta shoda políbíš oběma klíči
0:39:49	vy počkáte ňákou rozumnou dobu aby se aby se všechny tě šéf internetu zahodili a
0:39:54	něj sledujete no vidíš znají všichni pak provede normálně hostinci je změnu v té nadřazené
0:39:59	zóně že stejné delegace uděláte
0:40:01	domů delegaci
0:40:03	co se počkáte až se ta bezpečná delegace kde se záznam pro z pro její
0:40:07	celém internetu
0:40:08	je to vždycky akci kterou lze naplánovat na celý týden nadělávat dávat jednotlivé dny mezi
0:40:14	jej každou mezi každým krokem abyste mě jistotu protože
0:40:17	jsou donese servery nebo přes to metoda se mi s životností třeba jeden den keši
0:40:23	no a pak můžete ten starý klíč pak už dnes tady klíč odstranit co
0:40:29	což tady mám na dalším slajdu
0:40:32	_e to znamená že to uděláte pozor to nemrštil jako nikdy serine dataset ne odstranit
0:40:38	tak je
0:40:39	nikdy vás nenapadlo že zprávy host postup odstranění je že smažete nějaký soubor přivádím klíče
0:40:45	protože to víte co víte jo ještě budete potřebovat
0:40:48	a
0:40:49	je to nevratná zájem to že otevření znovu neviděl industry takže tohle že
0:40:54	radši když přesouvají který nám ale hlavně správný postup je nemá stát ale jenom nastavovat
0:40:59	příznak že už se nemá používat
0:41:01	na té lodi letadle se sekce ta _e kde vlastně vy řeknete
0:41:05	vy řeknete pustit a neznamená
0:41:08	zraněného teďka ten klíč přestaň používat
0:41:12	a zajede není za jeden týden ale teďka
0:41:15	ten klíč
0:41:15	přestaň úplně vymaž
0:41:18	jo a tím pádem přestat používat zadá ten klíč tam stát publikovaný a upřeně používá
0:41:23	k vytváření nových podpisů popisy které tam jsou tak zrychlení duší a nepraštilo kteří touží
0:41:29	tak se vlastně tak se vlastně
0:41:30	letenky jsem nepotřebuje možného vymazat
0:41:34	takže to není způsobem vlastně pozvolna ten starý kdy jsou zbavíte není potřeba to dělat
0:41:39	narychlo co bude za předpokladu že ten byt nebyl kompromitoval pokud kompromitován tak je potřeba
0:41:44	rychle
0:41:44	všechny podpisy nahradit novými ale stejně dobrého nemá zaběhne nechat ho tam pro případ že
0:41:49	někde drží nějaké city fi
0:41:51	a vymazal to proč jste si jistý že takový problém
0:41:54	není
0:41:56	tak chtěl jsem se dostal vlastně k závěru rusové přednášky koukám že jsem na tom
0:42:02	docela dobře s časem takže volný prostor pro nějaké dotazy
0:42:06	jak jsem říkal podepisování vtom webovém validuje je velmi jednoduché
0:42:12	tak minimální pokud máte svoje procesy založené na tom že máte že máte bajtů zónové
0:42:17	soubory
0:42:18	případně máte nějak mají napojení nějaký vejkend podstatě denně musí vízovou jsou to být cokoli
0:42:24	tak stačí
0:42:25	tak stačí je vlastně přidat těhle pár řádků do konfigurace věnovat jeden klíč a máte
0:42:30	donese se podepsán
0:42:33	důležité možná vás mohlo zajímat ve výchozím stavu se používá
0:42:37	takzvaný hledisek
0:42:40	s tím že moct přepnout nájemci tři schválně tak kdo z vás tušit se integrace
0:42:44	mezi tři
0:42:46	je tady někdo takový jeden dva tři tak _e s tím trošku rozebrat protože máme
0:42:50	ten na ten čas pepa vy ste hustej mikrofonem ale
0:42:53	teďka jestli dotazy dybyste nějaký zajímavý že ta stejně mě teda ještě večer tohle ale
0:43:00	mě to je možná zajímalo by vás nosit
0:43:04	ne se kromě toho že to podepisuje data která nenese sou tak podepisuje i data
0:43:09	která se nejsou to zadání se ptáte na neexistující já znám tak musí dostat podepsal
0:43:14	kolik o tom že ta do zlomil existuje
0:43:17	a aby to bylo volné proti nějakým reply útoku tak není možné mít jakoby bianco
0:43:22	podepsané univerzální odpověď váš dotaz neexistuje ale ještě být nějakým způsobem konkretizovaná odpověď na ten
0:43:27	daný dotaz
0:43:29	no a to se dělá tak že se ty existenci já tady zřetězí a vidíš
0:43:34	se ptáte třeba na
0:43:35	třeba na
0:43:39	doménu která je já nevím doméno je slovo které je třeba banán
0:43:44	a slovo banán existuje tak celá zpátky obě vrátil odpověď která říká
0:43:50	že
0:43:51	_e
0:43:52	mám sice neexistuje mám tady o a nejdřív a na nás a pak až citron
0:43:56	to znamená bud existuje a nahrazení ten citrón a tím vlastně vás yum prokazuje že
0:44:01	neexistuje nic mezi já jsem a citronem takže to musí být takže banány může existovat
0:44:06	nic vy si ověříte kila odpověď byla směšně relevantní tomu vašemu dotazu
0:44:10	samozřejmě také deset let máte vidíte že to mám takový drobný problém že má to
0:44:17	vlastně prozradí které trénuje zóny která by měla existují té zóně
0:44:21	na
0:44:22	to může a nemusí mít problém čím dál tím více ukazuje to spíš není problém
0:44:27	je že problém protože
0:44:28	to se má nějaké bezpečnostní konsekvence jako že když víte která uděláme dál existují tak
0:44:34	můžete efektivně tak a zahazovat nesmyslné dotazy trvám chodí si terezou šel něco poškodit vás
0:44:39	takže ne nemůžeme jestli špatně nicméně
0:44:43	jistá skupina lidí došla k tomu že
0:44:46	pokud on je voják nedošlo smysluplně je tak drzej mně nesedí proto byl asistenci tři
0:44:53	hrnce třídě pokročilý systém který do toho nepřidává jednosměrné ještě
0:44:57	tak aby vlastně nebylo možné stě jmen zifč odpovědí
0:45:00	získáte vytvoří ten seznam těch doménových ne a pořád je možné z několik i do
0:45:05	vezme tam je a pořád je možné použít
0:45:07	hrubou sílu a nějaký slovníkovým tok
0:45:10	_e
0:45:11	přechod nájemci tři pokud se rozhodnete že váže bože to chcete
0:45:15	tak je celkem jednoduchý prostě vy zadáte takovýhle parametr ten mami škole trasu ujedu s
0:45:21	tím že tahle ta čísla jsou daná s tím můžete hýbat
0:45:25	tohle to číslo je takzvaná sůl protože ty že jsou ještě sole ne
0:45:29	aby se ho nepoužil nějaké rýmu tabulky takže tam si myslíte nějaké libovolné číslo které
0:45:34	se vám líbí asi není dobré dát kafe není dobré nadávat face není liberál tam
0:45:39	dingových ale libovolné více číslo které se vám líbí sem dáte já teprve video jiné
0:45:45	no a
0:45:47	taková věc na závěr
0:45:48	pokud potřebuje vaši doména vůbec dnssec no kromě toho že bys takže bych byl rád
0:45:53	aby potřeboval kvůli toho byste
0:45:54	dosáhnout zádi padesáti procent
0:45:57	také
0:45:59	pokud nejnižší máte nejlépe bezpochyby
0:46:01	já jsem o tom mysim je novýho tady a prostě pokud
0:46:05	máte doménu na kteří máte maily a nemáte není že se tak vlastně ten odesílatel
0:46:11	nemá jako uvěřit že posílat maily vám protože tam dochází k tomu
0:46:15	jo odkazu pomocí mx záznamu a pokud je mi záznamy jsou podepsané tak vlastně tak
0:46:20	vlastně ta pošta
0:46:21	může být
0:46:23	udušením celkem snadno přesměrování
0:46:26	tak to je ode mě u všech látek tedy prostoru nezbývá _e čase
0:46:30	naro zase máme asi čtyři minuty
0:46:34	jestli ovšem nějaký dotaz je jeho druhá přes ten
0:46:39	path věčná
0:46:40	dobré
0:46:44	ale může dělat za mě tričko je to jestli je to řešil
0:46:47	která se tom
0:46:48	já bych si to tak jestli budu hodně pěkný dotaz
0:46:52	jestli sis tom nějaký vývoj nebo co se připravuje dnssec újmu dalšího protože ten princip
0:46:58	tři a co vím taková nebo po porážce dosáh
0:47:01	to jsou takové poslední věci které se tam udály ale to už se několik let
0:47:05	jestli se jakoby
0:47:06	připravují co zajímavého či bys věděl nějaké nové věci
0:47:10	tak připravuje se budoucnu jednak taková zásadní provozní něco to že poprvé v historii dojde
0:47:16	k tomu té zní to kořenového klíče a ten kódový klíč má to zásadní věc
0:47:20	že ten jako domovní každém tom validátoru napevno
0:47:23	nice way a pevno
0:47:25	trvá jádro by si měl sám připravený nový ale nemusí to uplně dopadnou takže příští
0:47:30	rok v listopadu bude kritický den kdy se vyhněte stali když přestane bohužel že se
0:47:34	vožrat nový
0:47:35	a mělo by se to nějak jako samo přejít
0:47:38	ale samozřejmě
0:47:40	samozřejmě že vede nějakou pozornost totální nulu takže tohle to je potřeba sledovat určitě to
0:47:45	bude urči to bude těch médiích jako jenom cz zmiňovaný pak se týče tak se
0:47:50	rozhodněte se to řeší další algoritmy protože to jsou tam stihli věcí těmi kilo tyhlety
0:47:55	nist křivky k o kterých se
0:47:56	někdo tvrdí že nemusí mít úplně bezpečně proč jsou nějaké magické konstanty které nikdo neví
0:48:01	že se vzali
0:48:03	takže tam se tam se používá na tam se používá to že se tak tyhlety
0:48:09	nestandardizují další křivky jako ty dva pět jednali je totéž ale já
0:48:14	jak která se taky může později používat dvacet týče třeba jen se chci taky eště
0:48:19	vyvinutý jaký ten sekty je který máj byla ty problémy to jen se štěstím hašování
0:48:24	a má směšně umožnit
0:48:26	udělat to aby opravdu nebylo možné prozradit
0:48:30	prozradit do sezóny ale zase za úsilí které možná úplně nestojí takže tvá experimentálním je
0:48:36	ztechnizovati nesměl se tak
0:48:37	kreslit pohybuje
0:48:40	tak tady můžu olejovou to s konektoru tak matně tušil odpověď jako je na tom
0:48:45	je stanovena z toho zle nesekl špatně
0:48:48	ale nejsou sami
0:48:50	hezké ramena to špatně a tak se časem sta mluví nějak jestli takže to za
0:48:54	nějaký podivný pila článek je podepsaný na lup je
0:48:58	kde se psalo o tom islandu mít nějaké podivné věci jako je se změní registrační
0:49:02	systém a tak
0:49:03	tak se třeba blýská na lepší časy budeme tomu věřit no
0:49:06	myslím že maďarská doména to není moc líto
0:49:11	ještě tam je to za dva pak no
0:49:14	já bych se chtěl zeptat když tě u sebe na noťase se musí kolidovat je
0:49:18	nositel znám jaké jsou možnosti
0:49:21	je děsně
0:49:22	se povoluje takže ta jednoduchá je nainstalujete a mám nebo byte a v zásadě mu
0:49:28	to máte a hotovo a od boše sierra jsou von proti lokál vstup problém je
0:49:33	že ti neopozdit sám to rozbije na nějaký veřejnýho sportech a podobně
0:49:37	se vám to rozbije
0:49:39	takže
0:49:41	existuje projekty jsem jeden ssl položka trigger
0:49:44	a ten dělá to že dokáže detekovat případné problémy s tou sítí a upozornit vlády
0:49:52	na síti rozbitá že musí jedno jesli vojáci a udělal to za vás takže ještě
0:49:56	byste jakoby nástavba a mám která se menuje donese se který byly
0:49:59	a je to experimentální ale je snažíme přesně tohle abyste mohli na notebooku přímo validaci
0:50:05	a aby fungovala i za předpokladu že setřídí která já všimli na formulovaná má to
0:50:10	několik jakoby náhradních řešení když chtěl ta věci je pro děcka
0:50:17	se chtěl zeptat jestli na začátku
0:50:19	ty sobotu že vy s pořád používám budete místo
0:50:23	přeci pekař by bylo vhodnější pro ty velké
0:50:28	no ne já jsem měl jsem říkal že někteří správci jako by si myslí že
0:50:31	pustil syna jestli to znova nějaké nevýhody samozřejmě že master je dva tisíce nás koho
0:50:37	dobře nevýhody se týče výkonu
0:50:39	prostě to co dneska se valí třeba nekořenové sleduje přišlo nějaké statisíce až miliony dotazu
0:50:44	sekundu tak prostě to by spousta těch _e sem byl prostě v rámci tý si
0:50:50	být tím že ke každému spojení vidět držela stát
0:50:53	takže prostě ne nezvládla nehledě na to že samozřejmě tam tady delší latence pro že
0:50:58	tam je ten šek
0:50:59	jo takže pro má data je lepší používat to bude p
0:51:03	byť teda se ukazuje že nakonec možná o tom už nakonec nedopadne protože s tou
0:51:08	lépe máte problém s těmi útoky s těmi obrazy a podobnými věcmi
0:51:12	takže možná to nakonec dopadne tak že časem
0:51:14	to dns
0:51:15	víceméně kompletně předělat recept a jo ale je potřeba o tom taky vést osvětu že
0:51:20	prostě nestačí povolit nafajluju údaje to je padesát tři nepotřebovali může bejt ec ten a
0:51:25	potom padesát tři
0:51:30	tak mám ještě nějaký dotaz
0:51:32	dalším kohy tisíc na mysli dochází čas
0:51:34	já ho že dotazy necháme
0:51:37	no v žádným a vy
0:51:39	do hospody potravin tak pevně že tady vám děkuji za pozornost

DNSSEC na vlastním serveru snadno a rychle

Sobota 5.11.2016 - D105

Ondřej Caletka (CESNET, z. s. p. o.)