tak dobré odpoledne
moje mezi caletka pracujeme sdružení cest ne vše zájmové sdružení veřejných vysokých školách tady měli
je
které pro ze stejného sítě je výzkumu zajímavé není mě že toho sdružení bylo založeno
přesně v roce devatenáct devadesát šest
takže kdo slaví dvacet let své existence
a
dobudováme s tebou jak něco o tom
o dns jakou a jak ho snadno a rychle nasadit na své vlastní doméně
tak
nejdřív ještě něco málo sdružení cestné takže jsem říkal sdružení u
ne je
sdružení veřejných disk výšková dvacet šest a že nikdy spíš kola akademie věd jako členské
sítě
provozujeme národní síti a výzkumu lejzr se proces ne ta je tady vidět
tím že to žluté sou
optické trasy pozdějšího rychlostně stojí aby to za sekundu
takže připojení propojení jestli páteřní síť vlastně po celém česku ale není to zdaleka jen
signály tady nějaké pro projekty datech které se desíti přímo týká graf to systém tras
pro analýzu dat o tocích v té síti
mám ráda chtějí na je projekty takže na příkazy celulosou vlasti bezpečnost lidovců
bezpečnostní tým cestné dcera s nejstarší bezpečnostní tím včas ku
my víme vlastní bezpečnostní nástroje warn amen ptát máme vlastní forenzní laboratoř trefila se a
_e se zabývá se zabývá analýzou různýma levelů a petra čím testování na taky věcmi
no máme taky oddělení síťové jděte ty které zajišťuje na národní úrovních o takových služeb
jako je třeba nebudou to znamená lobbying
wifi v rámci akademické sféry _e jedu id cz rolling identit od ní způsobem na
vlastní certifikační autoritu
no a máme taky oblast vzdálené spolupráce téhle oblasti například nemám zásob jako zástupce software
který se ultra něco vše open source software pro
nízkolatenční viděl přenosy ve vysokém rozlišení
systému se dá pozor to řekl správně
ták a poslední oblast rosa vydáme oblast lidového počítání to dneska i trošku vidíte praxi
jak to vypadá protože je to tohle velitel dvě lodě doletem metacentrum a
cest nedej také tedy služba datových úložišť
a pokud vyvíjet čas já doufám že vidět a který budou praktickou ukázku
pro kterou sem si právě zřídil server v něčem čemu se říká mi tak to
auta je to vlastně služba metacentra která dokáže vytvořit takové
virtuální stroje pro
tak triviální pouštěli půl správné cizí slova na pro
dočasné použití které nemají by pořád ale pouze na pár hodin ní a pak následně
zrušit
se zruší tak sem si tam vytvořili virtuální server
ta které vám dneska předvádět ukázku s tím že se těma
doufejme že se během té krátké ukázky stihneme dostat ze stavů
_hm nezabezpečeno až do stavu zabezpečeno
tak teď šla s ní té vlastní přednášce když se řekne dnssec tak takové ty
základní fakta předpokládá že všichni z vás už slyšeli někdy odjede se sekundu nikdy neslyšel
že se ku
nikdo se nehlásí tak možná všichni spí
kdo někdy slyšel donese se ku
skoro všichni se hlásíte ten zbytek svých dobrý
je to enteru _e zabezpečení autenticit zpráv to znamená nepřečte to má v názvu sekty
co šrámy oko deseti lety nějak je šifrování tak o šifrování vůbec nejde jde pouze
o autenticitu znát elektronické podepisování funguje to tak že
ten kdo vlastní doménu
tak podepíše ta data
je která sou ste doma je uložena
a kdokoliv pak kdo ty data stav systému na se používá tak tě může validovat
je potřeba si uvědomit že systém donese vlastně
prostupuje celým internetem protože
já sem že podstatě úplně všechny aplikace a internetu
nějakým způsobem používají donesl snad s vyjímkou skype u
tak důležité nenese se ku je že používá úplně jiný model důvěry neřeš všechny ostatní
šifrované služby používá se tam hierarchická delegace důvěry to znamená že
stejně jako deset distribuovaný systém kde
podřízená doména _m a jak při je není odkázána z nadřazeny domény
tak stejným způsobem sedící důvěryhodnost takže
my důvěru vy důvěřujeme kořenovou zónu která je podepsána
nebyla podepsaná v roce dva tisíce deset
a
tuhletu důvěru konečnou zónu se na nás tahle ta důvěra se nám následně deleguje na
nižší pod podřízené zóny zejména tom taky je že ten deseti navržení takže jo možné
postupné nasazování takže i když některé domény třeba nejsou podepsané tak to neznamená že by
pro ně nenese úplně nefungoval
protože i proti pro ně funguje tenhle se každou noc toho koženého té koncové zóny
která podepsaná jak jsem říkal před další zóny až do okamžiku kdy se informace podepsána
informace o tom
že
dál ten strom pokračujeme podepsaný to znamená že
i doména která není podepsaná je chráněn adrese zykem před únosem ten a servery která
třeba podepsaná je
a v podstatě všechno musí podepsal na není to tak jednoduché že byste řekli že
budete předstírat že něco vraceli nějakým
ten sig obešli je tam docela sofistikované ano celá komplikované suše právě to
co
částečně brání v nasazování
to je takový motivační obrázek proč si myslím že
že by stálo za to něco s tím den se těm ještě začít dělat
vědět o se statistik cz nick sdružení správce české doméně tečka cz
a oni mají takovou hezkou statistiku která říká kolik domén
kolik procent doménu má zavedeno dnssec
no a vidíte že aktuální čísla pro chování dobu ukazují čtyřicet devět celých osum procent
jeden takový je to je takový ohromný zvuk se čtyryceti na padesát procent v nedávné
době ze který může
jeden velký jeden velký poskytovatel
který začal podepisovat do mashe zákazníků
v současné době smeaton takže nám chybí pět tisíc šest lidí domem pokud se nekoupe
podaří bude za pět tisíc českých domem tak se dostane do stavu že bude chcete
doméně víc podepsaný ještě podepsaný do _m
což šmudlu světový unikát komouš takle třetí liga se týče
percentuálně zastoupení bytelně v absolutních číslech lidé jsou nějaké domény které jsou mají hodně podepsaných
ména jsou podepsané a se mejt hodně menu celkově
takže když vás tady vidíme vás tady tak šedesa možná takže každý vám takových nějakých
na každý území takovým jako několik stovek domén televizi po dnešní přednášce podepsal tak možná
to ještě tak jako nepůjde tak snadno ale třeba tomu že se to jen
další věc která mě tak jako zahřálo u srdce je možná ste si všimli že
teďka prvního listopadu bylo spuštěno porušení prostředí elektronické dct že
a taková pěkná věc je že skutečně aspoň jeden se tomu dá se proti tomu
říct cokoliv
ale jedna věc se musí uznat že opravdu slíbili že budou mít nsa tají p
v šest
a skutečně mají dnssec a mají bere šest
takže to je to je aspoň jako to je potřeba jako palec nahoru že některé
státní orgány opravdu fungují podle současných standardu
tak je ten dev assistant jsem říkal majda lomeno musí podepsat to je to o
čem to je dnešní přednáška a pak to musí na druhé straně validovat taky jedna
z možností je to validovat je že si pořídíte kladino prohlížet vyvíjí sdružení cz mít
_e platit server idnes hledá to případně to lesa validátor případně se to menuje v
jednom
described else _e validátor
takže provede kompletní validaci ten asi klid else si dát
zkontroluje se sám to víš připojena tu správnou adresu
a
ale je to jeho platit za na nezasahuje do toho vlastního procesu tells variace prohlížeči
tady má zase třeba ukázku ten zelený klíček říká ne doména je podepsán lze se
těm
_e ten zelený _e v ní ten zámeček nebo na začnete tady tak ukazuje
ještě něco že jo sice obtisk certifikát u toho toto pro se spojení že uložený
vylez a souhlasí
cože další jakoby služba na ty byl svědkem o tom a stejně budu mluvit
další možností problém je že se výklad ale ten blani nezasahuje do toho promluví aby
nás tenhle symbol nějakých zachránit před nějakým výnosem
únosem dát nebo před nějakým
přesměrování bezpečný tak je potřeba validovat ještě před tím že je někde na cestě mezi
tím prohlížeče vaším a tím
a tím internetem
taková možnost která se nabízí je která je poměrně
snadno realizovatelná je problém je to validaci přímo ve svém domácím routeru
_e o to se pokoušelo hodně doušek jako několik projektu takových bylo
a takový který se ukázal jako že ty kteří to dotáhne si ne já si
myslím tak jsou vyneste věku se svými routery tunis
tady řeč teda to ris omnia kde
které tuhletu validaci mají k sobě je to tady dnes příčin nejčastějších problémů uživatelů když
si koupí nový routeru mění ze starý
ale
pozadí jako není to problém na nějakém svém ste vyros proběhnout stačí tomu aktuální binding
je volán vám nic nebo no dierese slovem sou tři o svobodné no se mi
které umí desek validaci
ta konfiguraci omega připravena tak je to stačí vlastně nainstalovat a tím je to tím
je to hotové protože všecko dost často máte připravené máte dvě možnosti jak to vojáci
provádět to
nastavíte rekurzivně že jim plní to znamená jeden den se server celý provádí celou rekurzivní
vlastně o kořenový server ešte koncové až tom koncovém ty tě
vtom případě
je to trochu pomalejší ale řekněme spolehlivější druhá možnost je že to berte může budete
asi přesměrovávat na nějaký nadřazený jsem vašeho
prováděla a jenom ho budete jenom nebudete není
je nebudete nějakým způsobem validovat
tohle dá že to že když váš projekt má nějaký zastaralý nelze server tak to
tím tak vám to může zkazit ten provoz a
vám tam validace selže a tím pádem se k těm datům nedostanete takže to je
to sou právě ten časté problémy s tím a tím jsou
ták
verze se k samozřejmě jako každá bezpečnostní pohodě
není vše spásný takže
není brání ty data ohod
toho místa kde jsou podepsány do místa kde sou uvažovány ale ně předtím ale je
zatím
to znamená že pokud validuje teda domácím routeru nebo nějakém vzdáleném donese serveru
a mezitím vzdáleně leze do kterýho jdete a místem nedovoluje jet informaci o věci konzumujete
může s ležet nějaký útočník tak samozřejmě proti tomu vás deset neochrání
takže to specifikace se ku
to řeší tak že prostě nařizuje že takový takzvaná musí být zabezpečen neříká přes nějakým
způsobem ale prostě
je to ne že pokud byste o té pochu pochybovat o té bezpečnostní mohli pochybovat
tak je potřeba
validovat znovu ta kritická data zvládat a třeba o nějaký ty bezpečný těch certifikát act
ls a podobně
představit a variace na vzdáleném se mu takové nejznámější ledující donese server je vůl public
byl seznámen čtyři osmičky
který samozřejmě poměry ale core vás takže jakoby vy to informace o té validaci nemusíte
uplně brát jako že pro _e závazná ale
má velikou výhodou hlavně pro ně protože tím že oni ledový tak se děje eliminují
z velké části riziko
že jí někdo vtom jejich rekurzivním resolveru otráví cache takže lidi tohle je cílový primárně
kvůli sobě až sekundárně kvůli nějaký zákazníků
takže ideálně prostě wayland je to de klidně vícekrát za sebou
to je ten nejbezpečnější stát
samozřejmě zase se k umí detekovat ale neumí opravovat nemám celej křišťálová koule součást protokol
není
takže pokud vám někdo bude soustavně kazit přenese data lze nebo na cestě tak prostě
validátor vám to detekuje budova vás chyby a vám to bude jevit jako den jalovce
viz to znamená ne vylepšení služby
protože služba která by normálně fungovala nebo fungovala prostě
najednou nefunguje protože lidé se sokolem vmanipulovaná
jak se mi to nejčastější příčinou je
nějaká stará verze rekurzivně do sebe někde po cestě
špatně nastavený firewall idnes _e se k tím že přidává popisy ten zvyšuje vydat velikosti
deset dát
takže se třeba čestní přechází na té chcete
někteří a měně ještě nepřijeli functional se pracuje ne na portu údaj devadesát šel a
jako to pět set devadesát tři
takže poté co devadesát tři boku na filech
a to pak způsobuje nefunkčnost
stejnak ty provést fragmentovaný provozem zase když velikost paketu přes _e nemanických patnácet bajtů
je začnou se dít podivné věci a celé to přestane fungovat
máme taky kapitol stále takové ty veselé stránky co každého strašně baví když se připojí
k wifi a ty taky obvykle kazí dnssec provoz
no a
pak je tejden problém že
spousta držitelů domény ten den se seka sedí aniž by to muselo uplně rozumně co
dělají opisují nějaký názor slepě a pak se něco rozbije oni vlastně neví co s
tím
a pokud někdo a se divil se jich aniž by třeba sám a litoval
pak se může stát ani lživě že vlastně s on je on
má problém na své straně a neví o něm a pro něj vypadá všechno pořádku
a problém se schvaluje na ty kteří validuje
to naštěstí ne stejnak nikdo nedodržoval je docela dost díky tomu úvodu
třicet procent uživatelů internetu je za vlády dujícími resolvery takže když
nic nezkazí tydlecty popis tak
se to pravděpodobně na to přijdete
všichni čeští mobilní operátoři naštvaní takovou máte rozbitý podpis
tak se nedostane té z mobilu to mobilních dát na tu danou stranu
a teď teda k tomu jak ten vlasech snadno a rychle dostat na vlastní sem
já jsem zrovna že přestože jsem říkal že byste mě slepě následovat kuchařku
tak vám tady ukážu takovou kočku kterou můžete slepě následovat a která co
_e
je to protože
samozřejmě to tom obraze ku probíhá nějaký vývoj
takže my přeskočíme veškerou fedory jo karel sto prakticky jak to udělat co k tomu
potřebujeme abychom mohli abychom mohli začít provozovat
máme vás předpoklady že máme vlastní kde se server
na ně máme nadefinuju nějakou zónu
používáme ten nejběžnější ten server třeba jim
ve verzi devět osum suše standardní verze která je debian vosum dispozici na normální s
table dneska a
my potřebujeme teda abychom operace tak patře vytvořit klíč
kterým to bude podepisovat
tady se používají certifikát používá jsem normálně svoje klíče
_e nemohli ty klíče nemají žádnou omezenou životnost znáte vyrobíte a dokud je sami nemění
teď tebou platy
ten a ten klíč je tím klíčem pak musí a podepisovat vždycky donese záznamy to
je podstata donese zvyku že vždycky deme se záznam jsou podepsány
pozor na to ty podpisy u životnost mají omezenou to znamená že popisy
když se oni nebude starat tady stěžují a neštěstí
dneska máme dneska máme bind že který dokáže ty podpisy obnovovat zcela automaticky takže _e
stačí a byte vám musí běžet proto aby dával tydle se data když vám bude
video tak vám bude jedno popisy takže vlastně
se o to nemusíte vůbec starat
no a když tohleto všecko válek má podepsáno opuštěnou musíme říct _e nadřazené shodně sme
podepsali což uděláme tím že tam místní ne
holky s toho našeho klíče
no a poslední boty že klíče bychom je pravidelně vyměňovat
tohle mi si trošku zjednodušíme tím že použijeme zase aktuální state of dá technologie co
jsou etické křivky
etické křivky oproti dřívější dns a dnes a mají výhodu velikou vtom
že sou výrazně bezpečnější při měl velmi krátkých klíčí takže
eliptická křivka a jestli čem o délce
_e tři sta osmdesát čtyři bitů
je zhruba stejně silná jako _e desátníka délce tři tisíce bytů
dnes jak jsem říkal je problém s velkými zpráva než tam se to hodí obzvlášť
tam je to prostě úplně skvělá věc
a _m tím pádem můžeme přeskočit všechny ty z neskákal hezká klíče co kdysi jestli
se někde četl odezev vole
to je ta věc ze které se dycky za motáte
a prostě tam bude mít jenom jeden klíč to bude _e c desátý čtyři bude
strašně silný bude silnější těžkých kořenové zóny takže
na to neosloví nějaký důvěryhodnost a
bude to klíč který bude zároveň trvanlivý že se nemusíme bát vona mít několik let
klidně
to je teda baník devět a sem uzavřel ti lidé osum tak jsem to poplet
tak se omlouvám
tak automaticky podepisuje zónu
pravidelně
a přitom _e nešálí bych původní zónou jsou takže pokud máte za nový sou return
máte třeba komentáře
klidně ho můžete mít dál
jediné co tam mají neumí sám generovat klíč takže my vlastně uděláme jenom to že
viditelné klíč
upravíme konfiguraci bajtů jednoduše přidáme pár řádků
a publikujeme kde se záznam nadřazené zóně tím dále je zbytku světa že sme podepsali
a to je podstatě všechno a šlo to uděláme tak nám _e tak máme hotovo
a
tak máme hotovou a má proč sám
ale ještě nešla ženy dělat tak je tady mám takovou poznámku o
nedostatku entropie proto generování klíč už se použije náhodná čísla na označí za se berou
zde from do
jak možná víte ty franto mě zařízení které vidět generuje
náhodná čísla mezi sebou entropií ale pouze případě že ten systém nějaká náhodná čísla má
takže a když to jde teda
no a sou jsou na špatně
eště šipka graph novou
tak takže já tady pomůžu příkaz pipu ju
který
který vám beze kolik dat proteklo danou nule vidíte že by to už tady deset
sekund mluvím a ne pro tak nám ani byte protože předtím zámku nasypal prostě rivalitu
a teďka tady ten protože to je virtuální server na virtuální seru nejsou moc život
druhý entropie tak tady máme problém
a právě vodejde bychom tady dali ukázku toho podepisování tak by se nám to tak
bych se nám to celé zasekává no právě na tom že by se blokujícím čtení
četl řízení
je from doma čekalo by se a
dostaneme dostatek entropie naštěstí muslimský ty
velmi snadný
takže bychom aniž bychom věděli to celé funguje taky jste nás lety jsem _e a
vidět
stačil takovej instalovat
a on se postará o to že začne plnit ty zdroj entropie nějaký vnitřní strany
procesoru
takže ty když to pustíme tak vidíte že nám tam stavil nějakých sedum jedna paní
jedna celá osum megabajtů za vteřinu
entropie cože
nebo náhodných čísel přesnějšího takže vidíte že
tím že si povolil toho aby na to nezamrzlo
druhá možnost row můžete použít je že místo kde fragmentů že tedy fůra do
takže takový ten pseudonáhodný generátor typu zesílený signál mi čísel ale to se všude píše
to není doporučované protože
neměli jste push a pseudonáhodná čísla pro generování nějaký ty teda ty záležitosti není to
bezpečné takže stínu může přijít na to čísle ten
před drahně na to si dovolila
vytvořit si stejná na čísla tím pádem se vytvořit váš privátní
tak výchozí stav který sem tady se voltera připravit já to mám totiž hodně nepřipravené
to přednášku a že to bylo to o to zajímavější
je ten že jsem tady nejistého paní na debian osmičku
a tom pajdu sem založil soubor
tady ukážu pak
úplná a kat cz a pak sem ještě udělat je nezbytné věci že se televizor
nový soubor
dal do dal do
takže to je jak jistě
štěstí pozadí tak ten třeba otevřu
blíže
takže jsem ho dal donese takže to ještě tak úplně a
a zcela cz tak sem tady tak asi ukradl vo konference takže tady jde nějakou
stránku druhé snadno tak jo centilitr abyste je že to
vůle ale rozhodně nejdete zámeček je přeškrtnutý
je to nezabezpečil donese se k _e
můžeme se podívat budu trošku předbíhat nástrojem který se vejde nesouvisí
na a katce se
nástroj na zemi s krásně dokáže vizualizovat stany ti lidé se ti dát takže tady
vidíte co je typy jsou barvu nebezpečnej a se černou barvou je nebezpečné co je
červenou barvou tak _e
taky rozbité
takže tady vidíte koženou z o která jsem škole podepsaná té důvěřujeme bezmezně to máme
prostě zakódován vesele ve zdrojovém kódu
se je delegovaná důvěra na cz doménu
cz doména následně deleguje dům důvěru na doménu a katce ze
no a kate cz doména tady má _e se k tři to je právě to
o čem sem mluvil to je podepsaný důkaz o tom diatomit podepsané nemá takže vidíte
že tady nám ta šipka přestal bych vypisovač ale být června
a tady máme delegovaný první delegována tu na to doménovou praha a k a cz
takhle to vypadá typicky akorát že teda úroveň když máte je podepsanou je podepsanou doménu
práci této plno méně po plné podepsaná po mně to ne podepsané
takle pásem zeleně konfigurace prostě ten soubor takle to je toho jeho obsah toho souboru
je vidíte že celkem prázdný
a
tohle je konfigurace bajtů
tak
tak musíme udělat to že vygenerujeme viděl mi klíče
takže založíme se adresáře etc panictví
vlezeme do něj a začne vyrábět klíče
ty to bude trénink paměti protože a to je jiná připravené takže
že to bude lepší
letecky
co je teďka znáte vás teďka ke to co šikovná věc
se sek
ti tě
mínus a algoritmus té se s
mám
dvě stě padesát šest neznám stě padesát šest
ano
to je dvě stě padesát šest nestandardní název té křivky o tu jistotu že nějaká
americká americký úřad
_e za dvěstě padesát šest je ty vyučovací funkce která se používá von popisování
mínus tak tam a hrome
mínus máte patent na open a
a celá
vypadnou nám klíšť nemáme jeho název
se podíváme na k nám tady vznikly dva soubory
když se podíváme takle tak vidíme že jsou příště to ne pro auta tenhlecté dětem
privátní klíč řešitelný pouze pro auta
a modrej klidně můžu ukázat protože to je úplně
normálně byste tohle na to je pro něj koukat ale tohle to tajemství které nikoho
nemá teďka
vidíte že tam jsou kromě toho vlastního píšeš nějaká časovací meta data které nemají používá
k tomovi věděl
věděl co má když má ten klíč nasadit jo má při se používá pokud ne
neplní ty nijak
tak se prostě fakt chováním okamžiku listo vygenerované oblasti ten klíč
aktivuje a začne se pouští what
tak a teď ještě musíme udělat tu věc ten bájný běží pod router neběží plotňák
tím že ve méně privilegovaným uživatelem takže my potřebujeme mu _e přidat právo leštění do
privátního klíče
co děláme tím příkazem changed mode
je plus
že to bylo pět plus
to je jednička tady zase
jo
a teďka
důležitá věc tar možná ste si všimli že to teďka se měl ten
tohle doporučované chování debianu že vlastně
li
li zónový soubory to není ručně nebo madridu místní pět let sobi
spolu s tebou konfigurací a vy máte mít cestu za vodou absolutně
proti tomu máte konfigurační soubory generovaný automaticky
tak tam tu cestou dávat nemáte a máte ten soubor dále dovolenou protože automatický dělané
soubory patří letec
pak když začnete nějakým způsobem sledovat jejich je to co tak určitě nechcete aby vám
tam to je to c prostě překážel nějaké soubory které
tam nechcete a ta správná cesta kandel ty soubory patří
je války už balím tyto šeptat že ta cesta pro ten
provozní adresář takže vlezeme do warp je špatný
ta
a tady
na linku jedné ten soubor se docela bavit
open a
proč děláme
děláme to protože vedle toho souboru který teďka spravujeme ručně a pořád budeme takové máte
mají vytvoří další tři soubory právě s těmi dresy podpisy a my chcem aby ty
soubory to možnost toho adresáře etc bájný je u všeho protože tam je mávají zapisovací
právo takže bychom
to se řešili problém správy
tohle si neudělal já jsem to udělal jinak nešlo tady napsáno ale mysim to bude
taky fungovat
tak a teďka uděláme jenom drobnou úpravu konfiguraci takže
teď se to bude trénink paměti
my
já jsem špatně etc tam
co jeden film kontakty
tady vidíte to co se tam děje takže některých té tom provozním adresář dekády na
pak vymažu cestu
teď se vlastně ještě neudělal žádnou změnu pro tam ten simlink
a ty tady přidáme ty řádky
i na nic není tě s autorem ssl malý ty
a poslední nejdůležitější musíme žít je ten adresář s klíči etc bavit
ty
je vektory
otec
jo from neznáte ctrl jste to je
dokáže poradit
snad se to nějak nepoklesne tak já žádné překlepy
_e
ještě než to nehodu tak vám ukážu ty persóna podepsaná není tomto už ten styk
ovšem musím loterijní takže tady v evropě určitě vám
zeptáme se příkazem dick přímo na server
o a
open a
a celá
se ze
a zeptáme se zeptáme se na tu samou doménu
a celá c z a zeptáme se dále tam plus donese se
jako že chceme dnssec data
tak když sme dostali odpověď ale žádná dnssec data sme nedostali
tak
tak uděláme teď dále to kouzlo
že tady dáme hrnce
renault
a podíváme se do logu
nezdají červené té vesnice špatná známka ale to jeho chyba nějakého varování
důležité se nám tady napsalo
z do sání
tady konfigura jízdou pí
nechtějí _e ven
pátého novém rok dva tisíce šestnáct dvacet devět což mi řek že právě teďka bylo
je to je za hodinu za hodinu ano
bylo to ano to každou hodinu kontroluje ten adresář s klíči a sleduje jestli nám
tam je nějaký klíč
který by se třeba mohl vyměnit nebo tak něco
tak proudu nám teda vznikly jak jsem o tom mluvil tom pracovním adresáře můžu se
tam podívat
v a
se trefím na pevná to vám
to je
páni
tak na nevznikly ty soubory svůj kterým se vám dělá jeden simlink to sou soubory
open a katce z tečka j bejt jak že je velká to je
tady žurnál který sleduje vlastně změny tom našem souboru
ten náš souboj původní se nijak nezměnil té ten jenom pro čtení talentem a jízdy
nemůže
knihoven nesedlo rozhovor ty dneška science té podepsaný té kopie toho našeho soubor doplněná všimněte
si ty si a ještě tady žurnál který se veze změníte podepsané verzi když teďka
uděláme tu změnu že se zeptáme znovu tím je úplně stejný dotaz tak u se
nás tady vysypou
další data návštěvy lavinový typ záznam
_e si to že právě ressource golf imidže takže tady vidíte nějaký podpis ten úkolem
vidíte časová razítka konce platnosti podpisu
a začátku platnosti podpisu
takže znát jako květina na tedy zase čtyři je před hodinou byste budoval je to
vůbec _e je to znát máme patnáct třicet jedna bez router bude celé čtrnáct dvacet
jedna podle tři na dvacet jedna to tak odpovídá protože vždycky se ten čas začátku
platnosti dával hodinu dopředu
u nějakým problémům ze mysim vlastní hodí na
konec platnosti nestandardní nastavení dušu na měsíc tedy vadí dyž znamená klopě
jde že pátého prosince přestanou platit
tohle byla vlastně do toho popisu
no a pak se tam ještě samozřejmě můžeme zeptat na ten záznam typu byl nesedí
což je ten slídič vlastní který se to ověřuje
a ten je tady
a pokud není měli diversity o trestá jak víte že to je takový štěňátko víte
který znám to vyšlo na jeden řádek na kousek takže vidíte že opravdu ty věci
desátý časů
maličké
toho je trochu problém to je otázka jestli ukážu ten policejní zdrojový soubor
můžeme to zkusit to nebude úplně triviální protože já sem tady ta svá zamlčel takovou
věc že ten nový soubor pokud si ho zapisuje a ně znám paní tak proč
by si jo generovat tom tech stavem lidských že tam _e formátovací jo generuje
ve formátu pro ně přístupem
takže takovýhle binárních bordel pokud by se opravdu chtěli přečíst
tady na tento je ta která se jmény
komp a je zone
která ho umí načíst a umí kdo umí lovit vyplesknout té normální to době ale
je potřeba tam přidat nějaké přepínače které si z hlavy nepomatuju
takže má podepsáno podstatě ano to může veskrze podívat na ten servis
tak asi rámec ale závaznou
deset dá aby null
a
vidíme že to jako ještě uplně nebo jo
je co nám to mouchy
a nic nedávali pozor tak už víte co následuje chybě
zde se podepsali ale ono to myší no nevím
ano takže co vás teďka čeká a teďka když bude vypadat velmi podobně jako to
vypadalo předtím
ona tady bude která řazeného zóně
tady bude pořád an sich tři a tady je pořád černá šipka je něco změnilo
vidíte že tady už je nějaký dvě nesedí zaznamená vidíte že tady je ňáký podpis
který nátury by se ta data té zóny takže něco se tam přeci a změnilo
ale bohužel o tohodle odpad tohoto podpisů nevede tyrkysová šipka k tomuhle popisu takže je
to plovoucí ve vzduchu deseti nastavení ták že pokud nadřazená za na tvrdí že není
podepsáno
tak vůbec nezáleží na tom jestli je podepsáno není podepsáno je dobře podepsáno špatně podepsáno
všechno se to chová úplně stejně
takže my teďka deme na tu na tu druhou část
a sice
musíme to o tom dát vědět jak se to jak se to jak se to
dělá
je to
je to poměrně snadné jsme to ještě bych chtěl říct že je jsem s přítelkyní
slajdy že vlastně kdykoli to bude měnit tenzorový soubor bude mít daleko doposud prostě vylezeme
tam a dáme roce opravíme něco dám rd celou
všechno se stane automaticky samou že to vlastně podstatně převést
ale dalo poslední deset minut tak cool to nebudu pokoušet
je
de podpis automaticky obnovují nemusíte se o to bavíš používají bude to fungovat a jak
tomu najdete na zelené zóně ve sobě přímo výstupy té se liší podle toho jaká
je to leze názor na lidi že to zóna cz a nebo zóna _e ú
tak ty mají takový speciální přístup že ty chtějí po vás tejden
předně měření klíč
a ulici z něj sami vytvoříte lodi stará kdy už tady máte podstatě hotovo protože
ten veřejný klíč se nám vyrostl tom adresáři
takže by šlo tady hromada kecat empty s a
tam kde je ten tečka týhle ten private ten private nikomu ní ně dávejte
ale podstatě tohleto
tohle to co je přesně vidíte tak nějakým způsobem předáte
registru
prostředí z vašeho registrátor a ten dalo dobré mít role taková okýnka na tyhle ty
jednotlivé políčka bych tam to vás na něco co je dvě stě padesát sedum
ne něco co je třináct a pak sázíme ptát
ne takovým velkým bochníky na to je to bejt šedesát čtyři řetězec
tady do tohoto vyplníte
a máte nešel ostatní nadřazené zóny chtějí přímo ten záznam teda neobtiskne za zlé podstatě
lžeš tohodletoho klíče použijeme na domény
a
to znamená že tvá že musí vyrobit je nadpis
na to zajímá zatáček by se to já u té doby nesedí ten strom tý
takže dáme
donese se
dbs fronty
teď dáme
no slova tečku
a vypadnou nám dokonce dva otisky
jeden tady má jedničku
_e používá funkci je za a jedna dvojitej má dvojku ten růža funkci _e závisti
padesát šest
pokud ten klíč _e c de se na
to všichni co umí je c de se na takový je závisti padesát šest takže
nedává smysl dává ten první šťouráte oba neuděláte chybu
ale samozřejmě s pyšnější na tom ten druhý
tak a teďka tady bude takové mu ta jim to je takové kouzlo žádnou tak
pro zkop dosladili to litru který je vidíte
mrzuté nadřazené domény
vloží to normálně dozorového souboru
a vyvolá a chci dát na jejímž konci měl být podepsán to víte lépe zvolit
a jestli se to všecko povedlo
tak teďka
se začnou dít věci
tady dáme aby nám
takže bude mít štěstí
tam
ta černá šipka se sníst nájezdy ty slova
to šlo nějak rychle podezřelé
a skoro bych řek že to tak tě je to tam
magore sám bylo to troll patnáct minut dvacet minut
šlo to rychle
jak to zkontrolovat tak veselej
u sebe ukazoval vidíte vpravo jako ukázku které trošku veselejší
takhle to vypadá když se vám povede není klíčení viz ani vy ste ne lidi
té praze zóně madam červenou šipku a tu chvíli vám volají zákazníci že vaše doména
není viditelná takže to je stav který nechcete vidět nikdy
eště existuje taky nástrojů sou nástroj který se provede nějaké kontroly a řekne vám to
je s tou doménou špatně můžete si to vyzkoušet jako
o mají kontrolu no a
to je vpodstatě to je podstatě takový tým podstatě máte hotovo
dnssec je zavedený
třem moc rád že
napsal jsem ten postup kromě toho že se mu takle přednášel
u šedinou
tak se napsali článek na louce z a
moc mě potěšilo že na základě toho článku se třeba konečně podepsala doména českého vysokého
učení technického praze
takže čvut cz jede přesně na tom o tom přesně jako systému
protože tam co to odkládal odměnu až na to bude čas až citlivá studuj a
pak se ukázalo že jste to
se dá zvládnout za pár desítek minut
ještě abych řekl ta informace úplná jak jsem řekl ten klíč
recese a je dostatečně silní
na to aby vám to moh vydržet poměrně dlouho
ostatně kořenová zonální byla podepsána tvrdíte deset klíčem
typu ls a o délce
o délce dva tisíce čtyři osum bitů
a ten klíč je tam provozu dodnes a bude vyměněn
v listopadu příštího roku to znamená že trošku že sou je
mají stanovila každý pět let a nepovedlo se to uplně včas
ale vidíte že jako by ty klíče jsou poměrně silné poměrně bezpečné a tady klíče
ještě o něco silnější takže pokud někdo nedej nějakou zásadní zranitelnost tomletom tónu konkrétnější autoritu
recese a penny stě padesát šest nebo vtom jste šanci funkci za dvěstě padesát šest
tak
vydrží hodně dlouho
nicméně kdybys to pro mě touhu ten klíčení tak samozřejmě tobě
uděláte to takže viděli ten nový klíč _e
a ten nový klíč zase za deště a jsem velice slajd
je nový týce použili podepisování vstupuje se ta shoda políbíš oběma klíči
vy počkáte ňákou rozumnou dobu aby se aby se všechny tě šéf internetu zahodili a
něj sledujete no vidíš znají všichni pak provede normálně hostinci je změnu v té nadřazené
zóně že stejné delegace uděláte
domů delegaci
co se počkáte až se ta bezpečná delegace kde se záznam pro z pro její
celém internetu
je to vždycky akci kterou lze naplánovat na celý týden nadělávat dávat jednotlivé dny mezi
jej každou mezi každým krokem abyste mě jistotu protože
jsou donese servery nebo přes to metoda se mi s životností třeba jeden den keši
no a pak můžete ten starý klíč pak už dnes tady klíč odstranit co
což tady mám na dalším slajdu
_e to znamená že to uděláte pozor to nemrštil jako nikdy serine dataset ne odstranit
tak je
nikdy vás nenapadlo že zprávy host postup odstranění je že smažete nějaký soubor přivádím klíče
protože to víte co víte jo ještě budete potřebovat
a
je to nevratná zájem to že otevření znovu neviděl industry takže tohle že
radši když přesouvají který nám ale hlavně správný postup je nemá stát ale jenom nastavovat
příznak že už se nemá používat
na té lodi letadle se sekce ta _e kde vlastně vy řeknete
vy řeknete pustit a neznamená
zraněného teďka ten klíč přestaň používat
a zajede není za jeden týden ale teďka
ten klíč
přestaň úplně vymaž
jo a tím pádem přestat používat zadá ten klíč tam stát publikovaný a upřeně používá
k vytváření nových podpisů popisy které tam jsou tak zrychlení duší a nepraštilo kteří touží
tak se vlastně tak se vlastně
letenky jsem nepotřebuje možného vymazat
takže to není způsobem vlastně pozvolna ten starý kdy jsou zbavíte není potřeba to dělat
narychlo co bude za předpokladu že ten byt nebyl kompromitoval pokud kompromitován tak je potřeba
rychle
všechny podpisy nahradit novými ale stejně dobrého nemá zaběhne nechat ho tam pro případ že
někde drží nějaké city fi
a vymazal to proč jste si jistý že takový problém
není
tak chtěl jsem se dostal vlastně k závěru rusové přednášky koukám že jsem na tom
docela dobře s časem takže volný prostor pro nějaké dotazy
jak jsem říkal podepisování vtom webovém validuje je velmi jednoduché
tak minimální pokud máte svoje procesy založené na tom že máte že máte bajtů zónové
soubory
případně máte nějak mají napojení nějaký vejkend podstatě denně musí vízovou jsou to být cokoli
tak stačí
tak stačí je vlastně přidat těhle pár řádků do konfigurace věnovat jeden klíč a máte
donese se podepsán
důležité možná vás mohlo zajímat ve výchozím stavu se používá
takzvaný hledisek
s tím že moct přepnout nájemci tři schválně tak kdo z vás tušit se integrace
mezi tři
je tady někdo takový jeden dva tři tak _e s tím trošku rozebrat protože máme
ten na ten čas pepa vy ste hustej mikrofonem ale
teďka jestli dotazy dybyste nějaký zajímavý že ta stejně mě teda ještě večer tohle ale
mě to je možná zajímalo by vás nosit
ne se kromě toho že to podepisuje data která nenese sou tak podepisuje i data
která se nejsou to zadání se ptáte na neexistující já znám tak musí dostat podepsal
kolik o tom že ta do zlomil existuje
a aby to bylo volné proti nějakým reply útoku tak není možné mít jakoby bianco
podepsané univerzální odpověď váš dotaz neexistuje ale ještě být nějakým způsobem konkretizovaná odpověď na ten
daný dotaz
no a to se dělá tak že se ty existenci já tady zřetězí a vidíš
se ptáte třeba na
třeba na
doménu která je já nevím doméno je slovo které je třeba banán
a slovo banán existuje tak celá zpátky obě vrátil odpověď která říká
že
_e
mám sice neexistuje mám tady o a nejdřív a na nás a pak až citron
to znamená bud existuje a nahrazení ten citrón a tím vlastně vás yum prokazuje že
neexistuje nic mezi já jsem a citronem takže to musí být takže banány může existovat
nic vy si ověříte kila odpověď byla směšně relevantní tomu vašemu dotazu
samozřejmě také deset let máte vidíte že to mám takový drobný problém že má to
vlastně prozradí které trénuje zóny která by měla existují té zóně
na
to může a nemusí mít problém čím dál tím více ukazuje to spíš není problém
je že problém protože
to se má nějaké bezpečnostní konsekvence jako že když víte která uděláme dál existují tak
můžete efektivně tak a zahazovat nesmyslné dotazy trvám chodí si terezou šel něco poškodit vás
takže ne nemůžeme jestli špatně nicméně
jistá skupina lidí došla k tomu že
pokud on je voják nedošlo smysluplně je tak drzej mně nesedí proto byl asistenci tři
hrnce třídě pokročilý systém který do toho nepřidává jednosměrné ještě
tak aby vlastně nebylo možné stě jmen zifč odpovědí
získáte vytvoří ten seznam těch doménových ne a pořád je možné z několik i do
vezme tam je a pořád je možné použít
hrubou sílu a nějaký slovníkovým tok
_e
přechod nájemci tři pokud se rozhodnete že váže bože to chcete
tak je celkem jednoduchý prostě vy zadáte takovýhle parametr ten mami škole trasu ujedu s
tím že tahle ta čísla jsou daná s tím můžete hýbat
tohle to číslo je takzvaná sůl protože ty že jsou ještě sole ne
aby se ho nepoužil nějaké rýmu tabulky takže tam si myslíte nějaké libovolné číslo které
se vám líbí asi není dobré dát kafe není dobré nadávat face není liberál tam
dingových ale libovolné více číslo které se vám líbí sem dáte já teprve video jiné
no a
taková věc na závěr
pokud potřebuje vaši doména vůbec dnssec no kromě toho že bys takže bych byl rád
aby potřeboval kvůli toho byste
dosáhnout zádi padesáti procent
také
pokud nejnižší máte nejlépe bezpochyby
já jsem o tom mysim je novýho tady a prostě pokud
máte doménu na kteří máte maily a nemáte není že se tak vlastně ten odesílatel
nemá jako uvěřit že posílat maily vám protože tam dochází k tomu
jo odkazu pomocí mx záznamu a pokud je mi záznamy jsou podepsané tak vlastně tak
vlastně ta pošta
může být
udušením celkem snadno přesměrování
tak to je ode mě u všech látek tedy prostoru nezbývá _e čase
naro zase máme asi čtyři minuty
jestli ovšem nějaký dotaz je jeho druhá přes ten
path věčná
dobré
ale může dělat za mě tričko je to jestli je to řešil
která se tom
já bych si to tak jestli budu hodně pěkný dotaz
jestli sis tom nějaký vývoj nebo co se připravuje dnssec újmu dalšího protože ten princip
tři a co vím taková nebo po porážce dosáh
to jsou takové poslední věci které se tam udály ale to už se několik let
jestli se jakoby
připravují co zajímavého či bys věděl nějaké nové věci
tak připravuje se budoucnu jednak taková zásadní provozní něco to že poprvé v historii dojde
k tomu té zní to kořenového klíče a ten kódový klíč má to zásadní věc
že ten jako domovní každém tom validátoru napevno
nice way a pevno
trvá jádro by si měl sám připravený nový ale nemusí to uplně dopadnou takže příští
rok v listopadu bude kritický den kdy se vyhněte stali když přestane bohužel že se
vožrat nový
a mělo by se to nějak jako samo přejít
ale samozřejmě
samozřejmě že vede nějakou pozornost totální nulu takže tohle to je potřeba sledovat určitě to
bude urči to bude těch médiích jako jenom cz zmiňovaný pak se týče tak se
rozhodněte se to řeší další algoritmy protože to jsou tam stihli věcí těmi kilo tyhlety
nist křivky k o kterých se
někdo tvrdí že nemusí mít úplně bezpečně proč jsou nějaké magické konstanty které nikdo neví
že se vzali
takže tam se tam se používá na tam se používá to že se tak tyhlety
nestandardizují další křivky jako ty dva pět jednali je totéž ale já
jak která se taky může později používat dvacet týče třeba jen se chci taky eště
vyvinutý jaký ten sekty je který máj byla ty problémy to jen se štěstím hašování
a má směšně umožnit
udělat to aby opravdu nebylo možné prozradit
prozradit do sezóny ale zase za úsilí které možná úplně nestojí takže tvá experimentálním je
ztechnizovati nesměl se tak
kreslit pohybuje
tak tady můžu olejovou to s konektoru tak matně tušil odpověď jako je na tom
je stanovena z toho zle nesekl špatně
ale nejsou sami
hezké ramena to špatně a tak se časem sta mluví nějak jestli takže to za
nějaký podivný pila článek je podepsaný na lup je
kde se psalo o tom islandu mít nějaké podivné věci jako je se změní registrační
systém a tak
tak se třeba blýská na lepší časy budeme tomu věřit no
myslím že maďarská doména to není moc líto
ještě tam je to za dva pak no
já bych se chtěl zeptat když tě u sebe na noťase se musí kolidovat je
nositel znám jaké jsou možnosti
je děsně
se povoluje takže ta jednoduchá je nainstalujete a mám nebo byte a v zásadě mu
to máte a hotovo a od boše sierra jsou von proti lokál vstup problém je
že ti neopozdit sám to rozbije na nějaký veřejnýho sportech a podobně
se vám to rozbije
takže
existuje projekty jsem jeden ssl položka trigger
a ten dělá to že dokáže detekovat případné problémy s tou sítí a upozornit vlády
na síti rozbitá že musí jedno jesli vojáci a udělal to za vás takže ještě
byste jakoby nástavba a mám která se menuje donese se který byly
a je to experimentální ale je snažíme přesně tohle abyste mohli na notebooku přímo validaci
a aby fungovala i za předpokladu že setřídí která já všimli na formulovaná má to
několik jakoby náhradních řešení když chtěl ta věci je pro děcka
se chtěl zeptat jestli na začátku
ty sobotu že vy s pořád používám budete místo
přeci pekař by bylo vhodnější pro ty velké
no ne já jsem měl jsem říkal že někteří správci jako by si myslí že
pustil syna jestli to znova nějaké nevýhody samozřejmě že master je dva tisíce nás koho
dobře nevýhody se týče výkonu
prostě to co dneska se valí třeba nekořenové sleduje přišlo nějaké statisíce až miliony dotazu
sekundu tak prostě to by spousta těch _e sem byl prostě v rámci tý si
být tím že ke každému spojení vidět držela stát
takže prostě ne nezvládla nehledě na to že samozřejmě tam tady delší latence pro že
tam je ten šek
jo takže pro má data je lepší používat to bude p
byť teda se ukazuje že nakonec možná o tom už nakonec nedopadne protože s tou
lépe máte problém s těmi útoky s těmi obrazy a podobnými věcmi
takže možná to nakonec dopadne tak že časem
to dns
víceméně kompletně předělat recept a jo ale je potřeba o tom taky vést osvětu že
prostě nestačí povolit nafajluju údaje to je padesát tři nepotřebovali může bejt ec ten a
potom padesát tři
tak mám ještě nějaký dotaz
dalším kohy tisíc na mysli dochází čas
já ho že dotazy necháme
no v žádným a vy
do hospody potravin tak pevně že tady vám děkuji za pozornost