dobré ráno
ne petr proč vás sem šéfredaktor se cz a zároveň jsem aktivní člen
lépe svým cz dává nějaké články zprávičky fouká s pane chytrý
a letectví cz je
estonskem zapsaný spolek prostě skupina lidí která si pro hlavně pro sebe vytváří virtuální infrastrukturu
pro virtuální tady členství je otevřený člen se může stát cokoliv a podílet se na
tomanicovi vpsku velkou pěknou nás shodě paměti a připojit se do komunity
budem si
povídat o něčem se unesete řek je transparency
protože asi víte že se šifrování rozšiřuje považujte to pro se už začíná být vlastně
neska mnou
půl před pár dny zveřejnil statistiky že v závislosti na zařízení na operačním systému se
pohybuje procento
strany načtený pohoda to pro se někde mezi šedesáti a osmdesáti procenty
to znamená že vlastně neska je normální šifrovat a s tím je spojená spousta dalších
věcí tahle přednáška a bez na co že na webu mě je tam nějaký archív
odkazy na videa je na další slajdy takže se můžete podívat jestli budete chtít nějaké
jsou tam nějaké odkazy takže se nemusíte opisovat ale prostě můžete si stáhnout tu prezentaci
začněme nějak obecně co to je certifikační autorita protože to budem potřebovat ke zbytku té
přednášky
když chcete s nikým komunikovat šifrování je potřebujete získat jeho veřejný klíč
to se osobním kontaktu dělá dobře se tady můžeme sejít s kolegou viníci ty klíče
na papírku nebo flaškou a sme si jistý že jsme si vyměnili s tím stranu
člověk se strany týče
o té doby komunity _m šifrovaný všechny pořád ovšem dyž otevřete v prchal cz
tak se za něj nemůžete za nikým přít prostě
ve za pepou a chtít po nějaké klíče takže musí místo nějaký jiný způsob vy
si totiž musíte být jistí že komunikujete se správnou protistrano opačném případě může mezi váma
a týmu server úprav autu stát někdo komu se říkáme lidem lidl a může předstírat
že ony open a vlastně to komunikaci
dostává on zašifrovanou svým klíčem
veřejným
on si dešifruje lidí a bude komunikovat za vás tím s tím serveru penaltu to
nechcete případě u penaltu
vy to nebo základ daně případně i mailů banky vyšoupnu tam dáváte kartu a dalších
služeb o už tragédie může být
takže vznikl nějaký systém autory co všechno miliony prostřední který vám vystaví
certifikát se ty cikány kteří dokument to je důležité který vám ten server při každém
kontaktu na začátku předá čili někdo občas se dočte na internetu že si chci někomu
ukrást jeho certifikát to jako není co krást _e veřejný dokument
a
a tom dokumentu je zapsána
kde je tam hlavní doménové jméno vašem co autor holt cz
a ten veřejný klíč
kromě toho je tam spousta dalších věcí já jsem o to měl samostatnou přednášku co
všechno certifikát jak to funguje to ty prázdniny důležité
ty dost to znamená ten certifikát propojuje doménu
s případě teda webovém certifikát doménu
a veřejný že to podobné jako občanka kterou vám vystavuje autorita ministerstvu vnitra se my
sme dneska
propojuje vaši fotku vašem ne o tak podobně tady certifikát propojuje váš veřejný víc vaším
domem
to je tím pádem protože ten certifikát digitálně podepsaný tak může ověřit že ho vydala
ta správná autorita že je platný a tak dále
a tím si jistý že
dostal ten správný klíč celé se to _m teďka ní
ne úplně skvěle
je to parádní věc
a že ty případy kdy to selhal
a
protože autority jsou s _e co univerzální důvěryhodné znamená každá autorita může vystavit
komukoli ten certifikát na jakékoli jméno je to podobné jako s těma občankama prostě pro
vás může falešnou občanku si na vaše méno může vystavit jakákoli teoreticky jakákoli
jakýkoli stát a ona bude platná ta občanka asi tak ten _e problém
bohužel se to stává tady jsou nějací hříšníci kterým se stalo že jim prostě nikdo
buď omylem nebo nějakou chybu nebo u nějaký útokem nebo zatim mohli třeba jistá nějaké
státní zájmy
prostě donutí vydat se to řikat třeba na velkou nebo na githubu tu chvíli ten
kdo ten certifikát se svým veřejným klíčem a
má k němu ten privátní klíč tak je schopen se za tu funguje dál
certifikační autority zhruba šedesát společností které to dělají ještě delegují různě na dnešek autority a
dohromady chase třinácet těch certifikačních autorit jako takových které mám importované co rodiče
problém je že není důležité je jak je silná ta nejlepší autorita ale když slabá
a nejhorší protože celé jedna smělého to zní se zničí celý košík
prostě malej na s těch autory bude schopná nikomu vystavit artuš
to bude nějakou chybu nebo tím útokem nebo jakkoli certifikát na neoprávněně certifikát na nějaké
jméno tak tu chvíli to celé selhává a důvěryhodnost
toho se bojí hlavně provozovatelé služeb
samozřejmě nej hlas nejhlasitěji se toho bojí ti velcí no jako google microsoftu apple
ste banky samozřejmě ty karetní společnosti
a
podobně ten systém je dobře navržený je velmi robustní funguje dobře ale stojí to na
té bezpečnosti těch autorit ho jakmile prostě jedna si autory nějak prostě selže tak máme
vážný problém všech
právě typicky ty velké firmy se bojí toho protože ve chvíli kdy windowsy udělal prostě
g velkou certifikát nemůže prostě číst veškerou poštu a
a krást po přihlašovací údaje přidávat si tam vlastní máme do těch stránek když bude
zastupovat a podobně
takže tihle ti hlavně hledají nějaké řešení
co to pekla existuje jsou různé snahy o nějakou vylepšit a z víc eště zabezpečit
je tady pár příkladů
do dockeru path linování klíče že vlastně přenesete tu
tu důvěry ne bluetooth
zvýšit _e důležitost ho samotného klíče
to je zajímavá věc je to hlavička html hlavička zlomí bude opouštět protože jako má
určitá úskalí taky mám potom samostatný článek nám to vidí jsou tam taky mluvil možná
i loni tady
o co se po lese se slouží k rychlejší nebo kecy klíče wifi zjistíte že
nebo certifikát když komouš
vám nikdy ty klíče ať si můžete něco dělá
třea záznam v doméně který
kterém jakoby deleguje tetu to právo vystavoval certifikát na nějakou konkrétní autoritu zase to má
nějaké nevýhody nesmí to validovat klient
ten se nesmí nejen má zakázáno se do té domény dívat a zjišťovat jestli je
ten certifikát dopravu vystavený to autoritou prostě je to problém
zase to není dokonalé řešení pak je tady spousta projektů které se zabývali tím že
sbírali certifikáty na webu nějakým robotem
vytvářeli si databázi aby bylo dohledat ale jaké certifikát existují a tak dále všechno to
jsou takové jako
malé krůčky ale
nic toho nefunguje úplně dobře nic slovo není stoprocentním řešením toho problému
děcka navíc romantický nějaké jako přináší to samo o sobě další problém jako takže capture
a petr stejný že vyšla nová revize smečka která se to pravila částky pole nové
přinesla takto
to je podobné prostě todle sice vyřeší kousek o problému ale další prostě ty další
pět kilo problém to přinese
takže to pořád máme to riziko to neoprávněného vydání to jako hafan hlavní problém certifikační
autority současné době
další problém je
že když už se to stane tak trvá strašně dlouho než se na to příde
prostě nikdo si toho samotnej časem všem _e jo minimální ty sbírat svírací roboti narazí
na to že tady nějaké čínské které se prostě validní statistika na rukou ale ne
ten byl by to chtělo vědět hned ideálního prostě strašně brzy aby mohl něco dělat
řešením je to celé otevři a udělat to všechno
transparentní a donutit všechny autority zveřejňovat všechny certifikáty které vydají
takže taková věc by umožnila
dělat
kontrolu toho co se vydává dělat i zpětně nějaké audity prostě hrabat se vtom je
to takový jako je dnes takové sto tak by to bylo tak jako takový ten
co se dneska probíralo názory mistr smluv prostě všechno je veřejné kdokoliv to může leda
problém
pokud někdo vydá něco neoprávněně já sám se to pak můžu hlídat může na to
reagovat spustí nějaký poplach můžu ten posun to autoritu co to jako je věci městě
že pře dvěma minutama se tady něco vydala jsem nežádal _e to prostě nekupujte a
tak dále je to prostě veřejně vědět
pak je přehled o všech certifikát jak jo čili on to nemusím se tam já
to svoje domény ale zkontrolovat
už potom všechno
a
kdokoliv židáckou
tam je z existuje menuje se takže ke transparency a vlastně oni ale přednášky
jsou to veřejné luky
pro ukládání certifikátu čili nějaká velká databáze která používáme kubešovi strom dá se to ně
přidá jakákoli změna je vidět když někdo to bude editovat něco upravovat něco mazat vyzkoušeli
mazat třeba s toho jeden certifikát testovacího na zkoušku tak samozřejmě
je vidět že tam ten certifikát chybí
_e
kdokoli do toho můžete certifikát je přidávat ale aby to nikdo ne doslova nějaký nesmysly
tak se tam přidávaj pouze certifikát jo těch uznávaných poli
další problém který to ještě řeší navíc té přímé že není možná teda to v
a certifikát je to dělala certifikační autorita mlsání protože
už dneska vlastně dobývají poslední certifikáty používající sha jedničku a oni chtěli ještě vystavit někomu
kdo je chtěl tak vlastně protože eště certifikát soustavě tak ještě rodiče uznávají aby ještě
rozběhli že oni ještě jako a teda to velice připravili ho dneska ale napsali voni
že rok a ústavní abys no co se myslí
a tady ten ta se tedy vás pane se mu sou ti brání
jsou tam nějaké funkce další někdo kdo je monitor kontrolujete logy hledá problémy ty tylovy
se tady o protimírová takže si můžete udělat i kupy
a pak je tu
auditor který cože typicky prohlížeč nebo je to součást rodiče který dokáže zkontrolovat to že
tam ten stejný certifikát je pokud chcete víc terezce šedesát dva tady je odkaz
definuje přesně chce předjet aspartic
prvního koše spustil google před
více než čtyřmi lety
pěti lety
a dědice už začal před čtyřmi lety vkládat certifikát že to je věc která všechno
běží
odporně ledna dva tisíce patnác vyžaduje chróm aby
_e certifikát je to jsou takové ty není vyšší certifikáty žádost docela vám nebo a
lůzu tak vedle adresního řádku ne zámečku máte napsáno třeba fío banka a s nebo
něco takového
tak teprve certifikát a aby se tohle objevil musí ten certifikát být se třídě transparency
zveřejněny
tak se chová chroot ledna a tisíce patnáct
my se na to před nějakou dobou někdo ptal že je divné že má _mhm
certifikát duševně a že von se neukazuje prostě přesně tahle informace tak je to protože
nebyl pravděpodobně ten certifikát účes o tom budem povídat jak to funguje uvnitř dokonce vyžaduje
aby byl aspoň ve dvou pruzích
protože se si mám tak _e byly nějaké problémy také google
přidal do kroku že i jeho certifikáty musí být zveřejněné pokud mají být důvěryhodné musí
být zveřejněn fu transparency
a ty tam důležitá informace a proč vůbec tahle přednáška vznikla teď
protože od dubna dva tisíce osumnáct tam musí nic veřejně ne všechny certifikáty aby byly
aby byly důvěryhodné
dokonce už to mělo být teď voni plán počítal začínám sedumnáct čelit tuhle chvíli už
by sme se bavili o tom že už to tak je
ale protože byla ňáká velká konference k tomu šesti _m i s těmi autoritami a
to vlastně řekli že problém že na to ještě nejsou připraveni že ty utility nejsou
dobře jako do programované špatně se to integruje do těch jejich systému a tak
tak
tak s tou půl roku posunuli
ale platí tuhle chvíli aspoň že od dubna osumnáct to bude vyžadovat
krom dneska je mi používanějších lžeš takže po vlastně budou muset řešit stejně co my
všichni a hořela oznámila že taky chce že má taky plánu ale zatím neřekla termín
ale řekla že rozhodně chce se triky transparency podporovat tak
problém je že to bude fungovat jen s případě když to budou dělat všichni to
je jasné že prostě to nemůže být doma na dobrovolné bázi musí listovat pro na
ty autority nějaký donucovací mechanismu ten auto na ty provozovatele ti certifikát o to
to je jako vy
ta ten mechanismus je zabudovaný prohlížeče dělá to ten ta část která to umí kontrolovat
ten pro víš umí zkontrolovat že certifikát ty dostáváte jevů
od zavozí kontroluje
že ho vydala na autorita že podepsaný správně že tam je dá správná plat usnadnit
své platnosti že nejsme prostě že teďka _m
není
nezačne platit budoucnu našel
že není
nebo kovaný a tak dále ale k tomu se teď nově přidá dubnu
pokud co se neposune
kontrola toho že je vystavený phil septik je transparence u
jenom takový certifikát a bude důvěry
tím se vynutí to zveřejňování certifikát
to samozřejmě je taky dotaz dotazy asi tomu dostala dotazy jestli se dá ta databáze
vyčíst celý ten certifikát zamoří ano to je ten princip já si chci hlídat že
mi na obrazovce ze nikdo nevydává podobně certifikát
to je to je ten hlavní účel
ne je tam ten certifikát sem
je tam sem
je to tak a tomunshle vyrostla
_e
klient se přímo tomu ne tátovi ne škálu malou za prvé prostě kdyby se jako
čtyři miliardy to je tu začali ta nějakou jestli je tam certifikát prostě tak bylo
prostě u tam během deseti milisekund
a navíc by unikaly informace kdybyste otevírali úkoly stran kdyby se nějakýho dozvídal dobře si
se na to dívat tak to nefunguje
to důkazní břemeno jsou tvé nazval je přenesena na té server čele na toho uživatele
toho certifikátu
a ten vám musí aktivně no muži
že ten certifikát je volný
a proto taky
ta přednášky tady protože pokud něco jako spravujete tak co vy budete muset zajímat
jak jsem říkal ten certifikát můžeme položit úplně kdokoliv a ideální houšť skládá ta certifikační
autorita vpřípadě
že ho vystavuje tak to tam rovnou stačí to je ideální stav ale není to
úplně no to ne prostě pokud
po potřeba máte starší certifikát který vám litrů platí tak můžete sem že ta to
celé zařídit sami o nepozvete k tomu nikoho dalšího
vy tam ten certifikát strčíte
a
on vám ten blok vrátí zpátky něco k čemu se říká se co to neboli
sunset připoután stavem
to by se dalo přeložit jako podepsané časové razítko certifikát o
a jaký je to nějaký příslib zařazení certifikát pojišťovací ostrovů obvykle do dvaceti čtyř hodin
že se tam objeví ale vy už dostáváte to potvrzení okamžitě že s takže ho
viděl ona prostě říká
tady máš důkaz o tom že tento konkrétní certifikát máme
viděli jsme hodinou
a
server pak musí přitom
představování na začátku klientovi to sice to doručit
to odesílání dolu probíhá doma psa motorech céčku
prostém tady na tu na tuhle adresu jako čína či
je tam
je tam toho spousta stě můžete s tím logem mluvit o mám mít o sobě
na nějaké statistiky třeba jak vypadá
jeho veřejný klíč
jaký je hash to kořene toho stromu tuto chvíli
kolik lidi certifikát mysim a patnáct milionů databázi a tak dál a tak dále
vstup je že jsou certifikace znáte nadávek klasicky ve šedesát čtyři kódování je
když si tam nacpat
se celou tu cestu
chtěl všechny ty mezilehlé certifikáty a sem vám odpoví tím se co to
takle můžete oslovit chtělo by to doporučováno abyste měli víc těch se toto a prostě
mohli co white nebyli připravení zalyžovat jako infrastruktura certifikační autorita
aby jste získali aspoň jedno to se co to aby to fungovalo takže prostě oslovit
je třeba osum nacpete tom nich nebo štyři prostě nějaká hnusná nějaká set setup
na kolem sto bajtů propust to bajtů protože se používá
moderní algoritmy kritických křivek takže ty klíče jsou velmi malé takže z žádná extrémně velká
zátěž pro ten váš se to není prostě vy posíláte
tři kilo bajtový certifikát přidat se k němu zpomalit sto osu co to
dá čili jste získali se toto
ovšem dělaj končí
custom se co to je
je tam leze standardu tolik měl existuje myčka
je tam lokální čili veřejný klíč je to holubů
to je ten bod důvěry ty veřejné klíče máte větší zase
nebo vtom software který s tím pracuje
takže podobně jako u certifikační autorita se jako je to taková autorita
které věříte zase umí to uvěří že vydala správně ten
bluetooth
posad se to
je tam
ten popis samozřejmě chcete se a
a časová značka kdy
to bylo vydám
kdy vám dostanou to potvrzení
to je vlastně všechno a ten důležité ovšem jeden podpis
není to není podepsaný jakou certifikátu tak z ale ta informace to se co to
bylo k ničemu kdybys to byl jenom podepsaný část a lokální
ale do toho podpisu vstupuje hlavně celý ten certifikát no tam nějaká struktura popsaná že
vezmete prostě tady tu cestu přidáte k tomu nějaký čas nějaké další věci a tohle
podepíše to je výsledek
a
to je to hlavní co potřebujete dostat takže s tu chvíli když tohle dostane ten
ty je
tak mám certifikát na všecky ty informace má tu časovou značku lidi postará si to
zpátky a vlastně je schopen uvěřit že ten podpis který je součástí to se co
to sedí tomu certifikát účelem a kouká s offline ověřený nemusí sou nikoho dalšího ta
že ten
ten konkrétního o k o tom certifikátu ví viděl
takže to je to co dělá ten to je
to se co to vypadá například takle to sem si vzal z nějaké _e banky
se nějak která měl zrovna je ve certifikát tak prostě takle vypadá tady vidíte do
že jsou tady dva
dvě ty razítka jo vidíte verze
no každý
timestamp
je to bylo by ten blok to viděl a ten samotný podpis
to je tu máte
takhle to vypadá
dycky čitelné
jsou přizpůsobuje tomu klientovi můžete dát
první varianta součástí o co se to s teplým o co se to před co
o něm zmínil
je způsob jakým se mu denně blokují certifikáty funguje to tak že vy vlastně nebo
klient když dostane certifikát se může optat autority jestli ten certifikát ještě plat
to je zase problém že to neškáluje takže jsem myslel něco čemu se říká o
co se postupy
a
může takže ten server třeba
engine x
se sám připojí k té autoritě
zeptá se jednou za čas jestli ten certifikát platný autorita mu zase pošle nějakej jako
o co se podporuje kdo trochu podobné tomu co se to udělalo
a ty odpovědi napsáno ano tento certifikát je stále platný a tato informace platí přišli
a je to zase podepsat
a on
vám step link je takové to přiš příští papírů kanceláře
tak
mám vlastík tedy říkal takle při cvakne malé potvrzení od autority které platí tři dny
je to takové potvrzení obezita činnosti když jedete na tábor tak k tomu při cvakne
prostě potvrzení takže u se nemusí ten klient sám doptáte autority ale dostane toho moc
_e končí platnost toho
toho co se to potvrzení tak se ten server před názvu takže to funguje to
dobře
zároveň je možné do toho dávali pořád šíření do toho co se po
takže je možné se domluvit nebo ta autorita která provozuje ten o co se ta
responder se jmenujete věc ta věc které se ptáte tak může strčit dívám vystavit certifikát
strčil do lomu získá srdce to naleje ho do o co se po responder u
a ve chvíli kdy vy získáváte třeba na tom svém ženy chcu
toho co se po odpověď tak k ní dostanete roli to se co to a
takle to strčíte tomu klientovi a on má k dispozici tohle všechno
je to trochu složité nespolehlivé protože ne všechny prožít čumí o co se to tak
jako plus úvod ono se má na a tak dále je to první varianta řekl
bych tam která se mi bude úplně moc používat ale je to možnost druhá možnost
je
přidat to jako rozšíření do tý je les
to je
pro situaci kdy si to zařizujete sám
jo
k tomu nikoho nepotřebujete
vezmete dneska to může dodatek vezmete certifikát stačí toho dolu on má dva tisíce to
v jeho uložíte do souboru to srdce to a konfiguraci třeba lapače a von ženy
jsou přidáte prostě přidávají se co to co ho to souboru a začne se to
dít hello když se baví na začátku de komunikace předává se
certifikát server tak vám rovnou strčí prostě
_e
rozšíření které se _m sání se taky timestamp je tam napsané manuálně v něm stačí
to se co to nepotřebujete k tomu nikoho dalšího
jediné co potřebujete aby to uměl jsem
ne jenom jsem prostě ten sem
malými sampled jsem se mohli to se týkají zájmem jsem
to je fajn že ta existuje právě proto že k tomu nepotřebuje nikoho dalšího že
budete mít nějakou autoritu která bude faustova nebude pršet to mám ještě tady máte dokument
na webu tady todle ty slajdu toho pána o tom mluví takle se to zařiďte
sami tak to tam můžete udělat ale nejpoužívanější bude pravděpodobně pocit dala třetí místo
a to je
že se ten
to co se to přidá hroznou
do toho certifikát
to na vás tím pádem neklade žádné nároky všechno se stane samo certifikační autorita vystavit
certifikát se čelu přidali jsem co to takle vám to dá a vy to budete
používat jak to používáte doteď
pravděpodobně to tak bude nakonec používá násilí častěji
ho to napadlo ta otázka
jak to ten ta autorita udělá a že bude mít se co to
něčemu co eště nevystavila a nebylo součástí toho co vystaví když to ještě nevystavila
že ho brejle se vezme špatně hledají
tak samozřejmě
to je logické otrapa nejsem to řekl
no to má samozřejmě řešení
takže se vytvoří něco čemu se říká prej certifikát který úplně stejný jako ten končil
koncový certifikát doporučuje se aby na to byla ještě vyřazena vyhrazena druhá autory tak podřízená
ten mě autoritě a touž jako jedno s ten řetězec prodlouží
a obsahuje jedovaté rozšíření
čili jeden byt který je ovšem
jakoby kritických nastavený má nastavený bit jako kritický
takže nemůže sednem prej certifikát použít normálně pro běžný provoz prostě ty protože tam je
ten jet
tak ten prohlížeč jste mu webu prohlížečů ten je častější použití hodný
že ta autorita vytvoří ale ten je nepoužitelný
stačí ho tě jakýsi záměr že bude jednou vytvořeno mám certifikát takového strčí
do speciální do speciální cesty
ad klíče
to je toho view
kolo to zkontroluje vydá na základě toho se co to
ale přitom vydávání
se
jak to vstupuje do toho podpisu proto se co to se zanedbá ten podpis který
pak řemen bude platným to certifikát u druhého bolí a ten je se za nebo
a
tak to vytvoří na západě to prej certifikát osa co to autorita to přidá do
toho certifikátu vypne ten jet a poli všechno znovu
a tu chvíli máte
podepsaný certifikát jehož součástí na metro šíření je se co teda to je zase podepsané
prosím autoritu
s tím že klient to holení
ten celá prohlížeč
a umí se to celé sestavy z no jo zase si umí s tam prostě
jakoby virtuální přidá ten je a
smaže podpis a zkusí si spočítat else co to a vyjde mu stejné funguje
a dotaz
jo přinese oba najednou při
pořád se provizorní přidali se a ten certifikát se vydáme
je to tak
jak to vypadá teď
tuhle chvíli chrom uznává patnáct
které provozují různé organizace ultra má čtyři sto z nějaké svoje testovací jeden má speciální
jenom dole centry další má pro jiné placen pěti letech vygeneruje strašně moc certifikátu
jsou různě velké které mají statisíce některé deseti miliony certifikátů ale předpokládá třída infrastruktura se
bude časem zaluštil
co je taky zajímavé přimotal vlastně ten strom bude pořád nekonečně růst
co s tím protože teďka by přibývá a přibývá
tak to má zaměřený řešení že ten strom nemusí mít jako nekonečný oni se můžou
kdykoli rozhodnout do něj přestat přidává a vytvoří se nový strom vedle
s tím že ten starý musí existovat stále proč není dokud je v něm platný
alespoň jeden certifikát jakmile ty certifikáty certifikát jakoby vytýkají všechny přečti padělat sem kdyby za
tři měsíce
tak se ten servis to může smazat že nikdo nepotřebuje protože mě nikdo nebude ověřovat
certifikáty které zamoření hoře můžeme s tím hromada pak si měl za sto let něco
hledat ale
nějakým výzkumem dělat ale s tohohle principu toho dokazováním že to jedno ten strom se
může zahodit a proč já jsem tomu
mobilem vizi k tomu i webové rozhraní už vám ukázal
show windows
znám windows jenom z doslechu takže von je tu používá
manželka se dá dělat vše chtěli do práci windows no neudělaj ani vypnout
a ten ajťák se bojíte na tom něco
se teda dobrý
_e normální použil ty windowsy
nefunguje klávesnice
aha jo
tak to
teď hned
takže vpravo
asi dobrej oddíl ten
čkej nějaký že
co to pomůže
jsme mladičkami hustě
tak tady vidíte vtom úlohu úhlu
že se uprchnout vystavoval nějaké certifikáty můžete se na ně podívat ten
kolik auta jsou že letenky od začátku toho tělu dál a tady vidíte že tady
ten certifikát je tady jo celé číslo je tady méno no jo vyplatí a ty
logy obsah tady jsou všechny domény s toho certifikátu
jsou na máňa livie tady žili si kliknete na cz tak to tady prostě viď
potom existuje druhá varianta co dotaz
je to tom
která jakoby funguje na příště milovy
a prohledává je a to takle tady vidíte všechny možné
certifikáty které kdy byly na doménu praotce list ale můžete si na ně kliknout
ten certifikát stojí můžete kompletně celý stáhnout
tak jak je na tom nemůže to jsou porovnat že vám senzor open half cz
dále a
dává
ten sám
pohodě informaci
ano ve cinkne to tam dává automaticky ale zatím ne jiné nepřidává nikam to se
co to
to nic samozřejmě to je seznam věcí který mike plán tak je tam prostě nějakým
způsobem určovat sice to
a s tím že asi to budou teda dávat taky do toho certifikátu ale nemají
tu infrastruktura to ještě připraven to jeden z důvodů proč se to odkládá
ale od začátku tam ty certifikáty dál
pokud tebe nějaké dalším podrobnější informace tak je existuje pěkná stránka certifikaci transparency doktork na
které je prostě jsou jako aktuální informace přesně o tom kde sou které logy
podívat se tam majetek zimě klíče
_e všechny podrobnosti které k tomu budete potřeba
funguje to push teď i když tak ještě není nasazeného povinně tak push jsou výsledky
o dalo se přestože čas
si máte klid vystavil neoprávněně
tak fikané minut google com o bylo se na ty dva tisíce certifikátu na neexistující
domény
odhad se problémy autority v osách a tak dále takže
funguje toho štětce vtom vidět prohrávají a nevěděla hlavně ty firmy
je google si povídal jsem o tom neděli nějaké nepravosti
a za moře to hlavní při do toho
kde tom vidím
to je zajímavé když se podíváte na se co to
přímo stromů co vlastně můžu ukázat
vypnu zde stůl s je oddělení se kvality a tam si najdete
podíváme se někam kde to teda jo tady je ve certifikát tady todle by tam
co mohlo být
tady jde štůs tady se k věci
příkazů stránky znova nač
jíst
a tady mají voliči na a tady vidíte se co to
jo
google kde git se jsou tam tři
i starost kliknete tak tady uvítejte detaily ty popisy
vidíte že tam jsou
víš co jsou to už divoce
tady by to mělo být taky vidět
fu rozšíření že to padne do terénu show tom certifikát asi dělají
to je první varianta je to uvidíte
no potom fofr
vzhled internals
kdysi ve hledáte dyž máte otevřené nějaké spoj nějaký server a začněte tam leda semence
tak vám to tam najde že si že máte otevře štyry tři spojení s touto
doménou takový certifikát a jsou ty
co se to
a potom
na tom webu co je to se to tam doporučuju se podíváte
pěkná věc
pak existuje služba cets potter tráva umí posílat maily případě nikdo vystaví certifikát na nějakou
vámi danou doménu
je to nejenom služba ale je to i nástroj který si můžete stáhnout změnám úkoly
s tou odkazů
do nenajdete to vede
prezentaci máte tak
ssl najít cestu to víte
a potom na chcete všechny transparency o sou lomeno i s tam jsou různé nástroje
různých knihovnách
existuje třeba takový jakoby hlavní nástroj který se linku který mít rádi komunikovat s těmi
logy a když chcete získat ten pro ten svůj server
ten to sice to tak vezmete ten pomocí něj s na to budu souboru ten
ten certifikát a on tam
stačí a na výstup vám vyhodí to se co to
ona totiž ta
ten holky když už ten certifikát známýho tam strčíte smlouvu
tak honza nebo je tím že vám zase vydáte se co to jsou můžete děkuju
je znova jako v žádném to samé
a open ssl to nějaké verze
jedna nula dva má podporu pro se to takže i s tím si můžete hrát
tvrzení neviděl článek kde který byl teda mluvím hodně
a chlapík tam popisoval jak lze se co to uvěřit ručně
jako že je to má prosím dvacet sedm
takže stahujete ty certifikáty dáváte k sobě prování tyto nějakýma filtrama
aby to bylo bejt šedesát čtyři aby to bylo zde vládla a pak sou vypadne
nějaký když ne někam strčit a tak
ale finále jako věříte že ten takže se to dá postup je pěkně vůdcem co
bude tohle destičku to nějak nekoukáte ale
ten člověk to umožňuje praktické na výzvu
slyšel jsem taky který je další věc kterou známe z doslechu tak prý má nějaký
vlastní taky monitorovací nástroj
takže docela taky ho to trápí ten problém se
editačně autory sami takže na
vlastně jaký nástroj ověření kam který vám ostatní
má to samozřejmě nějaké nevýhody
vznikla nějaká další komplikované infrastruktura autorit na autoritami
problém je že
jak se tam kolega ptal prozrazuje té nějaké interní domény to se spoustě lidí jako
ne že tam někde vystavujete
tuhle chvíli jsou spíše řešení vod že máte vlastně autoritu a nebo _e že použijete
válka certifikáty znamená když budete mít nějaké zákazníky zákazník tečka moje služba tečka c z
tak prostě může hvězdičkoví certifikáty vám to pokryje
a nemusí to vždycky stači navrhuje se několik variant nějakého redigování
jeden z návrhu je že byste tam ho požádali o zakrytí části toho jména typicky
žlutou toho
třetímu něco tečka
něco tečka c
že vlastně lobby zveřejnil zacechovanou část toho jména a vy byste klientovi poslali
nějak jako podepsanou nějaký klíč který by byl schopen někde něco dešifrovat mapování cíl nebo
vycestoval postupech ten klient si může opravdu toto reálné jméno trestané tvaru prožít řezáčova slovo
zkontrolovat si že to je ono a ták
pak je to ještě názor že byste mohli vytvořit zelený certifikát poprvé
on na základě jeho by byl vytvořen ten koncový certifikát tom mezilehlém byste zapli rozšíření
nějaký by ti kterým byste řekli další certifikát už nemusí vymlouvat stejně říct jako tu
cestou ukončení dřív
to sou zatím návrhy a eště úplně nevím jestli ty prohlížeče něco takového řidiče
google jestli něco takového bude jako ostatní
král to nedělá uplně sám o tom se tak jako
debatu je nějakých pracovní skupina a tak to je to je věnován otevřeně
jestli vůbec nějaký stě nám bude akceptovat tuhle chvíli prostě jediným rozumným řešením prostě používat
k a certifikát
jinak jako a ten problém může být že vám
prostě budou unikat dominována
to je dál
o drogách jsem říkal to bude povinné že to budou řešit vlastně certifikační autority
trochu jako správci
jsem možná
předpokládám že většina čehokoli to bude strkat do těch certifikát takže jako
nebo docela s tím nic dalšího dělá
předpokládá se že vznikl další logy postupně vznikají vidíte
že vzniknou nějaké další monitory další nástroje
takže prostě opravdu budou ňáké
další služby které vám budou hlídat vaše domény a posílám maily já
a nebo vás nějak modifikovat a tak dále je možné že někdo vymyslí na tím
ještě něco dalšího nějakou další
monitorovací službu která bude
co dáš ověřovat není je to je to úplně otevřená platforma všechny ty údaje jsou
tam vlastně veřejné kromě těch je tu dělo
takže
můžete vesele dělat na nějaké další věci
otázky
jsem se snažil pusť všechno přednášce
mikrofon máme distribuovat nebo
není potřeba jo
tak a to distribuuje mikrofón generic
já chcem sestru tam
se za
při na kocovinu co
já jsem se chtěl zeptat jak jste mluvil o těch brýlích nevyspělí
proč si prostě nevídaný ten certifikát normálně
tak jak ty
snadněji se prosinec zřetězí ty příslušné sekce teplice to z mýho pohledu řeší složitě tím
třicet čtyři táty
protože to takle protože to zavede ale to vlastně děláte tom tiles ale jako za
certifikát
jako nic nejde jen tak přilepit to musí být součástí toho tam jsou extrémní žel
se rozšíření tam certifikát kam se dá přidat zásadě cokoli ale to celé příbuznou digitálně
podepsaná se nemůžete jako někam za teďka cokoli přidat pár bajtů a doufat že to
projede k tomu klientovi
standardy jasně definovaným prostě certifikát jako certifikát to je prostě konkrétní formát
když ani chcete něco přidává nebo z něco udělat
tak to děláte umí zkoumat té struktuře ale ten certifikát je celý podepsaný takže prostě
z nemůžete si prování libovolné změny mě na předávat silně extenze proto se to dělá
takový se to a musím si přidat apod
že by se chtěl zeptat s tím netolice kryt ještě tak aby se ty certifikáty
stihli proto či tom příliš si čím cyklu ta dobrá otázka
a já ne jenom odpovědět oni mají oni mají vystavený ty nevím jestli tam je
konkrétní termín nebo není dobrý to chtěj stihnou
a jako tam je problém ani to do toho udávají nebo do těch logů ale
ne zveřejnění kde ten
ose co to takže já doufám že to tak bude že to opravdu stihnou že
přesně se proto či za tři měsíce
ty certifikáty že to stihnou to znamená budu držet do měli ideálně začít teda dělat
nějakém ale třeba push and
doufám že jo
nebudem se všichni ručně jakoby dává dotace se bude asi
že prostě dvacet milionů certifikátů ty děti vázané
tak já jestli sem to pochopil dobře tak ta implementace dřív blížící by mělo by
taková naše to bude vyšetřovat se dvě ty s c téčka to teď je proto
pro ten recept
a zaručuje se jakoby nic abych tam byl my jsme si dám ale jako nemluví
se o tom že by to bylo povinně pro ty pro ty jdeme certifikát že
by byly dvě je možné že to převezmou a ten princip nechají aspoň dvě
to je taky ne říc ale tuhle chvíli _e platí aspoň do
ale oni říkají že by to tak mělo být každém případě že by se to
mělo strkat aspoň do dvou tří několik aut
mně se jednou to když ten prohlížeč nebude nijak aktivně ověřovat sereš těch loga přímý
ten certifikát straně nebyli jen tak to znamená že dyž se dostanou dejme zlomí dva
ty logy do nějakých náhodných rukou tak
je to potom
stejně
no to je taky ten důvod proč řikaj že to máte dávat že to máte
auto tráva nový celou když se prostě může stát že
nebo bych chtěl třeba podvádět nebo prostě dělat s tím nějaké jako další věci a
podepisoval nějaké nesmysly exam řekli mi to je takle oddělené v různých organizací co vozila
mohla ještě nebo někdo takový jako ještě velký otevřeným provozovat další silově to by bylo
fajn a doufám že dostane
tak vlastně
když to stačí té prostě do několika takovýhle důvěryhodných veřejných rostou tak tím minimalizovat riziko
že nikdo z nich
zazlobí jako neviditelný takže prostě zase místa služba která budete logy porovnávat jestli nich třeba
z je to totéž
samozřejmě to se to je přímo to bereš céčku je doporučován použila němcům je
správci tech kluků budoucna ti největší provést tři sužuje popřípadě rusů může se stát že
by dceři k čemu to líto si vytvořil luk
jako dyby do určité míry si přímo kryl záda
to tak je některé ty logy provozu přímo tu certifikační autority to znamená nestane potom
se to že zase bude víceméně snaha dostat s útok do daný ho prohlížeče
tak jak je třeba teďka set většinou tudy tomu že vlastně před vytočil to je
to bude za to bych tady prudíš byla před zase nemusí bojovat nemusí bojovat a
my normální schvalovací proces stejně jako u certifikační autoritu znamená že vy si můžete založit
no
a tím se můžem se dalo nic společného ty sebe nákup na a prostě můžeme
požádat o zařazení tou mezi důvěryhodného ni a půjčím kolečkem aha jako stát se dalšímu
to není jako dá se děje překážka předpokládám eště ho budou nakonec až desítky a
budou se sám sebou měl
ta infrastruktura ještě úplně tak neexistuje by měla existuje poptávka
ne je věc ale ti miliony zařazený do toho programu je patnáct
ale předpokládat že se to za ústí že prostě bude hromada těch služeb od různých
jako společností a budou si mezi sebou ty objemy a
já jsem se chtěl zeptat ohledně těch logů oni mají nějaký veřejný klíč traktory podepisují
ten certifikát to jsou no neblbni prostě vzniká tím tam nějaký ten nadpis
a to znamená že vlastně oni mají veřejný klíč a ten veřejný klíč s importuje
tu prohlížeče přesně ták podstatě tak jak muset tři krčních autor že snědla to znamená
že teď máme
existují certifikační autority doživotně které jsou v prohlížeči a mimo to tam eště vlastně silní
ty veřejné křičí těch logovacích se vybuildí co světa
ty na patnác _e maestro zpomalit už že by z hlediska přání velikosti to není
žádný problém
máte tam je napůl kilobajtů jako čísel
ten kóty mnohem větší sou řekli to
anketa komu se to líbí nemyslela přednáška by se ten princip se ty řekne transparency
něčem komu se to fakt jako hodně
ten obraz nebo neví
li a může vědět proč jako
a ty z města že tak to se ti duplikuje to co uškrtili certifikační autority
akorát že akorát se třicet krát chcete z jeden za druhý ale jinak je tam
ten starý problém se tam je úplná a ta stromy
na ty čtyři sta mít když _e
může přidat je ten certifikát teto dvou z nich a pak jsme tam jsme byli
ne tak ale ten princip není vtom dávat si jako nějaké podpisy a prostě předávací
jaké nesmysly ten hlavní ten hlavní smysl je vtom že se to zveřejní posily nedělá
nebo aspoň většina autorit to nedělá nedělaj to povinně když se prostě letenky rozhodla že
prostě zrovna dneska mají blbej den a dnešní certifikát je to logo ne nacpou tak
to prostě nebudu
je to na dobrovolné bázi ty táhni prostě této můžou tohle nám se rozbila linka
do mobilu tak mi to tam neska spadne budem zase bude návštěvu zítřka a prostě
tam bude chybět prostě půl milionu certifikát to bylo to jako nevadí to se nic
nestane
principech tom že
ty to děláš autoritě tam všecko dávaj jak trest já jsem _e tak je k
tomu nucený
ale všichni ostatní ještě ne kromě těch ale certifikátu ale ten princip je že od
dubna by tam měl byt fakt všechno to znamená já
si pak můžu pustit toho
toho klienta u sebe na serveru kterými prostě jednou denně se mi spustí kolem projede
mi všechny doména které mám vystavené vystavený certifikát
a zkontroluje že se nic nebylo vystaveno klidně masa napíšu skripty mi porovná s těmi
skutečnými certifikát jestli
jestli sem to vystavoval já když uvidím že mi prostě pomoci letenky po někdo vystavil
certifikát na moje doménové jméno tak na to prostě přídu
o tom to je ten princip to je to proto chci
měl přehled o tom kdo si vystavujete přidat teda moje domény
úste odpověděl na otázku právě ten krom tady co jsem se chtěl zeptat že music
vlastně aktivní nějakým způsobem ověřovat soukromé si jestli to co na to ty služby udělat
to zvyklá kam se prostě přihlásíte nasypete tam seznam domem tohle měl je a nemáte
musíte mi nic
anebo je na githubu prostě ten software který si můžete nestane provozovat sám rostou tylovy
budu procházet
to je ten to je to hlavní kvůli čemu se to celé dělat
aby to bylo možný
na ty otázky jedna krátká to je teda jenom pro se rozhodli certifikát
tu chvíli je to pro u něhož nějak řešený když alternativu si někdo zastavil certifikát
na mě jak se to bude to řešit
no musím zavo autoritou a které protože tady jde to po vystavil a prostě jako
dotázat se prostě začíná jako
nejde o tom že musí ho tečkou
a je mi to usnadní tu zjistit samozřejmě jde o to že se okamžitou tak
principech tom že by se okamžitě a vždycky dozvíte o tom problém jo že prostě
to není že někdo vás upozorní hele tady byste jak jsem tady něco vás a
nesl za půl roku ze to můžete automatizovaně dozvěděl prostě teď hned
že někdo vystavil neoprávněně certifikát nějaké vaše
ale pak musí být za to autoritou a prostě nechápe certifikát o tom kině dost
výbušnin
zveřejnit to prostě tady podělit což dělají a tak dál
tak jo
děkuju za otázky užijte si zbytek dne