Přepis řeči - Snadné nasazení DNSSEC s Knot DNS

0:00:15	tak já vás vítám na přednášce snadné nasazení den všechno D
0:00:21	menu se tam včerá k pracuju laboratořích to jako právě na vývoji D nesrovnatelné
0:00:29	a poslední vlastně dobu veškeré své úsilí nějak soustředilo na ten D nese
0:00:35	to co se to se stane neska dozvíte tak
0:00:38	předpokládám že všichni máte nějaký znalostí o fungování D dneska a přesto bych na začátek
0:00:45	rychlosti se snažil nějak rychle shrnout
0:00:49	a jako by věcí které je nutné které jsou nutné pro pochopení dovedeme se kolo
0:00:54	pak bych rád řekl
0:00:56	předveden nesek pro často se zajímá
0:00:59	ukázal bych asi prakticky na nějaký skutečných datech jak se můžete vyzkoušet jak vypadají ty
0:01:07	záznamy s tam nesystémovou de nebo ty záznamy které zavádí de nesek
0:01:13	třeba té kořenové zóně české země a podobně
0:01:17	pak bych chtěl nějak shrnout jakéhosi výhody ten den asi přináší a co naopak to
0:01:23	přináší za komplikace
0:01:25	a nakonec bych ukázal nějaké přístupy té vlastně se používají při konfiguraci těch server v
0:01:31	dnešní době
0:01:33	a pak která úplně jako třešničko nad tou ukážu ukázku to projdeme si na čtyři
0:01:41	jako sestra na slide nesek desek tam zkusím nastínit vlastně kam se to chceme znát
0:01:47	budeme snažit budoucnosti
0:01:49	směrovat
0:01:51	a tak ten seznam DNS jako takový
0:01:54	jako všichni znáte do mining systém
0:01:58	je velmi starý a ta první R céčko kterém jak popisuje vyšlo v listopadu devatenáct
0:02:03	osumdesát sedum
0:02:05	a
0:02:06	vlastně
0:02:07	který by se ještě na tu bezpečnost novej tolik nemyslelo
0:02:12	je to
0:02:13	identická distribuovaná
0:02:16	databáze lepší asi říkat že to je systém ale na sto
0:02:22	dá se to přirovnat databázi
0:02:24	a
0:02:26	té hierarchie vlastně s nějaká doménová jména která tvoří ten doménový strom
0:02:31	a každý jako by každý ten uzel
0:02:35	toho vyleze kořen doménu jménem nějakým typem záznamu a pak nějakými daty která jsou jako
0:02:40	by s tím záznamem spojena
0:02:43	no a celý ten systém je tvořen hlavně autoritativní nesedali které se vlastně jako by
0:02:48	od shora dolů který hierarchy
0:02:50	předávají to autoritu
0:02:54	dobrý že jako by ten systém je pořád přestože tak starý taky klíčový protože ať
0:03:00	vlastně začínáte jakoukoliv komunikace na tomto ne tak devadesáti pěti procentech případu
0:03:06	dycky ten první dotaz měřena ten M S M
0:03:10	a tady nějak jako my naznačená kerejch já si vypadá ta tečka tady nahoře
0:03:15	dělám ještě to ukážu tady
0:03:18	tak ta představuje nějakou kořenovou zónu
0:03:21	pak deleguje jakoby části toho stromu na jiné autoritativní servery tady může být pro každou
0:03:27	tlumenou doménový tak třeba pro českou doménovou se stará C Z nech takže ste kořenové
0:03:34	zóny jako neudělá delegace
0:03:36	nasedej C Z jako
0:03:38	pro právě ten apex tečka C Z
0:03:41	a stejně tak to může být na úrovni organizací třeba ve u téčko má vlastní
0:03:45	nenese a autoritativní a stejně tak ta každá fakulta může mít vlastní
0:03:52	vlastně ten server
0:03:55	ať proč teda pošlete nenese
0:03:59	kde nesek jako takový zase průměrech céčka a široké dva tisíce pět
0:04:04	a hlavní ten důvod je ochrana proti D ne skupinku
0:04:10	ukážu za chvíli na obrázku ale znamená vpodstatě to že zajišťuje
0:04:16	autentizaci těch dat které s toho D neseru získáváme a zajišťuje jich integritu nemáte nic
0:04:22	společnýho
0:04:25	nějakou
0:04:27	tam řika config jeden člověk
0:04:31	jako šifrování že prostě ten provoz je pořád vidět ale já jako užil uživatel nebo
0:04:37	jako by mám jistotu že ty data která získávám s toho D neseru mi nikdo
0:04:41	nepo nula že opravdu patří do tý zóny
0:04:46	funguje to na principu asymetrické kryptografie
0:04:49	tady kryptografie s veřejným klíčem to asi víte funguje prostě existuje nějaký pár klíčů soukromý
0:04:55	veřejný klíč
0:04:57	tak v soukromí soukromý klíč i ve vlastnictví stránského té domény nebo toho tohoto stromu
0:05:03	té domény
0:05:05	a
0:05:06	veřejný klíč zveřejněných té zóně
0:05:10	a já jako by každý ten záznam z té zóně který chce zabezpečit se digitálně
0:05:15	podepíše vytvořit tam proto speciální záznam
0:05:17	a vlastně na základě toho že já jsem schopný nebo já jsme schopni na základě
0:05:22	toho popisovat veřejného klíče ověřit že ten že ten záznam vopravdu podepsán
0:05:28	touto autoritou
0:05:31	M D nesek zároveň je tím že vlastně umožňuje tohlecto je předpokladem i pro použití
0:05:36	nějakých jiných technologií
0:05:38	jako řádek AIM
0:05:41	chceš je
0:05:43	což pomáhá colspan span filtrům rozlišování toho jestli příchozím elest na to jestli můžete nastavit
0:05:49	že třeba váš mail server bude hlavičky nějakých ve všech odchozích správa podepisovat nějakým digitálním
0:05:57	klíčem R T do té zóny pak si vložíte obdiv toho klíče a task vám
0:06:01	filtr na té příchozí straně pak může říct ano ten tento i neodešel z
0:06:07	domény která jako by patří nebo zase routery patříte doméně že to není prostě piliny
0:06:13	to samý kdy který se používá nějaké vkládání třeba certifikačních autorit jenom pro vaší doménu
0:06:20	dej se do toho jeden systému DNS pak vkládat třeba otisky klíčů pro se zarážkou
0:06:28	tak
0:06:30	ale samozřejmě toto spoléhá na to že je tam kde nesek že ten den S
0:06:34	že ten se funguje že prostě máte
0:06:38	kryptografický zabezpečené ty záznamy
0:06:42	ten jde nestoupej jsem si vypůjčil obrazu stránky nenese C Z asi toto spousta zásadní
0:06:48	viděla
0:06:49	v podstatě tam jsou renata levé straně
0:06:53	to je klient který se chce podívat na nějakou webovou stránku loterie to stránka bereme
0:06:59	stránka C Z
0:07:01	a ten první dotaz tedy směřuje na D ne server
0:07:05	ty zelené šipky to je vlastně to jak v běžném provozu ta komunikace vypadá
0:07:11	ten server patrně nebude vědět kde je stránka C Z tak se zeptá nějakých globálních
0:07:16	server na internetu prostě získáte odpověď
0:07:20	dá svých se prokeše a vrátí tomu klientovi který se pak na tu stránku připojí
0:07:26	pokud ale tady do toho procesu někde zasáhne nějaký záškodník
0:07:31	který po zenitem packet nebo asi vytvoří vlastní a jakobiho tam už jako odpověď
0:07:37	tak by se mohlo stát že
0:07:40	ten D neseme pak vrátí špatnou odpověď a vnutí vlastně toho klienta se připojit na
0:07:46	jiný server který jaký může být jako by vlastnictví který plzně patří tomu útočníkovi
0:07:53	no a todleto je právě to ten hlavní důvod
0:07:57	vlastně pro se ten den deset zavádí aby se tadydle tedlecten
0:08:01	já jsem problém asi eliminoval
0:08:06	teďka si bych ukázal která jak se to prakticky realizuje
0:08:11	ten den se zavádí
0:08:13	několik nových typů záznamů
0:08:17	D N S D hezký toho si můžu ukázat
0:08:23	ne vysype vidět nebo snášely či
0:08:25	často přečíst
0:08:27	výborně
0:08:28	tak může ukázat třeba pokud vás byla zajímalo třeba jaké klíče nebo otisky veřejných klíčů
0:08:34	se používají české
0:08:36	zóně
0:08:37	tak se na to můžete dotázat doporučuju příkazem kdy nebo kanady
0:08:44	tady k je kopie brigu kterou která pro vlastně máme přeloženou tomu našemu D nesedl
0:08:52	tak já to tady pro účely propagace budu používat
0:08:57	na ten character vlastně
0:09:00	asi tak strašně znáte dyž takhle napíšu velkou
0:09:04	tak jenom vrátí odpovědi vlastně píšou se to paketu na sem se ptát se přišlo
0:09:08	zpátky k odpovědi a tak
0:09:11	ale umožňuje právě i zeptat se konkrétního seru takže já se můžu zeptat
0:09:16	nějakého nej sedum české doméně třeba a výsledek C Z
0:09:21	nám záznam
0:09:24	bylo se ty provo
0:09:26	vlastně pro ten pro tu doménu C Z
0:09:30	tak a tadydle odpovědi tady vlastně na začátku
0:09:34	je vidět jako by se součástí do paketu
0:09:37	co ho ten otázka kdo to sem se ptal na záznam ty bude dinas jaký
0:09:42	typu nebo třídy internet ten note je to C Z a přišli T odpovědi jako
0:09:48	by dva záznamy
0:09:51	takže jakoby na klíče ty sou vypsaný tadydle
0:09:54	tenhlecten dallas ten první D S je hezký tady je
0:09:59	každý den D S T sebou nese několik informací to první rosomáky flagy to druhý
0:10:06	je dvou nenese ku vždycky predikáte prostě číslo protokolu
0:10:10	a to další té algoritmus kterej který je použit
0:10:15	právě který by když používá a tam a ten zbytek ten zakódované jako by šedesát
0:10:20	čtyři tak to je právě ten veřejný klíč
0:10:23	todlec ten protokol de se bude asi znamenat tady by se používá
0:10:28	ressel jedná s hašovacím algoritmem s dvě stě padesát šest nosatý
0:10:36	takže sou tady dva ten co má diletanty flagy nastaví na dvě stě padesát šest
0:10:40	tak to je to je klíč který se krát používat podepisování ti záznamu
0:10:45	a ten druhý klíč který má dvě stě padesát sedum tak to je speciální klíč
0:10:49	kterému se říká tíseň T adrese nepoužívá pro podepisování běžný záznam ale používá se pro
0:10:55	podepisování ostatních klíčů
0:10:57	ten mechanizmus tam používá pro to
0:10:59	že jako byly můžete pak častěji rotovat i ty klíče a nemusíte do nadřazené zóny
0:11:08	jakoby propagovat tu informaci o tom že jste změnili klíče prostě v nadřazený zeleně máte
0:11:13	řešení že používám téma ten klíč pro podepisování klíčů a jasně klíče můžu pro cokoli
0:11:19	klíčů chci prostě že může měnit třeba každý týden nebo jak chci
0:11:25	N
0:11:26	takže todleto vlastně
0:11:29	jako by
0:11:31	ty nebo teď irský záznamy se používají na to že publiku já ty klíče jako
0:11:35	by směrem dolů fidelity o ty kořenový zóny
0:11:39	jejíž
0:11:41	ať ale je potřeba zabezpečí to že vlastně
0:11:46	na z nemůžete zveřejnit klíče řeknu těma podepisuju protože nikdo by nevěřil že ten že
0:11:50	ten klíč zveřejnění je pravý takže existuje druhý typ záznamu této D S
0:11:56	a znamená to byl když inside R a to je právě něco se vkládá jako
0:12:00	budete nadřazené zóny a co obsahuje otisk toho klíče který se pak už a T
0:12:06	na tý zóně
0:12:07	zase může ukázat na kořenové zóně
0:12:13	když se když se nějaký kořenový ho serveru
0:12:18	zeptám nad záznam pro doménu C Z
0:12:24	tak tady na ty ance sečen
0:12:26	se oblíbená jeden záznam ten záznam tady na tom prvním místě se bude jak něco
0:12:32	čemu se říká kytek
0:12:34	to je jenom tak jednoduchý hash based dat těho klíče používá se to jenom pro
0:12:39	jako by rychlý vyhledání těch klíčů pokud třeba ten s klíčů
0:12:44	zase tady je ten algoritmus který by měl sedět s algoritmem toho klíče pro ty
0:12:48	pro který je to spočítáno
0:12:50	tadleta dvojka té zase hašovací funkce která je použita pro výpočet
0:12:57	toho hashe toho samotného klíče tohle už samotný hash
0:13:01	na to že
0:13:02	vlastně
0:13:04	potom se tam zas na tom se dostat
0:13:08	to jsem stanovené protože další tyto záznamové error si
0:13:12	cože záznam který se právě používá na vytvoření který nese ten podpis těch jednotlivých záznam
0:13:19	takže
0:13:21	kdy se zeptám
0:13:25	na co
0:13:26	některé ze
0:13:29	a přidá semle tu ligu parametr
0:13:33	todle bychom
0:13:37	bylo ste se
0:13:39	tak vlastně říkám že mě zajímá autentizovaná kovy nebo autorizovaná odpověď na to na ten
0:13:45	můj dotaz nechce ze tam se zeptat třeba na záznam typu a
0:13:50	špatná se dostat jo se z
0:13:54	tak teď víte že ste odpovědi toho roletový
0:13:58	že kromě toho že tady ten jako by ta odpověď kterou bysme očekávali I P
0:14:02	adresa server unix C Z
0:14:05	tak se tady objevil ještě záznam si
0:14:09	tedy má stejný stejnou stejný název toto stejné to doménové jméno
0:14:14	a vlastně tady led tajdle dál pak s vypadne se ty data říká že takhle
0:14:19	to áčko říká že vlastně podepisuje všechny záznamy typu a proto protonech C Z
0:14:23	tady říká to je zase použity algoritmus kreslení
0:14:28	jo algoritmus pak tadleta dvojka říká že vlastně to méno že s že jsou to
0:14:34	poslední dva delay byly
0:14:36	těm jednotlivým částem stýkali byly to tam else několika řádu
0:14:39	pak je tady originální T L to tam je zase kůli rezolu který ten výsledek
0:14:44	můžou někde na tyršova to pak budou jako by vracet je odpovědi synem T L
0:14:49	je tady část nios jeden podpis vyprší takle podpis vyprší šestnáctýho listopadu
0:14:55	a
0:14:57	byl vytvořen
0:14:58	byl vytvořen druhýho listopadu dneska
0:15:02	osum hodin ano skoro
0:15:04	no se tady napsáno kterým klíčem bylo se mnou podepsáno a prošel se nestane samotný
0:15:11	popis
0:15:13	a právě tyhlety agresivity nasedá zabezpečit cokoliv takže se tím zabezpečujou i
0:15:17	i tady D S záznamy
0:15:22	kromě toho ale my potřebujeme vědět že vlastně
0:15:25	nikdo jenom nezavedlo ten paket ale mužova nový paket který říká že záznam existuje
0:15:32	takže P proto se ještě musí potvrzovat jakoby negativní odpověděl provede neseru a k tomu
0:15:38	slouží resek případně novější je v sekci
0:15:44	transmit docela používá taky kořenová zóna
0:15:48	zastaví můžeme něčem demonstroval
0:15:51	my se tady zeptám
0:15:54	kořenový ho serveru nebo ne jednoho s kořenových serverů na to
0:15:59	aby nevrátil záznam ačkoli pro doménu
0:16:05	tak to vlastně nevrátí vůbec nic
0:16:08	já jsem se všem života je prázdná tady napsáno prázdná status trénink domény
0:16:13	když řeknu že chci že to štěstí můžeme se k
0:16:16	tak ušli povinně co bude
0:16:18	a zase ten se bude nula nic domén ale přeci autority tady přibyly nějaký záznamy
0:16:25	leží pět ale ten záznam
0:16:28	protože je ten N ste vlastně funguje tak že ste zóně se všechny všechna budeme
0:16:33	ramenatého jsou se seřadí abecedně nebo v nějakém kaneckém pořadí
0:16:39	a
0:16:40	pak se pro každou jakoby dvojici vtom řetězu vytvoří N se k záznam který říká
0:16:46	že který jsme se jako kdo vycítit tím záznam tématem záznamem se třeba říká že
0:16:52	za záznamem Ú existuje jediný za ty existuje další záznam který je i
0:17:00	to znamená že mezi zazdi a máme to byste to že mezi záznamem Ú a
0:17:03	jiné niny záznam
0:17:05	takže pokud jsem se ptal na F který jako by to vtom kaneckém pořadí patří
0:17:10	mezi u a S T a dostal jsem televizi záznam tak já jsem si můžu
0:17:14	být jistý že
0:17:16	že tam ten záznam není ste zóně
0:17:18	pak ještě ten ze záznam nese tadydle typy které vlastně jsou k tomu druhému takže
0:17:25	já jsem se nedozvěděl jakoby navíc ještě tam že pro Ú tam i systém deset
0:17:29	a si a N si záznam
0:17:34	tak sekci
0:17:36	to je vlastně akorát variace
0:17:39	na jako vy ta samá problematika
0:17:43	když se na to podíváte tak jasný že todle má jednu slabinu to tu že
0:17:47	jako když se budu chytře ptáte dokáže získat celý obsah ty zóny
0:17:51	přestože jsou tvořeny informace tak jako by někomu se to nemusí líbit a proto právě
0:17:56	vznikla varianta si tři
0:17:59	kterou třea používá česká doména
0:18:02	že dyž se zase zeptám
0:18:04	český domény
0:18:09	na
0:18:11	M se k připadám
0:18:16	tak tedy
0:18:18	tak
0:18:19	ten si připadám je vlastně speciální
0:18:22	záznam který té zóně
0:18:25	by měl být jednou a specifikuje parametry který které se používají
0:18:30	rozlišování těch mém které pak vystupují těch Z záznamech nebo transakci záznamy
0:18:35	tady bylo pro českou domu doménu právě aktuálním si připadám záznamy pana pole
0:18:41	ty data této ta jedna nula deset a pak tady nějakej binární dvou
0:18:46	vlastně cokoliv nějaký náhodný na tady ten levý
0:18:49	ta jednička určuje se to tady algoritmu lidí podporování je s a jedna
0:18:56	ta nula to sou flagy ta nás nemusí zajímat tady C P říká že se
0:19:00	bude dělat deset jakoby dodatečných prací
0:19:04	toho výpočtu to vše a tohle jakoby sůl která se
0:19:08	pardon která se připojuje k tomu doménové jméno
0:19:12	takže vy se tady pak zeptám na nějaký záznam který určitě nebude existovat třeba
0:19:19	něco takovýho
0:19:22	tak zase T S recepci
0:19:26	de nám nic vrátíme tajný zlomení ale místo už nějakých srozumitelných anson záznamu se tady
0:19:31	objeví spoustu N se při záznamu
0:19:35	T L se tohlecto kde na levé straně a tak nějak i hash tečka C
0:19:40	Z
0:19:41	a na pravé straně zase nějaký zas nějaký hash to tady znova ty parametry které
0:19:46	byly spočítaný pro výpočet eště
0:19:48	a jinak je to jinak je to vlastně odpovídá tomu
0:19:54	to moje si připadám tomu jsou věci připadám
0:19:58	rozdíl S tom teda že tam a ten se křičej který jistý zóně
0:20:02	se
0:20:03	že se program nebo pro každé to doménové jméno se spočítat natrhneš adrese příčin se
0:20:08	sestaví a škole tydlety hashe bezestavové se pro ty samotné domény takže já když pak
0:20:13	dostanou odpovědi nějaký asi tři záznam tak já můžu říct
0:20:18	nebo já jsem že spočítat jdeš toho záznam na který sem se ptal a pak
0:20:23	můžu se losně dozvědět jestli to leží jak mezi nějaký maiman umenšovat prostě to není
0:20:27	se Z seřazených tam abecedním pořadí a pokud nejsme schopni zpětně sto ještě spočítat romanovým
0:20:33	na tři bysme schopný mít nebyly tak nemůžeme získat vlastně obsah té zóny
0:20:39	tím že teda ten se při je podstatně komplikovanější protože tím že sem zeptat takové
0:20:45	na konkrétní věci a nemůžu se zeptat jestli tam ty konkrétním si tři záznamy existují
0:20:50	tak se musí dělat dyž nějaké dodatečné důkazy třeba že na s tím existuje nějaký
0:20:55	velká dat
0:20:57	a
0:20:58	a tak je to vocenil T céčko jitrocel složitý
0:21:03	takže to sem ukázal
0:21:07	a zkusím ty pokročit kousek dál
0:21:11	výhody a nevýhody
0:21:14	vypadá to že převažují nevýhody
0:21:18	ale asi ne
0:21:20	no tadyhleta bezpečno samozřejmě
0:21:24	cože vás je cílem toho nenese ku
0:21:27	výčet zóny sme si řekli dráže může být nevýhoda
0:21:32	je to řešitelné
0:21:34	problémem může být kořen důvěry protože jako by ten
0:21:39	takže navázaná to byla podepsaná nikdy roce vatičce deset a je to vlastně jediný místo
0:21:45	které musím důvěřovat aby ten nenese fungovalo takže pokud jakoby by se tam ty soukromé
0:21:51	klíče dostali do rukou někomu nebo volanému tak celý byla bezpečnostní koncept padá a padá
0:21:58	všechno co na tom závisí takže pokuď bych vykládal přát je srážky fingerprint je toto
0:22:03	D neska tak musím taky nedá věřit a tak
0:22:07	samozřejmě musí podporovat váš rezolventu systému seš v linuxu to zatím nepodporuje
0:22:15	nebo to musí podporovat třeba nejbližší den server který vám vlastně přes dvacet a nastaví
0:22:22	váš poskytovatel internetu
0:22:25	a pak zase že musíte důvěřovat poskytovatelé toho spojení mezi vámi a tím poskytovatele
0:22:31	na seřeže tak třeba že se nainstalujete k sobě k sobě na počítač nějaký resolver
0:22:36	přání bank nastavíte si už validovat a nastavíte si atace result konf že ne server
0:22:43	sto dvacet sedum nula jedna deset jo
0:22:47	další nevýhodou
0:22:49	nebo neřikám tak první nevýhodou
0:22:53	může být veliko zóny protože fazóna bobtná jenom kvůli těm podpisu a pak bobtná kvůli
0:22:57	těm S N záznamu a podpisu memset záznam
0:23:02	do toho plyne to že vlastně
0:23:05	třeba i na
0:23:06	malý na malý dotaz nezryl může generovat velkou odpověď
0:23:10	což nahrávám bych dalším útokům protože systém DNS běží hlavně na protokolu D P a
0:23:16	tam je velmi snadné podvrhnout trojky adresu
0:23:18	takže když
0:23:21	jako by zahodíte nějaký server malými dotazy s tou hodnotou hi P adresou tak můžete
0:23:27	jako by
0:23:28	viola daleko větší urobme nějakou jinou C třeba nebo na nějakých jeden konkrétní
0:23:32	cíl
0:23:34	no a na dalším na další poměrně komplikovanou věcí je správa klíčů dá se to
0:23:40	sem jako nevýhodu
0:23:42	je to spíš takové nutné zlo protože ty klíče se musí nějak generovat musí se
0:23:45	nějak rotovat
0:23:47	ty D záznamy se musí jak publikovat
0:23:51	takže se musí nějak přidá do té do té nadřazené domény a myslím že na
0:23:56	to ještě nejste žádný standard se nějaké návrhy
0:23:59	ale vlastně záleží na tom kdo vlastně vlastníte nadřazenou zónu dnešní
0:24:08	tak a teď jakým způsobem jakým způsobem setra nasadit
0:24:12	je několik vlastně možností uplně venuší je vyšito zónu před podepíše té nějakým nástrojem
0:24:19	a pak i dáte to bude ne server uvedený ten Í bude rovnou poskytovat podepsanou
0:24:24	další možností je použít nějaký D na server který umí dělat todleto podepsání jako přímo
0:24:29	tom procesu kdy načítat zónu takže udáte jako by ne podepsanou zadáte mu klíče a
0:24:37	vlastně nebohý o více jako by pro účely to podepsaný nemusíte starat
0:24:42	a pak existuje ještě způsob kdy vlastně máte vytvořený nějaký automaticky podepisování ale když v
0:24:47	rámci toho server je to nějakým odděleném procesu
0:24:50	tečky každý ke každé z těchto vlastně možností bych něco řekla možná je ukázal
0:25:00	to rušení podepisování je samozřejmě ne vyšší
0:25:03	je to asi první řešení které vzniklo a
0:25:07	napsal jsem tady že teda plukovníkem advanced což asi bude pravda
0:25:14	na k tomu dodává několik byly
0:25:18	touhy základního byl to asi desek keygen která se používá pro vygenerování klíče
0:25:24	klíčů
0:25:26	ty klíče sobě nesou nějaká meta data ohledně
0:25:32	toho kdy se mají publikovat zóně kdy se mají kdy se mají začít s nima
0:25:36	podepisovat by se má s nima přestat podepisovat by se s nima má neboli se
0:25:40	mají slezeme zase odstranit
0:25:42	všechno je to jako by v metadatech tou klíče
0:25:44	a na nastavování těchto metra se používá dodnes access time
0:25:49	a pak je tam nástroj genesis X N zlom kterému přinutíte klíče předhodí tenzorového a
0:25:54	neklidné podepsanou zón
0:25:57	ta konfigurace u toho bandu by vypadala uplně jednoduše prostě mu předá T
0:26:04	podepsanou zónám tom on to oni začne jako by
0:26:08	oni vystaví
0:26:10	to tady no nějak ukázat
0:26:14	shodou okolností
0:26:20	pro okolnosti byte má nainstalovány
0:26:23	todle nějaká minimální konfiguraci kterou sem tady myslel
0:26:28	tohodletoho svazy nemusíme všímat na zajímá vlastně akorát nastaví těch zóny tady jediná zóna které
0:26:34	nastavená jako autoritativní
0:26:36	a
0:26:38	vlastně ten před i za ve se nachází souboru na balkón
0:26:44	ještě ukážu
0:26:47	jak vypadá to zóna
0:26:49	vona vypadá nějak takové
0:26:51	s nějaká testovací
0:26:53	a
0:26:54	teď bych jako bych teď zejtra prořítil a tím postupem
0:26:59	co si vytvořit klíče a podepsat ozonová přetřást ale trvání
0:27:04	není to zas tak složité
0:27:06	a můžeme říct
0:27:10	nastartovat trvání
0:27:11	systém běží
0:27:13	tady už vyzkoušet
0:27:26	že vyzkoušet že to nějak jako funguje
0:27:31	na co se tady že chci odpověď zabezpečenou přišla ve zpátky nezabezpečená pově
0:27:36	a toto je něco je takže tenzory běží ale to za na není podepsaná
0:27:42	abych ji podepsal
0:27:44	tak jsem se vygenerovat ty klíče na to udělám třeba tejdle tadydle
0:27:49	tady máte za ten zónových souborech se tady vedle vytvořil adresář klíčem
0:27:54	a přes den asi se týden
0:27:56	vyklíčená generuju
0:27:58	teď tady udělán todle stav toho rychlejší nevím jestli praxi nebezpeční to použít
0:28:05	N na příkaz úplně jednoduchý stačí napsat název domény ano první vygeneruje klíč
0:28:10	který tento případě bude klíč pro podepisování záznamů seznam zone sáňky
0:28:15	pokud bych chtěl či druhý klíč který bude svůj použit právě pro podepisování těch klíčů
0:28:20	tenký sáním T tak tady předám ještě parametr
0:28:23	jako fleka vysoké jako písemným T
0:28:27	tak to vygenerovalo druhý klíč který já jsem trošku větší
0:28:30	aby se bit uděláno to adresáře které vznikly čtyři soubory co to dycky dvojice
0:28:36	tečka T a teďka projevit poměrně
0:28:40	nešťastnými názvy bych řek
0:28:43	to káčko ta musí být na začátku vždycky na to bájných nenačte a ty názvy
0:28:47	domény pakety algoritmu a pak je kitech který se používá pro to jako by snadné
0:28:54	vyhledání těch klíčů prvním že listové dva klíče který mají stejně týpek ale jako by
0:28:58	jinýho psa
0:29:01	ty soubory dyž jaký to sou vlastně záznamy které se tam vkládají přímo do té
0:29:05	domény
0:29:06	je to deset je tedy jsem o kterém jsem mluvil
0:29:09	ráda takové
0:29:12	i věc soubory
0:29:16	vypadají takle dobrého s jenom popsán jaký algoritmus byl použit jsou tady ty jednotlivé komponenty
0:29:21	toho klíče todle zrovna desá klíč takže sou tady ty prvočísla jsou lidé exponenty koeficienty
0:29:29	kdo to zná tak si chápe
0:29:31	a tady sou právě ty meta data recently standardně vygeneruje v S parametrů tak zase
0:29:36	hned publikuje zóně adres začne používat podepisování
0:29:41	tak teď se vrátím sem zpět a pozor na to podepisování že jich musím připravit
0:29:46	do té známe se musí vložit právě ty veřejné klíče
0:29:50	dá se to udělal s nějak inteligentně já to udělám tak
0:29:57	já mě teda dodal takle dva vyzkoušeny
0:30:02	takže takle jednoduše prostě přidaný přidána kód nakonec toho zónový soubor ty klíče jsou tam
0:30:08	a teď když od adresy se k senzoru velké K Í
0:30:13	to je jako by cesta k adresáři s těmi s tím klíče i zámky oko
0:30:17	tak autorita to podepíše vedle nevyplyne souborech zamkl kousání
0:30:23	která obsahuje už zónu podepsanou
0:30:27	takže vlastně dyž tetina tohle jsem bude
0:30:32	když už to tady nebo elitu ten soubor nám tady strany
0:30:36	zavolám arnolde celého
0:30:39	a tady nikde sem měl ta
0:30:43	ten dotaz tím K D dělá zeptám se ta kuš to tady vrátí zabezpečenou odpověď
0:30:49	takže todle je ten starý historický způso
0:30:55	další ze způsobuje to zónu podepsat R automatické podepisování
0:31:00	nýtováním do bitově parodie nese a umí to náš nový toho
0:31:07	todle zase ta ukázka té zase ukázka pro byte
0:31:12	no ze starýho to procesor R akorát ten krok s tima podepsáním té zóny
0:31:19	co se musí změnit konfiguraci tak Y z nějakého důvodu vyžaduje aby pro tu zónu
0:31:24	byl zaplý dyna D nezprostí dynamicky aby ty můžu změnit ozónu za běhu
0:31:29	to se dá placatej ta napíšete tady přidáte to aby pole silou k o
0:31:33	a pak stačí přidat tyhlety dvě direktivy jaký direct tady se vše adresář kapsy aha
0:31:39	tedy klíče a pak den asi se k router nesek
0:31:43	maintain nebo alou kudrnaté tu volbu allow
0:31:47	tak on to zónu jakoby nebude standardně podepisovat a podepíše jenom vy zavoláte rvete co
0:31:51	sem
0:31:52	čtrnáct to maintain tak on se bude snažit i podepisovat podle právě těch aktuálních časových
0:31:56	údajů ste chtít klíčích jsi vygenerujete nové klíče pak zavoláte bessemer necelou to sem si
0:32:03	to přednáška zase jako by ten proces podepisování té zóny řídí za vás takže
0:32:08	todle jako o krok o krok blíž k nějakému pohodlnějšímu řešení
0:32:13	bohužel to většinou nestačí a správci si na to píšou různé skripty každý má vlastní
0:32:21	naši danou případně ještě něčem horšího pak vznikají takovýhle vstupy že
0:32:28	daleko lepší asi varianta je nebo přístup který mě měl jsem jestli narozeni lepší je
0:32:35	přístup který používá a budeme se
0:32:38	open the nesek
0:32:40	není D ne server je to služba která se pouze stará generování klíčů a stará
0:32:44	se o podepisování
0:32:46	vypisování toho zónového souboru
0:32:48	a vyžaduje jako by ke své práci s nějaký den server abys deset ozónovou richterovy
0:32:53	sto
0:32:55	funguje to tak že bučíte ne podepsanou zón ze souboru
0:32:59	nebo si dokáže vytáhnout vytáhnu z nějakého jiného serveru přes cifer
0:33:03	a zase ukládá do souboru a umí říct o to jako by potom podepsání říct
0:33:08	nebo spustit vlastní příkaz takže dokáže prostě zavolat D ne server říct úrovni se to
0:33:13	zónu protože jsem znova přechod znova podepsal
0:33:18	je to poměrně robustní řešení protože to stojí vlastně vedle toho R neseru pokud je
0:33:23	vtom procesu podepisování byla chyba
0:33:26	nebo pokud by
0:33:28	a třeba ta chyba mohla zkusili patové D neseru do tak proto se tady stane
0:33:31	může před of tak jako služeb
0:33:34	démon který běží vedle
0:33:37	akvárko vladana kráse tohodletoho řešení je to že je to nepodporuje jeden
0:33:46	je dynamický aby ty co se dá počáteční když je takže si vytvoříte
0:33:51	jako by skrytý master server
0:33:53	na které máte ne podepsanou zónu a povolíte na něm nebo všechny jakoby aby ty
0:33:59	dynamický budete směrována P server
0:34:01	pak si nastavíte takže ten úplně nesejde světozor si vycucne s toho s toho sto
0:34:06	odlesky diskrétního autoritativního serveru
0:34:09	podepíší uloží do novýho soubor zavolá druhý server který vše ty ruše jakoby veřejně přístupný
0:34:16	a do školy pro jako by vystavujete veřejnou zón
0:34:20	problém celýho tohodle řešení je to že ten proces nejse tom skok opakuje přes všechny
0:34:25	ty komponenty je
0:34:27	o malý
0:34:30	tady ještě ten opener jestli se vyznáte zajímavý že asi má smysl tady déčko rozebrat
0:34:35	V
0:34:37	ten úplně nesek pracuje s něčím čemu se říká ovoce zkratce zkratkou K s
0:34:43	je to T M si když polici rozsáhlým pole si
0:34:49	je to vlastně konfiguraci my si řeknete že chcete já nevím chci používat pro svou
0:34:54	pro svojí doménou N sekci chci používat hash nějaké délky a chci aby se měnil
0:34:59	každých sto dní
0:35:01	chci aby podpisy se měnily každých třicet dní nebo pro popisoval podepisovat si klíče
0:35:08	a pak je tam komponenta nebo démon který rissanen for se
0:35:13	který vlastně přečte tu politiku a vygeneruje kdyby generuje klíče stará sou ty klíče a
0:35:21	generuje sto nějakou databázi klíčů
0:35:23	tu databázi klíčů pak používat nová komponenta které se říká se jde
0:35:28	která vlastně dycky se ty klíče změní tak jenom vezme ty naprosto vstupů třeš může
0:35:34	být a zóna podepíše jí řekne ne neseru teď může znova načíst znova naší zónu
0:35:44	já to ještě ukážu tady na tom taky tři sta let asi
0:35:52	A konfigurace je poměrně jednoduchá
0:35:56	a ten úplně nesek jako takový tady na jenom a
0:36:01	no tři konfigurační soubory ukážu tenleten kolmý kontextem L který vlastně konfigurace
0:36:09	jinak kde sou ty klíče tento jsem jako je trošku
0:36:14	podle mě polem to zbytečně pracnou
0:36:17	době zapisuje a ale pro jaký automatické zpracování zase může být dobré
0:36:22	definují se tam vlastně repozitáře suše dvacet jsou jako by umístění děl může naší daty
0:36:28	klíče si vyberou plně nesešel tou cestou že podporuje pouze nějaké jsem K jako ve
0:36:34	sigkill ten modul
0:36:36	přes rozhraní aplikace s jedenáct
0:36:39	to je nějaký softwarový tam na to když si koupíte nějaký bezpečnostní token tak to
0:36:45	můžete dostat jako by knihovnu která todle se rozhraní má
0:36:48	a pak jako by můžete snadno přistupovat k těm klíčů na to zařízení můžete se
0:36:52	generovat tak
0:36:54	pokud nemá ten hardvér vy modul tak spolu s nebo způsob den D nesek je
0:37:00	vyvíjen ještě knihovnách krásné sem H jsem hrál si musíte rusové rozhraní ale dělá kovy
0:37:07	softwarové s ostrovy s je to softwarový token takže ty klíče můžete mi jako nikde
0:37:12	na disku nějaký sqldatabase
0:37:15	pak tady u sem nastavil ty nějaký logování nastavuje se jak má běžet enforces ani
0:37:21	nede tady na konci je vlastně co se má přes pustit
0:37:25	pustit za příkaz regule z dojde k tomu k tomu podepsání tak tadydle drilu nějaké
0:37:30	zóny přespání
0:37:33	pak je tady právě definice ty politiky této cast vsunul
0:37:39	těch politika může být definováno několik tady politika diff o
0:37:43	to je politika právě pro ty podpisy tady politika pro ty
0:37:48	negativní odpovědi
0:37:50	tady na napsáno že se má mít ten posun každý sto dní že se má
0:37:54	použít i pět iterací toho sign algoritmu a že ta
0:37:58	a ta suma vejde délky osum
0:38:01	politika pro klíče
0:38:03	prostě
0:38:04	docela kolonizovala staví
0:38:06	a pak se tady nakonfigurují jenom zóny a teda zaplo krát zónový tam oko
0:38:12	jako sloupce prostě používá soubor
0:38:15	arrow projdeme se kam se západkou
0:38:17	a výstupem jít do uveden S X jeden zablokován
0:38:24	tak pak ten úplně nese k mání jakoby konzolová nástroje které se je použit pro
0:38:29	ovládání
0:38:32	ne se to D S kontrol
0:38:34	nesouvisí to ve žádnou politickou stranou
0:38:39	má to někdy příkazů když tady napište adres kontrol časem tak pracujete s tím s
0:38:44	těmi repozitáře mi těmi těch klíčů takže když tedy dám hásem moje
0:38:48	tak víte že tam žádné klíče neni
0:38:51	K jesenný T list example komise může vypíše všechny klíče které jsou použity
0:38:58	zmenšit presso použity pro podepsání trezorek zamkl kombi tam není žádný
0:39:04	tady v tom adresáři
0:39:06	úplně nenese
0:39:08	může ukazuje ty tady vlastně existuje krát a nepodeps a názorné to pořád ta samá
0:39:12	za nastoupili signálu od začátku
0:39:15	tam adresáři sem nic není
0:39:19	a když byste která
0:39:21	nastartoval ten enforce je ten server
0:39:25	D S for S T
0:39:28	D S T jsou to opravdu jako dvě služby a se to nemusí vyžehlíno stejný
0:39:33	stroj
0:39:36	se stalo loby se objevilo něco
0:39:41	tady hlídám ty zase find
0:39:44	takže tady obě do
0:39:47	fajn tak zamkl kongo byl se tady podepsaná zóna
0:39:52	takže mě něco se stalo na pozadí a když tady ty znova pustím ty příkazy
0:39:56	s timhle semka a jsem list
0:39:58	tak uvidíte že tady vlastně vtom repozitář vysoká jsem se objevil nějaké dva klíče
0:40:06	dyž pustím ten sem T list proto zónu tak vidím že starobyle dva klíče ten
0:40:11	jeden
0:40:13	jaký se nikdy v ní rezoluce nějaký superstar nějaký platnosti
0:40:18	jako ty nástroje jako okolo s osou papi
0:40:23	ta
0:40:26	no a teď se konečně dostáváme
0:40:29	tomu filtru
0:40:32	jak lze Z až nakonec se nepotřebu na to moc času protože rozjet to D
0:40:38	nesek sklad je teď opravdu velmi jednoduché
0:40:41	odmítáš první betaverze která vyšla pondělí
0:40:45	ostatně skládku si všimněte že
0:40:47	kde pracujeme
0:40:49	a umí
0:40:51	automatické podepsání o tom
0:40:56	přímá kostom procesu toho serveru s těmi klíči které vygeneruje ten den asi týden
0:41:01	a
0:41:02	já to zase může ukázat
0:41:05	asi je jediný co tam stačí přidat co tydlety dvě konfiguračního při
0:41:10	R zastaven trvání
0:41:14	a nastartuj okno
0:41:19	že dyž se teď tady zeptám systém tam potom
0:41:23	v aute nějaký jiný
0:41:34	ní
0:41:36	paměťový
0:41:37	jo tyto neodpovídá tance tosta
0:41:43	jo
0:41:44	teď jsem se zeptat zase do tak zase odpověděl ne zabezpečeně
0:41:48	když zavolám no zone status tak se tedy dozvím že tam je naše na jiná
0:41:54	z analýzám dokonce seriálem jedna
0:41:58	teď vlastně
0:41:59	se může ukázat
0:42:02	no
0:42:03	a jsou ty zónové soubory
0:42:04	že tady je to že to adresář klíče už tam trošku rychle strusce to viděli
0:42:11	vygeneruj si klíš pro číselníky
0:42:14	vygeneruj si obličení klíč
0:42:17	sou tady
0:42:19	je tedy trošku po prvním oprávnění
0:42:25	jistotu
0:42:27	zde mnoho přečíst
0:42:30	otevře si konfigura to hodnota
0:42:33	todle vlastně taková hodně minimální konfigurace a jediný co sem teda přidal jsou ty dvě
0:42:38	konfigurační opřeny dnes osek jinej no on
0:42:42	dodnes ose týden kydy
0:42:47	E
0:42:50	ta
0:42:51	když tady zavolám natvrdo
0:42:54	tak mi drátěnou K D dawson status
0:42:57	takže tady bizony objevil že tam je nějaký automat indie nese a byly příště může
0:43:02	podepsání
0:43:04	a
0:43:06	když se zeptám přes
0:43:08	tady
0:43:09	tak už tam zase podepsanou to je
0:43:14	takže přestože jsem teda nevěděl že jedna se stack size má ten parametr mínus S
0:43:19	který tam asi přidá ty
0:43:22	ty klíče jako přímo do té zametli veřejné otisky
0:43:25	tak na to dělá implicitně děláte přímo vtom procesu
0:43:31	no a co se vlastně čeho chceme dosáhnou do budoucnosti
0:43:36	chtěli bysme vytvořit nějakou komprese schopnou alternativu k tomu uvedeme s jakou
0:43:41	chtěl bych se rozměr B nezávisí na těch na nástrojích hotel vysoce
0:43:46	chtěli bysme podporovat automatickou správu klíčů právě na základě politiky něco jako má ten na
0:43:53	obr nenese k tenká s
0:43:55	a určitě bysme chtěli podporovat
0:43:59	vyklíčená nějakých těch barberovi zařízení
0:44:01	přesto rozhraní aplikace si daná
0:44:04	no a úplně ideální by bylo revise nás to podařilo udělat knihovnu jako by se
0:44:09	novou knihovnu
0:44:11	pokud by se třeba někomu nelíbilo protože nejspíš pro na tím směrem že to podepisování
0:44:16	bude probíhat rovnostem server a pokud by někdo chtěl jako by co to podepisování mi
0:44:20	zvlášť jako H R nesek tak obě nemusí to knihovnu použita jisticí rozhraní všechny formáty
0:44:26	když mi fungovaly
0:44:29	a prostě tak
0:44:31	takže todleto sou dlouhodobé cíle
0:44:34	napsal jsem je verzi na pět
0:44:37	třeba to bude dřív
0:44:40	no a to je asi všechno co sem chtěl říct
0:44:42	takže pokud sice prej se zeptat nebo pokud máte nějaké zkušenosti s praxe které se
0:44:47	vracejí s něčím sem tady řek
0:44:50	tak si to radoslav ano
0:45:04	ano
0:45:05	jak je to tak zopakuje otázkou
0:45:09	otázka zněla jesli tomu podepisování knotu dochází automaticky nebo jestli k němu dochází na požadavek
0:45:15	klienta
0:45:16	dochází k nim automaticky při nebo přibližně hodinou před vypršením prvního toho klíče je tam
0:45:23	nějaké jakoby interval dopředu ale dojde k pře podepsání těch nejstarších
0:45:27	záznam
0:45:35	sekci
0:45:36	nebo
0:45:37	je takle se
0:45:38	uvažovali jsme na tím a L
0:45:42	před jako by
0:45:43	především
0:45:46	se snažíme
0:45:48	ne každý kompromis mezi jakoby výkonem a mezi velikostí té zóny čase náběhu prostě
0:45:56	uvažovali se vrátím
0:45:58	v současné době není dobré založen ale v současné době se tak záznamy generují přitom
0:46:03	podepisování
0:46:07	ze tři to umí s tím že teda když je T zóně ne podepsané se
0:46:12	připadám tak se rovnou generujem se k tři resek tři nebo vy výměna tichem si
0:46:18	připadám
0:46:20	by měla být
0:46:22	určitě řízneš jedna pět jedna čtyři jedna možná že ještě dost vyvezena čtyři sem s
0:46:26	tím
0:46:27	s tím dělat nějaký náhodný
0:46:35	probíhá to
0:46:37	ano pozadí jo persóna když se na načítání souboru a my to máme jaký žurnál
0:46:42	kde vlastně poznamenaný poslední seriový číslo který známe
0:46:47	pak vlastně na ten a ten zónový soubor se aplikují ty změny které sou tom
0:46:50	žurnálu ještě nejsou zapsané na tom disku pokud je potřeba zkusit tohoto pře podepsání se
0:46:55	že vlastně vždycky když se vzít a zóna vždycky se kontrola všechny podpisy
0:47:00	protože asi dyž tam souboru budu editovat tak mě napadne celostranickém ten podpis když s
0:47:06	ním jenom třeba
0:47:08	ty adresu tam záznamu vždycky se to celý jako při podepíše zase se to vložit
0:47:12	do žurnálu se zvýšeném server číslem
0:47:16	pokud to budu chtít zase jako by byla jít do toho souboru na disku zavolá
0:47:20	praco flash objeví se to tam můžu velikost toho to
0:47:26	jako by cokoliv týlní
0:47:30	je takle je to s tou žurnál ty tam kde to žurnál vašimi změny se
0:47:34	díváme na tom zónou
0:47:36	žurnále na disku
0:47:44	osladil
0:47:47	tak ještě nějaké dotazy
0:48:01	K
0:48:03	jak lze informaci ne
0:48:06	jsme rádi řádek konkurenci
0:48:08	my sme za tři měsíce napsali nebo za dva měsíce
0:48:13	na co něco takového straně ta na stejné úrovni jako Y
0:48:18	a ještě zhruba nějaký dotaz na
0:48:31	záleží na odvaze vyvezete používat
0:48:34	tak
0:48:36	sou ty verze co dáváme do stabilní určitě někde běží produkční prostředí
0:48:42	otázka je i na i některé server je české za nejsem běží nakopl
0:48:50	kdo to ještě používá matku
0:48:52	dále
0:48:53	že
0:48:54	dánska domén a tak dále taky používají produkci
0:49:08	jako pokud budou dostanou stejné zónové soubory tak asi
0:49:24	a pokud je pokud jakoby nepoběží zároveň tak by to mělo být pokud prostě
0:49:29	vlastně jo
0:49:31	no todlecto bude fungovat pokud
0:49:35	no trója nemůžu protože
0:49:37	ten moment toho pro psaní bude jinej součástí to popisu že jo sou je timestamp
0:49:41	kdy byl vytvořen A ten podpis
0:49:43	a třeba k kratce nastaví k tomu timestamp u kde jako ten podpis vyprší hašování
0:49:50	do té mají tam přidává nějaký jitter jako plus mínus
0:49:54	platnosti něco
0:49:56	a
0:49:58	takže ty popisy bylinné a pak třeba pro algoritmy jako odessa podepisovat cítíš ne nesmí
0:50:03	nepoužívá ale tak tam ten popis vždycky ne protože tam záleží nějaký tomu náhodně vygenerovaným
0:50:09	čísla
0:50:10	S používá při tom profesor no
0:50:20	čistě teoreticky
0:50:22	čistě teoretické zas měli
0:50:39	S jako asi je možné to
0:50:45	no mě teoreticky by mělo být možné prostě břity podpisy na více serverech ty podpisy
0:50:49	vy ten trezor milovali dva vždycky stejně
0:50:53	pokud se je někde něco rozbije
0:50:56	jak by asi mělo stačit vyřadit ty špatné záznamy
0:51:00	to je ten se brno
0:51:11	já nevím jestli to dokážu jako kvalifikovaní rozhodnout
0:51:15	asi tak asi dalším je to přidat očistí řešení když všechny ty servery vracení peněz
0:51:19	ty no to je
0:51:21	jestli to není někde nějaký vracečku napsaný
0:51:25	a Y jako čistě teoreticky tím validaci vím ohlasy stačit že se to podepíše
0:51:31	na všech jsem zvlášť
0:51:40	no podepisování nebo
0:51:48	na výkonu nenaseru by se to jako by na odpovědi by se to nemělo projevy
0:51:52	protože pokud jste předtím používal jako staticky pod nebo přes nějak ručně podepsanou zónu toupper
0:51:58	server poskytuje tak teď se nezmění nic jinýho nešel než doba toho startu protože přitom
0:52:04	statusem si zkontrolujte podpisy
0:52:06	už se to zóna změnila
0:52:10	českou zónou jsme zkoušeli podepsat nějakou starší a trvalo to na nějaký neuplynuly hardvéru sedum
0:52:16	minut
0:52:19	to
0:52:23	a máte
0:52:28	ne všechno se nepře podepisuje pokud se změnila změnil obsah T zóny zase tak se
0:52:32	spočítali kontrolu ženy popisy jestli jako jsou platné uzlu kladné tak se nemění
0:52:39	jenom ta jedna za ně
0:52:42	ta která se Q změnil
0:52:44	pokud se nezměnil seriál zóny
0:52:47	tak ten server prostě na sebe rychle pokuď však věta přepočítaní
0:52:55	no
0:52:56	jako pokud se přilepšenou dutý zóny zjistí že se to zóna změnila což neděláme podle
0:53:00	toho seriálu až za čas že kontroluje podle timestamp toho souboru
0:53:06	tak vlastně dojde k přepočtu kolik verifikaci pěchoty se tam sou špatný se vyhodí vytvoří
0:53:13	se nový
0:53:17	no tak eště nikdo se něco chce zeptat
0:53:19	no a na
0:53:30	no
0:53:44	jako
0:53:45	máme jako do standardně ty pro pokud vím tak ty aplikace prostě používají pět hostname
0:53:51	a tydlety volání která si které sou sto dvacet tak měl někdo C
0:53:56	ta výšková verze vlastně se použila value co to nepodporuje
0:54:02	takže jako by se tam jako prostřední právě vkládané ne server který tu který jsou
0:54:07	jako rezolventa tohoto verifikace kalibrování takže pokud je tam jako by dal kolik podvržená tak
0:54:14	muset zarazí jako by
0:54:17	třetiny se dostane do toho torzo
0:54:20	systémového
0:54:21	pokud vím tak
0:54:24	windows sedum třeba tu to taky nepodporují je potřeba mít jako by dané server nepodporuje
0:54:31	někde na cestě
0:54:33	windows osum nevina líbí jezdí sem si žádnou bude třeba stejně jako na kolenou
0:54:38	takže
0:54:40	asi standardně to nepodporují a eště něco s se ptal jsem zapomněla jo podpora ubrousek
0:54:46	podpora brouse standardně není
0:54:50	našem našich laboratořích vzniká nebo zniká number šíření do prohlížeče kreslené den asi validátor a
0:54:58	bratr toho rozšíření jet else a hledáte vezmete nevzala do prohlížeče a pak na liště
0:55:04	bude sítě zelená ikonka neurčená ikonka
0:55:08	todleto restaurace pro byla pořádku a ta operace jako by probíhá mimo ten systému vylezou
0:55:16	to určitě
0:55:45	no
0:56:02	to sem řady ze nepochopil otázkou
0:56:06	zase se to
0:56:13	todlecto se řeší na úrovni toho S X tři
0:56:16	vysycháte strany obrázku je máte zóně domény které se podepsané kreslena podepsané
0:56:26	jo to se právě řeší třeba na úrovni
0:56:29	umí řešit naše necek tři který dokáže jakoby stala si příčinou vyjmout je domény které
0:56:35	nejsou podepsané jakoby dokáže rozlišovat sigkill delegace sigkill delegace
0:56:41	ta delegace je to že ste zorně z té ten B S D za nebo
0:56:45	N S záznam který generuje který jakoby část toho stromu deleguje nativní jiný serve
0:56:52	pojem se při se dá říká se tomu optal a právě ten to políčko ztichli
0:56:58	boot když a nastaví na jedničku tak právě tydlecty domény které nejsou bezpečně realizované
0:57:04	tak i soustava jazyk příčinu vyjmuté takže ne není potřeba podepisovat jako
0:57:09	ale u se kus takovýho samotnýho to nejde
0:57:14	no
0:57:34	dobře
0:57:36	tak ještě nějaké dotazy
0:57:41	nikdy jsem zeptat
0:57:42	tak jsem případě ještě no děkuju že ste přišli sem já sem tady nebo sám
0:57:47	pokuď budete nějaký další dotazy velice Z atribut napište je na to není mail nebo
0:57:53	pokuď nebo můžete napsat na knot pomlčka DNS zavináč vás tečkami tečka C Z
0:58:00	a příde nám to všem kdo s tím nevěděla N
0:58:04	nebo máme mailing koleje
0:58:07	a na si ty práva vlasy důlku
0:58:12	jsou jedná zkontaktovat je spousta
0:58:14	řešeno jako

Snadné nasazení DNSSEC s Knot DNS

Sobota 2.11.2013 - malý sál D0206

Jan Včelák