0:00:16o čem je tahle přednáška já bych vám chtěl něco krátkosti říct
0:00:21vice vlastně zapomněl jednoho dne já to mám do úraz nebo do kdy
0:00:25ví někdo neumí bude další podprogramu jo není víme
0:00:30do rukou
0:00:32co je času tak to může volit pomalu klidně celé to se může bejt je
0:00:38zle kecat to třeba se
0:00:41tak jo takže ten letný úvod trošku protáhneme popovídáme se takové věci o kterým kterej
0:00:47každé každý s ním pracuje ale málokdo o tom ví něco o něco podrobnějšího já
0:00:54o tom také toho moc nevím ale přesto
0:00:57je se pokusím to má se o tom vás sem začne za ten za ty
0:01:00léta nasbíral
0:01:02informací o tom jak fungují šifrované služby tells tak vám nějakým způsobem předat
0:01:09pak bych vám taky nepředstavil takovou sice komerční společnost která se stará co se ale
0:01:16má takový zvláštní přístup takže to může být zajímavé
0:01:21a uděláme nějaké praktické ukázky
0:01:25tak transformuje se kvůli ty všichni známe je to nejrozšířenější standard vůbec šifrování elektronického podpisu
0:01:32to znamená a kdykoliv otevíráte jako strážce let je to pro se nemáte nechá používá
0:01:40se šifrování typu ten les
0:01:43je to teda ale nebo třeba tvrdíš posílat maily tak existuje
0:01:49ne je taky můžete předávat ta pocit else diktáte to trošku složitější možná se k
0:01:54tomu dostanou
0:01:56ne to
0:01:58jakási mezi vrstva která se dokáže vložit kamkoliv mezi plain text tedy ne šifrovaný text
0:02:05a
0:02:07za zabezpečuje ten ne šifrovaný disk je přenášen
0:02:10šifrování je
0:02:12a zabezpečeny proti nějaké upozornění
0:02:15tak jsou že vás tam asymetrické šifrování
0:02:18a používá se infrastruktura veřejného klíče co to je asi to si řekneme
0:02:24říká zabezpečení tratí služeb obvykle slouží dá se selhal ssl je vlastně takový starý pojem
0:02:30o už ne zde je který byl přejmenován právě na tele sil
0:02:34a ale
0:02:36takže můžeme barvu zobrazeny synonyma pro ten náš pro ten náš případ
0:02:41a
0:02:42je to jaké zabezpečení mailové komunikace pomocí protokol ty svoje hesla jenže
0:02:48se k your úvod je pátej ten ex takže tady rozšíření její miluje komunikace o
0:02:54cesty vše bezpečné posílání nebo zabezpečené posílají šifrování a elektronický podpis
0:03:00tak co ta infrastruktura veřejného klíče no
0:03:04je to vlastně hierarchický způsob jakým dědit důvěryhodnost z jedné větě která nějak tu důvěru
0:03:11získala na další entity takže když to při přirovnávat nějakého fyzickému světu tak grafickém světu
0:03:20máme třeba máme třeba stát rasa třeba vydává občanské průkazy
0:03:24a
0:03:25prostě ten stát je nějaká autorita které obecně věříme protože pokud nejsme úplný palici vyznavače
0:03:32konspiračních teorií tak
0:03:34jestli tak předpokládáme
0:03:36že prostě když stát se po něco podepíše tak aspoň v naprosté většině případů bude
0:03:42platné
0:03:44takže
0:03:46takže minule že ve stádu a protože stát vydává ty certifikát kde občanské průkazy zabezpečen
0:03:51tak aby bylo jasně poznat že vydal o a nebylo snadné aby vydal někdo jiný
0:03:56a napodobili je tak mi pak na základě ti lidi dokladů můžeme důvěřovat že
0:04:01člověk který se nad tím občanským double neprokáže tak má to jméno a to příjmení
0:04:06
0:04:07které je na tom průkaze napsáno
0:04:10pokud vono to s podobným je podle té fotografie
0:04:15ten systém
0:04:16je může důvěřujeme nějaké instituci a ta distribuce produkuje předává té pravé bus ultra veřejného
0:04:22klíče není to jediný možný způsob
0:04:27druhý způsob který se používá p g p tak je
0:04:31právě c důvěry známe postará s to znamená že
0:04:34a nemá žádnou hierarchii ale všichni to tam si víceméně rovni
0:04:39a té skupině lidí kteří jsou si rovni i některá osoba která je ňákým způsobem
0:04:43důvěryhodná jako že veřejně známá třeba já vám tady řekl jsem ondřej caletka ten filtr
0:04:48nemusíte věřit ale protože se vede je znáte pak mi to většina z vás bude
0:04:52věřit
0:04:53a tyhlety lidi kteří jsou důvěryhodní taky mluvil předávají vlastně jeden jednak jinému tím že
0:05:00někomu jinému podepíšu klíč
0:05:02tak tu vilu svěží na a
0:05:04víš pak je nějaký franta novák si představí klíčem
0:05:08u kterého je napsáno že ho podepsal ondřej caletka
0:05:11tak si budete říkat no ondřej caletka to bude psát by asi nebude co je
0:05:15tak nějaký tudíž takže asi toho frantu nováka z na
0:05:17takže asi franta novák tak je ten franta novák ale nějaký obecný hardwarová
0:05:23je to dost zamotané loužel já se
0:05:25bohužel tady ty lidi přítele se vždycky to trošku z auta a
0:05:32nějaké úplně základní pojmy s oblasti pí ty jo nebo opékání
0:05:37infrastruktury veřejného klíče
0:05:43tak privátní klíč
0:05:46úplně ta nejzákladnější je
0:05:48privátní klíč který bychom neměli neprozradit je to je to teda číslo ona podstatě veškeré
0:05:55veškerá informace je číslo tak jakákoliv pošli že zpracovatele vazeb se dá číslo včetně celého
0:06:01filmu to je taky jedno číslo třeba ale
0:06:04je dají tom případě je to je to celkem je to celkem jako i blízko
0:06:08té realitě ten privátní klíč i no nebo několik málo čísel
0:06:13které umožní dvě věci rozšifrovat zprávu
0:06:17která je zašifrovaná
0:06:19a nebo
0:06:19ověřit vytvořit elektronický podpis
0:06:23jo
0:06:23to je důvod proč teda privátní klíč lidský držíme tady hosty protože když nám někdo
0:06:28zašifruje správu tak mi chce výnosy flotilami a nechceme aby přežil najít jiný takže rozšiřování
0:06:35umožnili privátní klíč a o je to je slovo by se to přesně naopak elektronický
0:06:40podpis když něco podepíšu
0:06:42tak ať si to klidně ověří kdokoliv na světě že jsem to podepsal já ale
0:06:46jenom já musím mít právo nebo piva vytvářet takže
0:06:49u elektronického podpisu je to je to trošku naruby že u jednoho rozšifrovanou do tváře
0:06:55veřejný klíč je přesný doplnit tenhle toho privátního klíče je to zase nějaké číslo a
0:07:02je to číslo které
0:07:04umožní naopak
0:07:05zašifrovat zprávu
0:07:07a nebo ověřit elektronický podpis to znamená
0:07:10veřejný klíč
0:07:11když má někdo můj veřejný klíč už je po sléze šifrovanou zprávu ať je to
0:07:15uplně kdokoliv a mně nezajímá kdo to je ale
0:07:18kdokoliv
0:07:19není žádný problém když se ten klíč rozšíří komukoli
0:07:23ještě taková praktická věc jak je to implementováno třeba stá
0:07:29ten privátní nejsou dvě nějaká tajná prvočísla hodně veliká
0:07:34a držení míče jejich součet
0:07:37to znamená že je s toho si logicky je řeknete že vlastně ten veřejný klíč
0:07:42se
0:07:43povětšinou a většině lidí doplatí daleko šestou privátního
0:07:47takže li privátní klíč znamená to automaticky že máte je veřejný klíč naopak
0:07:52li jenom veřejný klíč tak
0:07:54vy ste ten privátní výše je blízko místa pokud ano tak jeden šifrovací algoritmus špatný
0:07:59a nedá se bůh ví takže třeba u toho je nezávislý na to že prostě
0:08:03nejste schopni dostatečně veliké číslo rozložit na prvočinitele
0:08:08ale jinak tomu nerozumim vůbec takže na další pokročilé otázky ohledně toho se mi prosím
0:08:13vás nepijte
0:08:15tak
0:08:16a teď se dostáváme potom k těm
0:08:19tak další entita které se objevují s tam bylo s a tou první se kterou
0:08:23se jako hierarchicky potkáte když budete chtít nějaký certifikát tak je požadavek
0:08:28neboli co server certifikaci celej je konec
0:08:32to je dokument podle jakého standardu který se netají práce zde se to asi není
0:08:36úplně důležité
0:08:37ale to prostě nějaký dokument který obsahuje
0:08:41váš veřejný klíč identifikaci subjektu kterou si do toho prostě vy sami vyplníte neptej vyroste
0:08:48a případně do toho vyplnit ještě nějaká omezení využití certifikátu
0:08:54takže když tak začít s šifrování začne vidím že vygenerujete privátní klíč
0:08:59a veřejný klíč najednou nebo postupně
0:09:02a teď toho veřejného ve vedení kýčovité do toho požadavků a přidáte k němu takové
0:09:07informace o řeknete já jsem ondřej caletka vyvíjí záznam a ten ne když by chtěl
0:09:13používat pouze pro elektronický podpis
0:09:16no
0:09:17pořadatelé požadavek slouží připravený k tomu abyste ho poslali certifikační autoritě certifikační autorita se nepožádali
0:09:25podívá
0:09:26něco s ním udělá
0:09:28co záleží na tom se to za autoritu a
0:09:30vydá následně certifikát
0:09:32certifikát
0:09:33je skoro ten samý dokument jako nebo hráli má podstatě ho skoro stejné položky
0:09:38liší se pouze tím že elektronicky podepsaný je podepsaný právě nějakou autoritou certifikační
0:09:45musel oznámit poté co je to certifikační autorita to je buďto instituce nebo software
0:09:51záleží jak se na to díváme nebo obojí nebo nic toho
0:09:56která právě podepisuje požadavky a vytváří certifikát je to znamená že ona dostane požadavek
0:10:03něco si udělá takže já tam co vyplní
0:10:06já jsem no já jsem ondřej caletka a vidím tam a tam a ten certifikát
0:10:11chtěl pro šifrování
0:10:12ze nevydržel ta rezerva podíváte
0:10:15tak to jsi ale nepodporuje měla bejt maximálně vystavíme že ste nějaký ověřený uživatel ale
0:10:20to že jste ondřej caletka dva nebo certifikát jedna nashle a videí certifikáty bude úplně
0:10:25jiný za poslední slova dycky certifikační autorita která vystavit ten podepsaný dokumenty se kterým se
0:10:31říká certifikát
0:10:36certifikát může být a kisel sami self signed znamená že ten certifikát je podepsán tím
0:10:42samým privátním klíčem pro který je ten certifikát vystavený takovou ní tam není ho zeptat
0:10:48na nějakou věrnost a můžete tom chcete vydá tomuto věřit jako celku nebo jako celku
0:10:53jako celek ho odmítnout
0:10:54a nemůžete se není nikoho doptat protože prostě ten certifikát nemá nikde
0:10:58stojí úplně samostatně mimo tu celou délky veřejného klíče
0:11:06pevný bod úvěry
0:11:08to je právě toho co má to je to že se hodně mluví silikonové certifikát
0:11:11je ve třeba probudíš i
0:11:14pro sou certifikát které jsou obvykle se les se ofsajd
0:11:18a jehož věrohodnost byla nějakým způsobem jiným ověřena takže ten certifikát
0:11:25ten certifikát obsahuje ten certifikát nějakým způsobem k sobě dostanete a nějakým způsobem dojde k
0:11:34tomu že vy sami nebo aspoň váš počítač o tom certifikát utvrdí teda certifikát vím
0:11:41že je ten správný a vydalo ta správná autorita
0:11:44jak se to spratci jak stav praxe jistě no obvykle vám to příjde z instalaci
0:11:49operačního systému nebo s instalací
0:11:51ty instalací nebo jo pro výše třeba
0:11:56není to úplně ideální protože samozřejmě pokud vám to přijde sou internetu a pokud ten
0:12:00internet době to vám to přišlo byl nějak zkompromitoval me nebo tam byl nějaký útočník
0:12:05tak je tam je tam jisté riziko
0:12:08že byste mohli důvěřovat něčemu čemu nechcete
0:12:11a to je jeden s těch problémů současného opékání modelu který se nějak snaží řešit
0:12:17ale
0:12:20ale obecně tenhle systém funguje poměrně dobře jo třeba když dojde ke vytipněte bys komentované
0:12:27síti tak obvykle to není takže dost opereta jestli tě přijdete hnedka s novým počítače
0:12:31ležela instalovat nezkoordinované síti a toho tam jsou jednotek úřad obvykle
0:12:36většinu času ste na čistém internetu bez žádného bez žádné kompromitace a jenom jednou za
0:12:42čas se dostanete někam do sítě kde nás někdo se snaží provést nějaký podvod
0:12:47a pro ten účel
0:12:49tak důvěra
0:12:50chtěli pevné body je poměrně dobrá
0:12:53tak a řetěz mluvili poslední pojem to už jste se asi odvodili to je ta
0:12:57sekvence která začíná dejme tomu pevným bodem důvěry a tebe důvodů byli vystavil certifikát pro
0:13:03nějakou mezi lehno autoritu
0:13:05ta by stála certifikát pro nějakou další mezer to autoritu
0:13:09a
0:13:10na další neznáte tačová vystavila ten certifikát proto konečnou proto konečnou jestli tu se na
0:13:16to co vás zajímá
0:13:18takže adame celý řetěz musíte mít kompletně dispozici musíte ověřit všecky ty podpisy a když
0:13:25eště si ověříte tak máte celkem dobrou jistotu
0:13:28že za předpokladu toho že pevný bod důvěry opravdu je důvěryhodný tak máte dobrou představu
0:13:36předpokládat že i ta koncová entita je dostatečně důvěryhodná
0:13:43tak
0:13:44a teďka se podíváme na to co ty autor je copy autority vlastně dělají nastěhovali
0:13:48ten byznys
0:13:49tak
0:13:49autorita
0:13:51ověřuje
0:13:52tak
0:13:54to jak to bylo vymyšlené systém legální je v tom že ta certifikační autorita ověřuje
0:13:59že ta entita která se ten certifikát žádá tak opravdu existuje a je tou která
0:14:04se vydal takže když došlo že když ale já jsem ondřej caletka chtěl bych certifikát
0:14:10tak jo nějaké pořádné autority nějaký pořádný certifikát
0:14:14tak oni po mně budou chtít budu chtít vidět aspoň dva nějaké doklady možná i
0:14:20rodný list možná jedinej nějaký výpis z matriky že opravdu sem se narodil
0:14:24a že jsem teda ten a že nejsem nikdo jiný
0:14:27a provedou nějaké pocit že poměrně důkladné ověření když budete chtít čas certifikát vystavený na
0:14:32organizaci
0:14:33a budete chtít ten nejlepší se ten externí validation ten poznáte tak že vám zezelená
0:14:38adresní proužek v prohlížeči tak
0:14:41takový získání takového certifikátu není vůbec triviální protože
0:14:46musíte předložit několik výpisů jako z hospodářské komory s obchodního rejstříku všude kde nás nějak
0:14:53vedou ty všechny výpisy musí mít naprostém souladu může se vám třeba stát my sme
0:14:59to nedávno řešili na u
0:15:01že naše adresa dvě máme hlavní vchod
0:15:04tak byla špatně zaměřená v mapách a některé organizace mě na uváděli adresu zikova dva
0:15:10a některé zikova čtyři
0:15:11a tohle je třeba nepřekonatelný problém je když nastane tak prostě ta autorita se zasekne
0:15:16a nebude tohle si nejdřív spravte a pak vám vydáme certifikát pro tu správnou adresu
0:15:20prostě musí vymýšlet lety
0:15:21doklady v pohodě
0:15:22a tak je logické že když taková autorita dělá takovéhle důkladné prověřování že to něco
0:15:27stojí že s tím má nějaké náklady a že to je tím pádem bude něco
0:15:30stát takže ten symbol tří eur
0:15:33je tam naznačuje že to je ta nejdražší varianta
0:15:36no nešlo by to levněji šlo
0:15:39zběžně se nabízí menší stupeň ověření který se jmenuje organization validation
0:15:44což znamená že se validuje pouze tak nějak letmo
0:15:48že ta organizace takže ta organizace existuje obvykle se validuje jmenuje z jednoho zdroje není
0:15:53potřeba tam mít víc těch je víc i nezávislých institucí který potvrdí že daná instituce
0:15:58správně existuje
0:15:59dvacet brigády jsou levnější
0:16:02ale pro spoustu lidí stejně zbytečně drahé speciálně pro nějaké komunitní zájmové weby a takové
0:16:08věci
0:16:09stále zbytečně drahé takže
0:16:13bohužel bych řekl
0:16:15certifikační autority bohužel přišly s se třetí nabídkou která je super levná ale která podle
0:16:23mého názoru a podle názoru spoustu dalších
0:16:25podstatě podkopává celý smysl té infrastruktury veřejného klíče
0:16:29a jsou takzvané doménu dominovaly pět certifikát
0:16:33jsou nejlevnější
0:16:34úplně nejlevnějšího získáte právě třeba zdarma od startssl nebo třeba za devadesát devět korun pokud
0:16:40se po chcete pro komerční účely
0:16:42a
0:16:43takový certifikát
0:16:45vlastně
0:16:46potvrzuje ten se jeho validace probíhá pouze třeba automatizovaný zasláním mailu že na adresu hostmaster
0:16:53zavináč doména pro tu chcete poslat
0:16:55pokud chcete vystavit ten certifikát vám přijde nějaký autorizační kód který musíte někam napsat
0:17:00nebo musíte vystavit nějaký speciální soubor na tom webu který chcete
0:17:04který chcete registrovat a
0:17:07přepnete při takovéhle validaci vlastně je
0:17:10se neověřuje vůbec kdo na tom konci toho drátu stojí ověřuje se jenom že ten
0:17:16člověk který žádá o ten certifikát je zároveň schopen
0:17:20je zároveň schopen ovládat tu danou mailovou adresu tu danou doménu
0:17:26to znamená že to znamená že tu chvíli
0:17:30pokud
0:17:32když se vrátíme zpátky k čemu ten certifikát je dobrý ten certifikát je dobrý k
0:17:36tomu aby když vám někdo vůbec se postaví mezi vás a zbytek internetu
0:17:40a začne dělat útok typu prostoto člověk uprostřed
0:17:43a bude vám bude váš šifrovaný provoz přesměrovávat někam jinam
0:17:48je pro tu danou doménu
0:17:51pokud takovýhle útočník na vás otočí
0:17:55a je schopen takovéhohle přesměrování provozu což není vůbec jednoduché ale za účinností to je
0:18:00možné udělat
0:18:01tak pravděpodobně takový útočník nebude mít problém stejným způsobem přesvědčit i tu certifikační autoritu že
0:18:07ovládá tu danou doménu případně že ovládá tu danou mailovou schránku
0:18:12takže on si klidně může nechat vystavět naprosto platný doma invalidy certifikát od libovolné certifikační
0:18:19autority která nabízí
0:18:20jo
0:18:23to je asi největší a ten zásadní problém je
0:18:26že většina uživatelů vůbec nepozná rozdíl mezi domy kvality tohle zjišťovali ty externí kvality certifikátem
0:18:33mimochodem
0:18:34kdo poznáte extended valí certifikát ruce
0:18:39ano zelený pruh správně tak si všimněte až votevře nějakou banku jestli má zelený pruh
0:18:43a tak visela na přímo napíše název té instituce
0:18:48mám ukázat
0:18:50ukážu jestli pude internet tak já ukážu
0:18:54co máme třeba
0:18:55prostýho
0:18:57to je možná neplacená reklama
0:18:59ale jakási celá ta léta
0:19:03jo tak si ho má
0:19:05vlevo
0:19:07aspoň vidíte že rozhodně jsem zákazníkem takže to nemůže byte
0:19:11a vidíte takže tohle externí dva lišíme že víte že ten pomůže takle zelená a
0:19:15jede přímo identifikace to souvisí s tou
0:19:19kdežto vy se podíváme na normální dobrým kontrolovali ty certifikát
0:19:25třeba
0:19:26tady ve s certifikát o jean to tak s
0:19:33dobře
0:19:41open a to je lepší nápad
0:19:47je tam ušli staví se říká
0:19:50to vyzkoušíme
0:19:53možná ve vile ještě
0:19:58no
0:20:02tak ty různý názor zrovna ty přesměrujete tak nevíte takle vypadá úplně normální chcete certifikát
0:20:08ale s touhle ceny vydá teďka vůbec nepozná potom vidět
0:20:12tohle certifikát vůbec nepoznáte jestli je
0:20:15do bejvali ty nebo odlišovali nebo něco jiného aby se to poznali tak musíme podniknout
0:20:23ani tak leda spojení
0:20:29ve spojení není velení
0:20:31informace o certifikátů a tady vidíte že organizace je to máš s
0:20:37prostě takže vidíte že to je zřejmě ňáký certifikát kdybychom nazval h a personál a
0:20:42identity validity kvality pojmy jsou si měla k tom našem rozdělení je to takové certifikát
0:20:49a
0:20:52tohle je tohle věc kterou nikdo nedělá při si do to zvláštní viděla že byste
0:20:57se takle dívali jak je ten certifikát vystavený
0:21:01no dobře no tak se světlá vyjímka málokdo to dělá podstatě jako rozhodně
0:21:08zato naopak spousta je legitimní služeb prostě ji mít rádi těch devadesát devět korun za
0:21:13ten by dobejval jede certifikát nemají validní certifikát vůbec žádný takže ještě mnohem horší situace
0:21:19protože přitom ten pro lidi žádná
0:21:21a pak je tady ještě ta úplně speciálně stejný situace že máme české certifikační autority
0:21:26které jsou dokonce státem
0:21:28akreditované k tomu aby vydávali aby vydávali certifikát je pro českou jako cena jejich podmínky
0:21:36sou
0:21:37v některých ohledech možná jestli jejichž ještě obecně podmíněně certifikační audit vydávají validní certifikáty nicméně
0:21:43styl státní lety autority nejsou schopné dostat se mezi ty důvěryhodné to neboli důvěry takže
0:21:49pak když přistupujete i na státní věznice
0:21:52jak oni mají ty certifikáty které
0:21:54na první pohled nejsou důvěryhodné aby byly musíte si mi
0:21:57sami jako uživatele nainstalovat do svého pro mě že nějaký jejich kořenový certifikát autority a
0:22:05ještě na internetu nejsou návod jak takovou věc dá bezpečně protože stáhnout pořádný certifikát uvedete
0:22:10po to samozřejmě rozhodně není něco co by se dal doporučit
0:22:14nahoře letos z nějakého jiného certifikát to už trochu lepší
0:22:21tak teď se dostanem tom představení startssl tečka com to je
0:22:27nízkonákladová certifikační autorita nestihnete izraeli
0:22:31je zařazena mezi důvěryhodné autority uhozené i jinde to znamená že na pros
0:22:37naprosté většině platforem není vůbec žádný problém s tím používat její certifikáty aby se tváří
0:22:43jako důvěryhodné jsou důvěryhodné jsou důvěryhodné na linuxu jsou důvěryhodné defakto suma windows všude
0:22:51pro nějaký obskurní mobile celej taky
0:22:55kromě nějakých školních
0:22:58speciální platforem kde občas ty konec certifikát jsou nějaké staré verze tam teda existujou dva
0:23:04tisíce tři
0:23:05teď už má nějakou story za sebou
0:23:08pro obchodní model hele autority
0:23:10spočívá v tom že oni reflektují náklady na ten daný úkon a
0:23:19to znamená že se platí nikoliv za certifikát protože vydání certifikát úplně podstatě žádné náklady
0:23:25nepředstavuje
0:23:26vydání certifikátu je
0:23:27operace má jsem kluci já se prostě já jsem to takhle udělá certifikát cíle
0:23:34ne je i co projednávat náklady představuje tak je validace
0:23:37protože validace je to co to co je stejný víc peněz
0:23:41nicméně pokud chceme jenom ten d v certifikát nejjednodušší je tam ta validace je tak
0:23:46je možný provádět plně automatizovaně bez asistence lidského slovy a tu chvíli je jsou jiná
0:23:51tady taky blízké nule
0:23:53pokud odečteme nějaké režijní náklady že to tak a proto a to je právě ta
0:23:58velikánská míra starce sedl starce s nabízí tyhle ty domy invalidy ty certifikáty zdarma
0:24:05takže můžete mít potom máte nějaký komunitní ne
0:24:07můžete na něj mít klidně se zvolením certifikátem byť jenom dominovaly ale rozhodně lepší než
0:24:14aby tam byl nějak mě důvěryhodný je potřeba se ofsajd certifikát
0:24:19jaké jsou podmínky té smlouvy nabídky zdarma takže pouze komerční účely pouze
0:24:24pro držitele doménu druhého řádu to protože tam
0:24:28a ještě ne úplně všem dovedu řádu ale některé je z některých to pro nové
0:24:32to protože taky tam probíhá automatizovaná
0:24:35o validace pomocí databáze takže
0:24:38třeba víte že cz nic státy novej cz provozuje vůli s tečka nic tečka c
0:24:43z nemá dispozici informace o tom dobrý tu danou doménu a tam se taky automatizovaně
0:24:48kontroluje že věc soudu ten popis žádáte tak jste vlastně zároveň nějaké vztahu k té
0:24:54doméně
0:24:55a protože všechny to provede takové různé nabízejte všechny
0:24:59tak není možné použít libovolnou to byl lomeno ale takovou která tohle nabízí
0:25:05ta nabídka je tak nějak omezená možné technicky ale
0:25:09víceméně s komerčních důvodů aby se lidi nekupovali něco co je na peníze ale nepoužil
0:25:15to zlomilo takže je prostě komerčních omezení je že
0:25:19máte k dispozici pouze jednou nového méno třetího řádu jako třeba ve v tečka
0:25:24moje doména dneška cz
0:25:26a plus ta celá doménu druhého řádu device triatlonista na dvě jména na ve moje
0:25:31doména cz a na moje doména cen
0:25:34a žádné další příklady můžete přidat
0:25:36těch certifikátu si můžete byl vyrobit neomezené množství to je poměrně nízké
0:25:41a ale já jména nemůžou vina stejně jméno
0:25:44a pak os toho certifikátu
0:25:46je jeden rok
0:25:48tak důležitá vezmete je potřeba upozornit
0:25:51de vo praci certifikát o pokud ten certifikát ztratit oni privátní klíč
0:25:55ahoj kde se že by open tím páni neumí r v obraze stojí dvacet pět
0:25:59dolarů je to se přesně ten obchodní model nízko náklonnost k i kde se reflektují
0:26:04náklady kolik je a nebo práce
0:26:07je asi nejnákladnější operaci filtrace vy víte že jo to je tam musí provádět protože
0:26:11musí udržovat servisem opačnými seznamy které mají poměrně velkou návštěvnost velký trafik generují a čím
0:26:20vyšší ideu naší seznamy sou tím s a je tam ten problém horší takže ano
0:26:43přesně tak pokud ho ztratíte sami tak stejně byste ho sháněl evokovat jo ale
0:26:51ten jeden důvod proč vlastně ta demokracie je drahá spousta lidí kuli tomu jakoby dělaní
0:26:56gating a takhle pusu u jak si můžu dovolit nechat si zaplatit za demokracii ale
0:27:01o to prostě přesně reflektuje ty náklady na kvalitu tam opravdu a jsou poměrně opodstatněné
0:27:07jiná věc je že
0:27:12ano
0:27:23jasně dotaz zněl jestli je možné jest nemožné vystavit certifikát ještě před koncem před koncem
0:27:29platnosti toho původního
0:27:30je tam nějaký interval myslím že týden před koncem to původního je možné vystavit na
0:27:34stejné jméno líbí certifikát
0:27:37ale všimněte že varovat si sem nikdy nezkoušel takže tam je to přesně funguje
0:27:42deregulace ale pokud na sebe navazují na certifikát i tak čtrnáct dní před koncem platnosti
0:27:47ten certifikát vaším jménem upozornění a když to stejně přesně tak vyrážíme to upozorníme to
0:27:52eště vy je znáte ten certifikát ještě platný
0:27:55ale když si počká ten týden tak týden před koncem už to de
0:27:58vyzkoušeno levně takže to jako tady provozovat
0:28:06tak to se týkalo nabídky ssl certifikáty pro nějaké ty webové služby pak je tam
0:28:11ještě druhá nabídka pro a jestli má jen suše to šifrování elektronické pošty a podepisování
0:28:16elektronické pošty která ještě trošku benevolentnější tam je to funguje pro držitele libovolný mailové adresy
0:28:23prostě zrádnej mejlovou adresu
0:28:25a oni vás ověřil automatizovaný len a následně vám vystaví ten certifikát na tom ímejlu
0:28:31adresu ale bez jakéhokoliv ověření totožnosti
0:28:35praze na jeden rok
0:28:37ano si můžete mi je libovolné množství pro různé adresy
0:28:42tady ještě zajímavá ta věc ve které se říká web of která ste který je
0:28:46takový jejich vynález
0:28:47takže
0:28:48vy můžete
0:28:50potkat nějaké notáře
0:28:54nějaké notáře startssl je nyní jsem spoluvlastní třeba já
0:28:59když potká a ty na ty mentální se před dataset je mi se dvěma úředně
0:29:04vydávání mi doklady totožnosti
0:29:06a se voni vlastně se píšou s vámi notářský zápis a potvrdí ve nějaké webové
0:29:13znamená webové stránce ztrácet co židé
0:29:16že jste to skutečně vy a pokud takle navštívit je dvanáctá
0:29:20a garáže odpovědí se tak skutečně jmenujete tak
0:29:23si můžete takhle svůj certifikát vystavený na jinou adresu sami dva tak aby pro něj
0:29:29minule mně se obsahovali vaše jméno příjmení
0:29:32téhož
0:29:32zase
0:29:33otázka kdo se do vás je někdy podíval podepsanou bylo to komu patří ten certifikát
0:29:38pověst a málokdo
0:29:40ale když se někdo podívá jakou no certifikát najdeš vestaven na nějaké jméno a příjmení
0:29:45kde je to pro ně rozhodně vod nich informace když pokud měli najde že byl
0:29:49vystaven pro mailu adresu
0:29:51protože
0:29:52co už znamená že tam došlo k nějakému ověření totožnosti
0:29:56to je živej těma dvěma notáře
0:29:58ale eště možná jak se stát notářem tak a minutka si natáhne se může stát
0:30:03jedině takže si zaplatíte validaci právě osa co se o tu se udělal třeba já
0:30:11protože mně to přišlo nějakého důvodu výhodné
0:30:13když si zaplatíte validaci to stojí od nich šedesát momentálně co jako dvanácet sou a
0:30:19pak máte odstraně to omezení na pouze jedno jméno certifikát mezi stavy certifikát i pro
0:30:25více jiné na ulici vystavil konci certifikát na hvězdičku
0:30:29to se může hodit a město třeba hodilo právě provede vyšší ceny který používá nějaké
0:30:33subdomény u nějakých testů bude dnes a tam prostě by bylo nepraktické mít pro každou
0:30:39sudou samostatný certifikát
0:30:43tak praktický postup jak s tím startssl pracovat takže úplně první co musíte udělat je
0:30:49získat sme certifikát pro
0:30:51svůj vlastní mejlovou adresu protože pomoci to vezme certifikát ze přihlašujete k tomu jevovému rozhraní
0:30:56používají takové to přihlášení certifikát když naznačil že to jménem a heslem jako do všech
0:31:02ostatních jevů
0:31:04to musíte zvažovat vývojové protože má menší automatický myl který povel psala o zadáte na
0:31:11tebe
0:31:13papež sama že získáte ten svůj vlastní osobní je svém certifikát
0:31:16tak
0:31:18uděláte validaci doménové jména to znamená že zadáte doménu pro kterou chcete dobře lomeno pro
0:31:24ten chcete vystavit certifikát
0:31:27a vono vám velemíně kam chcete tu kazetu to validační jiného poslat na ulici vrat
0:31:33se davídek hostmaster post vás nebo ve dvanáct zavináč doména
0:31:37případně eště pokud najdete můj s ňákou další adresu ne vámi nebaví mě taky a
0:31:42rozhodně si můžete sami účet tam to ukradený a pošle po zlatu zásadní problém bezpečnosti
0:31:47toho systému
0:31:49další krok třetí je že nějakým způsobem vydělit žádost o certifikát
0:31:54můžete to dělat na tom webu přímo užíván podmíněný privátní klíč a pak vám ho
0:31:59pošlou a tvrdí že oni než oni neukazují ale provokuješ ty měli byste jim věřit
0:32:05no ale
0:32:06dobře no mně připadá
0:32:09po něco bezpečnější a ty jednodušší vygenerovat si žádost lokálně na počítači tady klíčový dělejte
0:32:15přímo to místě kdo bude chtít používat ty víš nikdy neopustí ten počítač na kterém
0:32:20vygenerovat
0:32:21jo odešlete tu žádost
0:32:23a zpátky se vám vrátí certifikát
0:32:28je to ten systém je takový ne úplně deterministický takže
0:32:32nestejnými podmínkami se vám může stát že pošlete žádost a certifikát snaze spát opravdu obratem
0:32:39a nebo se vám můžou úhlu napsat že provádí nějaké lepší nevím vaše vaší žádosti
0:32:44a že ten certifikát vystavený do několika hodin
0:32:47takže obojí je možné
0:32:49a je to připálit že tydle návaly velice volal jsem paušální
0:32:54já du jako
0:32:57posloupnost
0:32:58nebo ňáký vzor
0:32:59pravidlo
0:33:03tak jak vygenerovat žádost takže pouště svůj oblíbený postup
0:33:07takže byste žádnou líbení nemějte kerej je tady dole na tom slajdu který používám já
0:33:12je to
0:33:12použití nastoupil co se o ten na hromadu možností hash šulc možná ale
0:33:20jen tak ve zkratce tak procesor rekul je vlastně aktivace toho uzlu který dělá requesting
0:33:27neboli požadavky
0:33:28nějaký znamená chtěl bych věnovat nový klíč
0:33:31jaký klíč ale základní ještě za vosum taková dneska standardní volba vadí když něco sumy
0:33:36původní nesá klíč
0:33:38mínus nové střední rizika nepřeji si aby ten klíč byl šifrován standardně ten privátní víš
0:33:43ještě zašifrovat asymetrickou šifrou
0:33:45a chce po vás heslo abys to rozšifrovali
0:33:48to je sice hezký bezpečné let praxe je to celkem nepoužitelné pokud byste chtěl pro
0:33:52webový server nebo jiný server který většinou startujeme sou slušně protože
0:33:58většina web se buďto to vůbec nepodporuje šifrovaný privátního klíče a duše vodpoledne to znamená
0:34:03že při startu sem tam musíte uměj se je a za tomu plesko konzole
0:34:08jo ale takže se vyučuje používá takže já generuje ten klíč od nuly šifrovaný do
0:34:13upřímně všechno dnes
0:34:15přepínač tý aut potom bootuje tam vypadne ten privátní klíč jako sou úpravy teďka pojem
0:34:21a přepínač a říká kam vypadne ten požadavek
0:34:26a
0:34:26během toho generování touhle ze salz vás užije stojí udělali docela takže ta takové to
0:34:31jako
0:34:32jaké z jaké jste státě v jakém ste městě jak se jmenujete a takle tak
0:34:37tam doporučuju the project international to přestane protože to je úplně jedno jsou přesně ty
0:34:41volby té si vyplníme té žádosti lze technika
0:34:44ale stát se slzy ste žádosti lze tedy dát vezmeme ten veřejný klíč a všechny
0:34:48ostatní věci zahodí
0:34:50takže vy si tam klidně můžete krásně vyplňovat jak ste prostě ředitel zeměkoule já nevím
0:34:55co všechno a prostě stejně jako máte není úplně stejný vliv jako vy budete držet
0:34:59render
0:35:04tak nainstalování certifikát takže pak dyž projdete timletim kolečkem u toho tak zase o taková
0:35:10vypadnou tři soubory jeden se menuje privátní klíč je ten který střeží a nikomu nedáme
0:35:17je žádost o už nepotřebujeme že bychom potřebovali někoho sme si mírnou jmenovat s tou
0:35:22privátního klíče existujícího
0:35:24nebo s certifikátu protože potvrdí neznáte vás nezajímá ten veřejný klíč
0:35:30a
0:35:31pak je na ten certifikát ten nám ta certifikační autorita mu to návratem nebo jsou
0:35:36stále později a ten já se veřejný ten kdo si ho stáhnete úplně jedno
0:35:41a ten bude taky potřebovat a teďka
0:35:43co bude potřebovat navíc pokud nám tady vystavovat přímo nějaká autorita která je zároveň pevným
0:35:48bodem důvěra což se nestane téměř nikdy
0:35:50budem potřebovat ještě mizerné certifikáty které doplníte cestu o toho pevného úvěry k tomu našemu
0:35:57koncový certifikát
0:35:59případě starce sou je to jedna ve zlém autorita která se jmenuje start tak po
0:36:04vás vám
0:36:06hele certifikát normálně stáhnete s například zikova stránek
0:36:10a
0:36:12pak ten cel jsem certifikát obecného důvěry
0:36:16většinou nepotřebujete ten nemusíte posílat přitom jen šiku
0:36:21protože tím že ho pošlete tomu klientovi tak ty úvěru něm jako nezvýší té bud
0:36:26touž předem objednat a blázna
0:36:29a nebo mu nedůvěřuje tak nemožné a pak ho nepřesvědčí dědinů pošlete myslel jsem
0:36:33takže tady nemáte za pozornost zvětšujete se léčit
0:36:37ale já to online testů které si ukážeme zabil s navijákem mínus o webový takže
0:36:40všude po s
0:36:43no a
0:36:44důležité co bych chtěl jako asi dá se něco jsem zde odnést
0:36:48pokud tedy nenapatinovali jeden web server a device tak dále všechno fungovalo správně
0:36:53tak to neznamená že to dítě od když neexistuje jednotný postup je takovou té instalaci
0:36:57brigádu provést
0:36:59každý den každý ten software se konci bude trochu jinak a pokud budete používat jen
0:37:04postupy se synu naučili na všechny lexémy tehdy budete konfigurovat
0:37:08skončit je přinejmenším s tím že nebude váš besedu posílat celou cestu těch certifikátu a
0:37:13tím pádem
0:37:14vaše stránka nebude úplně důvěryhodná takže proto filtr případně news do firmy google první software
0:37:21jenom příklady abyste viděli je jaká tak estrády mě jako jaké jsou tam rozdíly
0:37:25takže a pak teprve po server potřebuje tři různé soubory jednou soubory privátní klíč
0:37:30do souboru certifikát to je koncové typy a ve třetím souboru certifikát nic nikde je
0:37:36ze mluvili
0:37:37tohle jsou textové takže když potřebujete video souborů spojení dva certifikát jak je prostě capers
0:37:42půjde za sebe textově
0:37:43není je to nic složitého
0:37:47asi že si život vybrat jsou dva soubory a sice jeden soubor svírá tím klíčem
0:37:51a druhý soubor se všemi certifikát znamená jak s certifikátem koncovým tak s těmi mezilehlými
0:37:56certifikáty
0:37:57tak asi konfigura třeba ten ženich spoustu jízda vchod prosody
0:38:02a pak ještě specializace mladí petr
0:38:06sem používal úplně takovou podivnou konstrukci kdy má jednoho souboru privátní zkuste taky stáhnete je
0:38:13tomu provádí lupiči a byla souboru takže děs běs takže vidíte že každý za ten
0:38:18to má nějaký na
0:38:19a vždycky když tam se teda podle mně stačí prostě tam nasypat nějaký klíče ale
0:38:23vždycky to chce se podívat do návrhu kam patří která část nehledě
0:38:27je ty dat které máte
0:38:30tohle je něco co by chtěl hodně já se jako na to bych kladl velký
0:38:34důraz
0:38:35takže vydaný všechno to že máte validní certifikát
0:38:38ještě nic neznamená výchozí nastavení pil jsem nejsou bezpečná se nedá se tajně ten incident
0:38:44s tím publikem
0:38:45viďte rádio zásah nebyl příliš velký
0:38:48tak ale je potřeba říct že
0:38:50když tam spustíte když ten nakonfigurujete ráda toho ssl jenom certifikát je a jinak to
0:38:55necháte
0:38:56žít vlastním životem
0:38:57tak tam pravděpodobně budete mít
0:38:58otevřenou podporu pro zastaralé algoritmy krátkej klíče jako například ssl ve tři která potom jsou
0:39:05zde u možné zneužít právě nějakými útoky jako je tenhleten pohled
0:39:13taky standardně není vynucována forvard cítili si
0:39:17a skoro nikdo tomu rozumí já sem jezdí co tomu nerozumí takže není
0:39:24není prostě v silách běžného administrátora
0:39:27nastavit ssl bezpečně svépomocí
0:39:30musí tomu hodně rozumně
0:39:32a proto existuje taková pěkná kuchařka na stránkách ve ten typ bečka o
0:39:38lidé
0:39:39jednak je tam strašně složitý odborný něco to proč
0:39:42je dobré nastavit to tak jak voni doporučují a pak tam jsou přímo
0:39:46názory které se dají koupit kristova do konfigurací různých vepředu a jiných snímků
0:39:51takže vy to vůbec nemusíte rozumně a oni vám před volili takový rozumný kompromis mezi
0:39:58bezpečností a použitelnosti samozřejmě když pudete po té nejvyšší bezpečnosti
0:40:02tak se vám často stane že oddýchneme třeba staré systémy a tím stále mysim třeba
0:40:07internet spoje šest a window říct ale
0:40:09otázka jestli tohle ještě dvacet let ty čtrnáct nikoho trápit
0:40:15eště tomhle taková cyklisty nebo upřesněno poláci kde si
0:40:20jakým způsobem to funguje ta asymetrická kryptografie se používá pouze pro úvodní výměnu klíčů
0:40:27mezi
0:40:28mezi těmi ty tam je ale následně dojde k výměně
0:40:33jednoho
0:40:35klíče pro symetrickou šifru který se pak že bude celé to spojení problém je že
0:40:40u standardního jen čechů který se používá protože rychlík něco dns či ten víš následně
0:40:45nikdo pozdní získá privátní jsem tak si může rozšifrovat zpět předem nahrané za nadlidi komunikací
0:40:52dopředu si
0:40:54pomocí znalosti do privátního klíče se mu dokáže zpětně rozšifrovat ten session tý nezná ten
0:41:01šifrovací klíč ten ta
0:41:03sezení bylo šifrovaný
0:41:06když máte perceptronové cítit si používají se jí ne algoritmu to výměnu klíčů je potřeba
0:41:10vyklínované ty
0:41:12a takový algoritmus sice dlouhý je pomalejší ale naše popisu líp než angličtinu dělají
0:41:18ale ten neumožní vyzradit to vyzrají ten privátní být ani když později lituje ten privátní
0:41:25cenu nemůže není možné prostě dešifrovat
0:41:29mně je náhradou přehnanou konverzaci prostě vůbec nejde s tím vychýleném protože
0:41:34to je společně domluvený tajní klíč pro tu session ten symetrický klíč prostě nikdo jiný
0:41:41ještě dvě děti které se umí vyznají to je princip toho dětí hromada
0:41:47tak
0:41:48dobře poslyš známku za sekundu ty pět minut nebo kolik
0:41:53dvě minuty
0:41:55máme má menší přestávka tak
0:41:58tak já jsem si naprosto co
0:42:01takže
0:42:02signál pro tebe kde ten problém že lidi píšou to teprve když lezou do banky
0:42:06a měli psát dotaz vládnout to je psát to když tam vzít tvůj těžko dělníka
0:42:11nikomu se nechce
0:42:13očekávají že když je to něco důvěryhodného tak je to samo upřesňuje jo jenomže vono
0:42:17je to přesně o nenosit vyšel přesně dal přesměrování
0:42:21to k němu lokální dešifrovaným kanálem takže původního nerušte přesměrování je třeba ho neudělá
0:42:27tak dochází k ničemu čemu se říká hesel striping se tak to znamená že
0:42:31se ssl zestárne normální let do pro uživatele z toho video nevšimnou
0:42:36a
0:42:38a dochází k velkým problém
0:42:41takže první řešení je přesně nalezen provedete to se mi se to na dobrá stránku
0:42:47dobrý den naše sliby to můj náhled do posl jestli je a takže se tam
0:42:51prosím napište database kdybychom a to nás docela jdou víte co jsme my za i
0:42:55když my sme které šifrovaný
0:42:58druhá varianta je ve se to se to vše hlavička která se přidal tohleto to
0:43:03pro se je to hned do hlavička já řekne prohlížeči že
0:43:08tahleta stránkách mám této chvíle dále být pouze dostupná pomocí represe a proliješ a znáte
0:43:14to automaticky předělá všichni lidi dopadnete posl a dyž na validace potom někdy selže tak
0:43:21on to dokonce ten uživatel nemá dobrou sezonu můžete nedovolí obejít nemění tam už nenašlo
0:43:26takové to vím a zase jiná pokračovat
0:43:30tak
0:43:31jak to všechno testovat rozhodně nebojím pro v něčem nemám ňákou základní test respektive když
0:43:37to ani pro mě že funguje to špatně a musí to spravit ale toho doporučí
0:43:40funguje tak nevíte nic
0:43:43protože technický problém nejčastější nebo si dáte celou cestu certifikátu takže pronásledovaný jako důvěryhodné ale
0:43:51pro jiné lidi se tváří jako nedůvěryhodné protože nemají naučené ve svém bezpečnému ještě ty
0:43:56certifikáty mezilehlé takže
0:43:59celej nástroje a webový tester ssl a zkoušce je výborná věc dostane známku váš šéf
0:44:04podle toho je bezpečně to máte a případně je typ jako zprávy
0:44:09přepněte certifikát jenom upozorní
0:44:11taková věc určitě jste slyšeli jo donese se ku určitě jste slyšeli něco o tom
0:44:16že byl se ku je možné přidávat else záznamy prověřování se tele se na takže
0:44:23tohle můžete soudit a tím vlastně zní si začít domluvili jo to napsaný krásný článek
0:44:28tady o petr proč máte
0:44:29tak nám to vydrží se tam špekové dětem denise přivydělat si certifikát
0:44:36závěrečné rady šifrování nikde soužití znamená že
0:44:40šifrování rozhodně že nejvíc procesorů že neví baterku tím pádem uvolní zařízeních
0:44:45stěžuje použitelnost pro předsedu
0:44:48když máte třeba autobus my máme kvalitní připojení a má pro při se bude když
0:44:51máte toto se o tak ten pro sebe nebude fungovat protože
0:44:55nepoznali se tři lidí ve na stejný nevyšel jsou každý má svůj šifrovanou verzi
0:45:00a
0:45:01a nebo u nefunguje také vole optimalizátor jako třeba chromá mobilních rovná optimalizátor že ten
0:45:07chodí přes procesem viď úlety ten server nějak ten mbed obsah nějak zmenšují aby byl
0:45:12lépe použitelné mobilu no a
0:45:16podle mého názoru nemá se zobrazovat else na tak jaké jsou neperova zavázané
0:45:20a nemají žádné osobní údaje
0:45:22jako třeba linux nejste naopak
0:45:26tak protože tam je podle mě vod heaviside bude prosazovat jestli ste doprovod dotaz
0:45:32aby fungovaly obě varianty jo bezproblémů je dobré používat odkazy které mají silný začátků tím
0:45:37pádem vlastně se automaticky provizorní buďto schéma hned po se pokud je na to prosela
0:45:42nebo budete po
0:45:45aha už sem říkal vy zkontrolujte jestli posílat chci říci že ty zuby tak to
0:45:49je horní eště asi jsme trochu přetáhli takže úplně jestli máte nějaký dotaz tak přičte
0:45:55jestli je stejně účinné zastihnete
0:46:01přednáška ušije teďka dispozici na webu a ne selinux že jste nás normálně moje adresa
0:46:08ou co to bylo by to zas vo jo já jsem do škol něco špatně
0:46:14tady arabela nemá je ondřej liška celé které přehled přednášek a pan pelta se taty
0:46:19pdfka puse dokonce i záznam z mínus dataset lety říkal
0:46:23trochu jinými slovy ale v zásadě totéž
0:46:25takže
0:46:26jo tady zóny klikací může se na ně podívat jestli si
0:46:30jako ji
0:46:31děkuji