0:00:15dobré dopoledne takže mně slyšíte
0:00:19moje přednáška se s program bojovala bezpečný měl bezpečnější díky kterým
0:00:25dane já jsem ondřej caletka že jste slyšeli
0:00:30jasný jako je strýčku přejmenoval a
0:00:33slovo bezpečný se nahradil slovem bezpečnější to s toho důvodu že vlastně
0:00:39bezpečných sobě evokuje že jde o jako finální stav
0:00:43a ona nikdy nejste uplně bezpečně vždycky jako je co zlepšovat takže řekněme že to
0:00:49bude jenom takový jako bezpečnější
0:00:53a že nějaké příchozí jak natož nebo natahovat
0:00:57takže jde o to jde o to že maily všechny používané
0:01:02a že je možné že bychom je mohli třeba používat bezpečný ale ještě nějž začnu
0:01:09volit oni mailu
0:01:11tak tady mám takový povinný
0:01:12slajd který ukazuje
0:01:15o sdružení se své ze kterého přikláněl kterém pracuju sdružení se set je zúžení dvaceti
0:01:21šesti českých veřejných vysokých škol a akademie které provozuje národní síť vědy a výzkumu co
0:01:27se ten národní síly výzkum to je dejte infrastruktura kterou tady vidíte
0:01:32nejsou všemožně optické kabely natažené přes celou republiku máme ohromnou kapacitu linek ale nedělá nerozhodně
0:01:40jinou síť děláme i
0:01:42děláme i další projekty které s tím více či méně souvisí takže třeba máme oddělení
0:01:47síťové identity které zaštiťuje projekt nebudou
0:01:50co šelu ming wifi který určitě znáte mezi univerzitami
0:01:54máme stejně obdobně and uvádí frejerova row identitu byl přihlašování jednotné přihlašování máme vlastní certifikační
0:02:01autoritu
0:02:02máme bezpečnostní tým u střelec který vyvíjí vlastní nástroje jako mandl máme na menta co
0:02:09jsou nějaké expertní systémy na řešení bezpečnostní zezadu máme dokonce forenzní laboratoř která dokáže analyzovat
0:02:17iluze málo li
0:02:19na speciální certifikaci máme oddělení výpočetní židů že si kde může počítat nějaké ohromné operace
0:02:26nenese metacentrum a zní nedávno vyčleněné oddělení datových úložišť se s nedá také které umožňuje
0:02:33podstatě každému uživateli s akademického vlastně užívá datová uložiště
0:02:37máme systémy vlastní systémy a dohled takovéhle infrastruktury za svoje práv a máme tak je
0:02:44třeba oddělení multimédií které například jeví systém který jsme utratili troše open sousloví software ne
0:02:50nízkolatenční před video všeho si ve vysokém rozlišení
0:02:53takže by jste viděli že cesnet rozhodně není jenom síť je toho opravdu hodně
0:02:58a bylo by teda samostatnou přednášku tak a teď došl bezpečnějším umyju
0:03:02elektronické pošty všichni víte všichni používáte víte že to protokol který je nebo věc která
0:03:07je starší než internet elektronická pošta je vystaven řízneš když existoval vůbec protokol tcp ip
0:03:14a nicméně za tu dobu co existoval tak měnila ty protokoly tým se přenáší a
0:03:18na tom internetu se používá protokol ty jsem sem tp je to se znamená simple
0:03:25mail pracovat jako seš když
0:03:27jistě ne jádra pro pokud stejný vyřešené nějaké věci jako třeba zprávy a také myslíte
0:03:31že vám to pak tak uši jsem to jako není šest let trochu mimo
0:03:35ale co je důležité říct achieved rajská pošle založena na principu přepojování zpráv hobla jeho
0:03:42který by tu zprávu napíšete někam předáte odtamtud se předá někam dá a pak se
0:03:47předá zase někam dál a pak třeba do pude do cíle a
0:03:51důležité je že důležité je že
0:03:54vlastně ušli kdysi dávno kdy jsme se učili s internetem devadesátých letech tak se prostě
0:03:59že ta taková poučka vždy milník stejný neni psát něco byste nám se na zadní
0:04:03stranu pohlednice protože prostě testy zprávy sou vlastně otevřené
0:04:09a kdykoli se můžete dostat do nepovolaných rukou no ono to tak úplně není že
0:04:13by to mohlo číst úplně kdokoliv když se podíváme na to jak se nejběžněji nejběžnější
0:04:18neruším tenhleten tak máme vlastně většinou ty je entity které ten ímejl mohou číst po
0:04:25cestě sou štyři ten obrázek je z wikipedie
0:04:28
0:04:29takže tady vidíte že vlastně někdo kdo napíše výměna nějaká alice
0:04:34nebo napíše a nějaký způsob všechna sudému
0:04:38je se mnou který první matouš to vodeslat ten i pro ní odešle nějakému se
0:04:43mu příjemce tady ještě tady je se počítat boba který se dost toho sedumnáctýho přestane
0:04:49kterou lze protokolem po při používáš někdo zas pro to bylo při
0:04:52to je taková věc z minulého tisíciletí ano při že se správně na té
0:04:56jako vidíte že no
0:04:59tak je to bývalo asi to patří do historie má to svoje místo v historii
0:05:02podobně jako třeba já ze zdic osumdesát jedna tak
0:05:07no
0:05:08takže případě takže není takže když se měníme no a když si uvědomíme vlastně kde
0:05:13ty se vyrobit leží tak touhletou samo o sobě není zas tak špatné protože
0:05:18možná naivně předpokládáme že ty počítej ty lidé ty počítače těch lidí jsou jejich mírným
0:05:24l majetkem a tím pádem na nich nějaké odposlouchávání nehrozí to jsem ale naivní co
0:05:29a
0:05:30že ty servery
0:05:32povětšinou třeba ten server a dalece bude patřit nějakého nepřikrátil velmi s na ulici a
0:05:38ten serverové bude patřit třeba nezítra zaměstná voba takže vlastně nikdo kromě alice a její
0:05:44organizace a voba jeho validace
0:05:46by se to je uplně jako neměl mít možnost dívat
0:05:50teoreticky
0:05:51takže kdo může poslouchat nové se odesílatel ten server příjemce růže
0:05:55dojdeme k tomu jsem rád server že jí vlastně podle všeho lišit romaně a kdokoliv
0:06:00té vysokoškoláka beru které se právě se ukázaly takové bůčky skutečně jako asi existují
0:06:06a nejspíš linka nahrává pak otázka se taky no čte já si skoro myslím že
0:06:11vtom objemu je to dost problém
0:06:12ale můžou existovat
0:06:16ten pán soudem který s tím přišel tak vyvolal spoustu reakci jedna z nich je
0:06:21ls céčko který zrakem rebece ve sta osumdesát osum
0:06:24a které takového dni to make up rizik monitoring je ze na tak to znamená
0:06:29že to všemocné všeobjímající sledování je útokem
0:06:33a měli hele to takovej navrhovány tak aby
0:06:37aby tenhle útok byl znesnadnila vámi techniky to znamená nikoliv znemožněn ale znesnadňovaly co to
0:06:44de
0:06:44a nejenom návrhových protokolu měl kdy mi líbí
0:06:47takhle vlastně navrhovány i nebo já si myslím že by ta kniha milovaný stávající služby
0:06:54kde je to jenom trochu možné tak
0:06:56co vše třeba ten ímejl
0:06:59nim jel tedy můžeme nějakým způsobem zabezpečit a soudnej takové dvě základní kategorie
0:07:06to co bychom asi všichni chtěli a co je uplně nejlepší věc je eventuelní to
0:07:09znamená že na tom prvním počítači té alice ste zpráva zašifruje nějaké šifrované podoby té
0:07:16nebude nikdo jiný rozumět nečte
0:07:17boku svého počítače a po cestě to bude nějaký znatelný guláš chtěl protokoly existují existuje
0:07:23řadu let normálně fungují
0:07:25není se mu to je to teda i na s tedy standard kterýmu se říká
0:07:28jestli má je máme
0:07:30nyní nově je to kritice jestli to graf idnes h syntax
0:07:36nebo ten vedlejší ty tady používám a infrastruktury veřejného klíče
0:07:40nebo ten jakoby alternativní systém p g p který nejde oblíbený protože má tu síť
0:07:46důvěry ve po vkrást
0:07:47tohle funguje jestli je to velmi bezpečně
0:07:50máte zásadní problém je to nepoužívá
0:07:53respektive nikdo nebude abych byl přesný používají to používají to třeba tady slajd používá se
0:08:00docela dobře korporátní prostředí a víte proč taková ta věc která donutila lidí který rádi
0:08:05aspoň podepisovali svoje jinejch korporátní prostředí je ta
0:08:09že oni zjistili
0:08:10že vím právní oddělení na žílo
0:08:12na jejich firemní mail server a konfigurovat po že když omylu se přiloží asi dvou
0:08:17odstavců právní doška že tento není dále nové smlouvě a že veškeré informace jsou důvěrné
0:08:22a uplně nejlepší to měli se stalo posledně jsem potřeboval bych sou nějaký mail
0:08:27od sebe vykysnu přesně a dva listy papíru avantgardistovo vyrobil za nenapsal pomyslete lepší rouše
0:08:32cvičení tohoto mailu do vedení řádek ty jsi výsledek druhý papír kteří kátého blízké leták
0:08:38a
0:08:39zaměstnanci velice rychle přišel to že pokud mají asi má jen se ve firmě na
0:08:44shození a pokud svůj tým jeho podepíšu pomocí hesla je na svém počítači tak tedy
0:08:48poštovní server oni může přidat tu patičku protože vy poškodil ten podpis
0:08:53takže to je hlavní důvod proč dneska zaměstnanci korporátní prostřední podepisují sujeme pomocí je slajd
0:08:58takže aspoň k něčemu je to dobré horší rušený si řekneme dobře tu změnu to
0:09:03je přesně zajistil autenticito leoše to problém ste šifrování protože u šifrování vy potřebujete znát
0:09:10veřejný klíč té protistrany
0:09:11na tohle bohužel není do dneška pořádně vymyšleno
0:09:16vy prostě nemáte snadnou přijde dost jak zjistit že protistrana používá nějaký nějaké šifrování že
0:09:23když pošleš rozpravu lidí že ji rozšiřuje
0:09:25a nemáte šanci zdi je typem ženy veřejný klíč obvykle jediné do co funguje že
0:09:30ta první strávím pošle podepsaný milá byla na každou podpisu sis toho viděli teda veřejný
0:09:34klíč
0:09:35a pak může titulek ničem podepisovat
0:09:38ten další problém je že
0:09:40další problém je že spousta lidí sketch teď mi jej včetně mě na více zařízení
0:09:44včetně takový věci jako mobilu a ták a i když já jsem schopen všímat šifrované
0:09:48jména jsem schopen že bez víme že fajn je pouze na některé nesmí zařízení je
0:09:53a všech takže když mi třeba někdo
0:09:55automaticky že bude všechny jinde tak já si k nim dostal když se dostanu počítače
0:09:58dokud se mnou byl taky prostě nepřišel protože ten mobil potřeba neumí a kdyby to
0:10:02uměl vevnitř a nechtěl svěřovat ten privátní klíč k rozšiřování těch zpráv
0:10:07takže tento moment je skvělé
0:10:10ale bohužel naráží na to že ty uživatele s tím mají problém
0:10:15dobře tak to můžeme aspoň trochu zlepšit tak můžeme udělat něco co bude jenom hloupá
0:10:19jo to znamená že se to bude vlastně na každém na každém serveru který to
0:10:24přepnu přeposílá tu zprávu tak to bude tahleta tohoto zabezpečení končit
0:10:29ty standardizl se doma tady jeden jaký podepisovacího je šifrovacího podepisovacího dejte jim a ufoni
0:10:36dále budu mluvit jenom určitě jste slyšeli nesekl existuje je to vlastně podepisování správné serveru
0:10:42a tam je cílem právě zajistit autenticitu a případně nové toho zda tato zpráva přišla
0:10:46jakožto systém já tě nepotěším systémech
0:10:51ale je to jeho podepisování je zajišťuje to se důvěrnost co ještě důvěrnost tak je
0:10:55smtp den protokol pro přenos pošty úmrtí lézt to znamená šifrování stejně jako má tenhle
0:11:01toto posl tak smtp uvidí les je taky možné používat
0:11:06to má velikou výhodu že to dnes při neúčasti úřad zaujal bylo to vůbec netuší
0:11:10nemusí to nějak řešit a prostě i automaticky eliminujete nebo prostě s nějakou minimální vyvrací
0:11:18eliminujete všechny možné odposlechy po cestě což byste podle toho beze pes osumdesát osum
0:11:23měli dělat
0:11:25samozřejmě zjednali bílé toho ba jo takže každý server který je součástí toho procesu
0:11:29ten se mnou máte celá ulice se zde zprávy se může dostat to je úplně
0:11:35jiný příběh a říkám dem většinou té to bude mít systém
0:11:41tak to co se vtom celé to bylo u little se používá pouze tyto a
0:11:44oportunistického šifrování proč oportunistického protože bohužel si táhneme za sebou tu železnou kouli zpětné kompatibility
0:11:52a není možné prostě ze dne na den říct jako teďka budeme do šlapou zašifrovaně
0:11:57protože
0:11:58nějaké část a jasně řekl přesně jaká část
0:12:01se vole internetu
0:12:03to šifrování vůbec nepodporuje
0:12:05takže
0:12:05co můžeme jako dělat pokud co může se nebo co automaticky náš poštovní server dělá
0:12:10pokuď máme nějaký normální ale nějaký za ten lidský
0:12:14tak je to že
0:12:16když se připojíš předává poštu tak se připojit k nějakému se metod rosserova ten
0:12:20v rámci odpovědi na hlavičku bylo napíše své funkce které podporuje když takže podpory funkci
0:12:25start ls
0:12:27tak ten klient na ten tejden zavolá přítel start else
0:12:30navážet else spojení
0:12:32a
0:12:33předá tu poštu šifrování ovšem
0:12:36ovšem onen navážet do toho spojení takže šifruje ale nijak neautentizuje o neprovádí žádné ověření
0:12:42identity
0:12:43a dokonce ani
0:12:45ne to jako mně nedělá problém s toho když tam se použije nějaká stará a
0:12:51už dávno nepoužívaná šifra
0:12:53koberce čtyři která je slabá zlomit a nám nějakého řádu minut
0:12:58protože proč by to dělal protože když tam dostat rozsah těch volbách nebude takovouto zprávu
0:13:03úplně klidně pošle prosté textu tak nemá není žádný důvod cokoliv vynucovat na tom šifrování
0:13:09provede jakékoliv šifrování to nejhorší možné bude vždycky lepší než předřadného prosté textu
0:13:17takže by se zdál dobrý ničem úplně k ničemu to rozhodně není protože aspoň můžete
0:13:21vždycky se odolní proti
0:13:22pasivním odposlechů když někdo bude jenom nahrávat a nebude mít možno zasahovat do jeho validace
0:13:29taky s tou šifrované spojení bude mít problém necelé zjistit vlastně obsah té zprávy
0:13:36a co víc litr a můžete protože některé cíle někte jako vyhlášené
0:13:41se tady se mailové
0:13:43jako by to šifrování prostor na lepší úrovni tak vy si můžete ve svém poštovní
0:13:47server u
0:13:49při předávání zpráv dalším se mnou nastavit ty na určité cíle
0:13:53bude vynucovat lepší šifrování může tam třeba ručně nastavit mailu a seznam protože víte že
0:13:58čím je seznam
0:14:01ty je v máte certifikát je správné vystavený na správné jméno takže tam když je
0:14:06tam takže když tam zadáte
0:14:08tak budete mít jistotu že prostě ani nečinila ani na seznam se nos práva je
0:14:14doručí tom plain textu a ten učí se pokud se o že to šifrování já
0:14:18tím a bude tam použít nějaký špatný je špatný čtrnáct
0:14:23zásadní otázka dyž tam je
0:14:25že tohle řeším té uplně neškáluje dobře když vypukne teď džíny já jsem na pokryté
0:14:30docela dost free minule
0:14:32jak se dozvíte že zrovna že nelze tam sou ty zprávy protože jsem vám to
0:14:35řek
0:14:35jak jsem říkal nedělá proces nevyzkoušel
0:14:38to je prostě systém který jako úplně nefunguje a asi by to chtělo nějakou databázi
0:14:42společného tam je bychom si s
0:14:45sami navzájem všichni důvěryhodně deklarovali já při na poště šifrování ty měli show vyplej indexem
0:14:51a uvidíte že to je to k čemu já tady chci dneska dojít
0:14:55samozřejmě vydání světě když si půjčím tady článek petra kočovali z dá trochu lezl analyzuju
0:15:02tak vidíte že kdykoli tam dohodnete pro se tak jsem to přepsána sem to poslal
0:15:07to platí úplně stejně všecko
0:15:09takže prostě ano měl by být všude samé to pros
0:15:12šíleně víc právě důvěryhodné certifikát je a tím pádem bychom prostě novinové to doručování tím
0:15:18nezabezpečený způsobem a push ta by byla krásně zabezpečena řešeny se všemi zemi by to
0:15:23přímo pro vaně každý se dověděl správný certifikát debil tilted a všechno by to bylo
0:15:30naprosto bezpečně
0:15:33a nebo ne
0:15:35takže se takhle ptám po větě
0:15:38vy se zpátky podíváme ten původní princip mailu tak zjistíme že tady ta alice
0:15:44prosím na
0:15:46nimi na houby zavináč jde o
0:15:49no jo ale on ten server není že musím dělat to že se zeptá systému
0:15:53dns na to co je za emigrant probere or
0:15:57tam se teprv dozví že to je mx tečka bečka or k nadávání spojení se
0:16:01místečka byly tečka
0:16:03takže i kdybychom nakrásně měl všechny certifikát správně dostane zprávu
0:16:09ne zabezpečíme sem
0:16:11je to úplně k ničemu útočník změní odpověď na ní záznam na svůj vlastní se
0:16:16v lidovém mít svůj vlastní certifikát plně důvěryhodný a byla abyste vlastně v koncích a
0:16:22se ve smlouvě tam kde sme byli původně takže on ten neřek opravdu jako asi
0:16:27potřeba bude k něčemu a prostě tohle je ve finále se jako
0:16:30no
0:16:31tím způsobem nevyřeší ty protože prostě když nemáte bezpečně se nemůžete
0:16:36nemůžete věřit tomu kam míříte není záznam
0:16:39čili jediné co by fungovalo i bez nelze se ku by bylo kdyby ty certifikáty
0:16:44ty se mu byly vystaveny vždycky a to doménové jméno nikoliv doménové jméno toho serveru
0:16:49ale doménové jméno té domény pro kterou přímá pušku
0:16:53co
0:16:54prosím o že to nejde nebo že to je nepraktické
0:16:58ono já si to myslím že to nejde a že to je nepraktické ale
0:17:02on by se ukázalo že vlastně to uplně stejně praktické jako je to u dnešního
0:17:05webu kde to ale přitom de jestli stejným spouštět slíbil poklusu tak oni vám jsou
0:17:10schopní
0:17:10oni mají skutečně nějakých svých proxi sebe které obsluhují tisíce
0:17:15doménu vystavený certifikát pro tisíce doménových jmen a
0:17:20kde to ale určitě to je to je to úsilí tedy netriviální které museli vynaložit
0:17:25a
0:17:26rozhodně si nemyslím že to tak mělo být že to je tak správně takže proteiny
0:17:30je to ještě víc nepraktické prodej často lidem mají třeba
0:17:34svůj vlastní doménu na nějakém
0:17:36u nějakému stejný nové společnosti ale jinde nemají třeba užijou jiného s nim bude společnost
0:17:41revizi představte jak byste takové prostředí jako by zajistili aby jak ten nebo hosty tak
0:17:47ten je lhostejný oba dva přizpůsobují to napadlo pro studenty ty mě operovali dní certifikát
0:17:52pro tu vaší doménou bylo by to
0:17:55technicky velmi nepraktické a ty šlo použitelné
0:18:00a navíc tady máme pořád problém s tou viz ty vole to vás že aby
0:18:03nesystémový zkušenost tržně bydlet museli dát úplně všichni troš zase uvidíme za chviličku na grafech
0:18:09že to takt úplně není
0:18:13a před tady trošku naznačil že vlastně
0:18:16my bychom a co nějakou databázi těch
0:18:18sem s tím seznamem dědové které jsou jako vhodné pro bezpečně doručování pošty no a
0:18:23teď tu však o
0:18:24myslí že ta databáze slyšíte bezpečná typem nenese se tak push jasný ti kterým směrem
0:18:29peníze se u dáme že prostě deseti přesně to správné místo
0:18:33nemůžeme distribuovaně deklarovat jávštin na poštu jenom zabezpečeni
0:18:39a jak se to udělanou já si to právě je jedním z výstupu pracovní skupiny
0:18:44dej jiné s autem ty když rovny entitní s ten ze by jsme se minete
0:18:50lesa záznam tedy té lesa seš nebo se s jejichž je záznam který
0:18:56umístíte dodnes popis toho serveru certifikát u
0:19:01tohle
0:19:03do původně myšlen problémy bohužel tam se to nedočkal o a ještě v nejbližší době
0:19:07se to rozhodně nedočká nějakého hromadného nasazení nachystaný webových prohlížečů ovšem je to vymyšleno i
0:19:14pro maily uši to dokonce i standardizováno to je nechceš o které standardize chování právě
0:19:20se metopa server přehrávání pošty
0:19:22je vyšlo velmi nedávno je to tohle číslo sedum šest sedum dva
0:19:27tento s záznam deklaruje celkem štyry různé způsoby použití stylu ty první dva
0:19:33ps neškrknuté to je při píchnutí certifikační autorita znáte když máte normální stékání certifikát a
0:19:40chcete jakoby eště úspěšný že vedle správný tak jako by tam připíchněte tu autoritu která
0:19:46ho vydala
0:19:47případně no ten koncový certifikát
0:19:49tak tyhlety dvě
0:19:50varianty nejsou pro sebe teplo vo to sebe to pohled else podporovány proc ne škrtnul
0:19:57právě z toho důvodu že proto sem evropou hotel se samotné pekárně nemá smysl takže
0:20:02je zbytečné a komplikované
0:20:05používat proto že tyhle ty záznamy té při ty chudý nějakou část a vlastně spoléhají
0:20:10na tu funkci to opékání které pro ty nefunguje
0:20:13více
0:20:15ano je to zakázáno a některé implementace a některé implementace tyhlety mu svoji jako mapují
0:20:23nula jedničko vápně turbo trojku ale prostě si není doporučováno jasně napsáno že prostě pokud
0:20:30chcete použít pro co metodu silně byste použity přísloví máte číslo tři
0:20:35typ číslo vadit číslo tři sou vlastně z toho že vy tam vkládáte novýho důvěry
0:20:39zcela mimo tento jaká jistou to znamená že vůbec nepotřebujete žádný důvěryhodný certifikát o odjinud
0:20:45a
0:20:47vydej můžete hovořit například tímhle způsobem
0:20:50potíž pro po dvacet pět recept nějaká serveru
0:20:55a tady ten typ při to znamená že tam přímo otisk toho certifikátu který má
0:20:59ten koncový sem pokud to uděláte ty číslo tři není vůbec žádný problém jeden koncový
0:21:04sem měl certifikát typu se ofsajd
0:21:07dokonce ani není problém šest dní náboj expirovaný provedl vystavení na jiné jméno místo ho
0:21:12se neověřuje není potřeba to ověřoval protože stačí ověřitelný ty s
0:21:19dobře tak sme řekli jako ten jak to ten ne jak ten příjemce potenciální vystaví
0:21:27a teď je otázka jak se má správně chovat ten
0:21:31sebe tepe klient který chce předat poštu
0:21:34tak aby to bylo bezpečně a zároveň tak aby to bylo kompatibilní abychom si nerozbily
0:21:38tech třicet let sou
0:21:39fungující měl
0:21:41pro ty historické lokality kde nic lepšího než staré dobré se metopa není tak
0:21:46funguje to přesně tak utečeme v levém horním rohu
0:21:51nejdřív nej mít záznam proto doménu kam kterou chceme kterou chcete je na kterou chceme
0:21:57doručovat pošlu
0:21:58tak
0:21:59i s tím že a zjistíme
0:22:01ještě jeden záznam podepsaný dnssec to je
0:22:06důležité protože pokud enemy záznam není proč se mě leze zykem nemáme jestli jsme stejné
0:22:10správně mi záznam a sobě nemá cenu nic dalšího ověřovat to znamená že pokud
0:22:16ten záznam policie jazykem
0:22:19končíme
0:22:20na doručení soubor mystickým tele svez kontroly znáte to co jsem popsal to co dneska
0:22:24běžná většina se používá
0:22:27pokud ram máme u štěstí je prošli jsme tím první sítem že ten mi záznamy
0:22:32podepsaný jestli se k tak se toho den a se zeptáme nebylo záznam zná přidáme
0:22:37podtržítko dvacet pět tečka podtržítko té celkové tečka to název to abych se mohl a
0:22:42zeptáme se na ten záznam byl s a zjistím jestli existuje pokud existuje
0:22:47a je podepsaný touž tady jako vy aplikováno jako automaticky
0:22:53tak to chvíli push máme jistotu
0:22:55jednak že ten server je správný aby ten server se dobrovolně přihlásil
0:23:00do toho že si přeje aby k němu byly doručovány nejeli po dešifrování tu chvíli
0:23:06mně přepneme logiku
0:23:08na vynucenou vynucené tiles viděl celou kontrolu silnější fér a vynucené lince ne a vymizelo
0:23:15kontrolu otisků tebe vydá to slíbil záznamem
0:23:19pokud něco z toho šel že
0:23:20tak ta zpráva se prostě nedoručíme přepne za template pejska odloží se do fronty a
0:23:25slušně to čase nula jste to nespravilo
0:23:27stejně tak se ta zpráva množinu fronty pokud selže
0:23:31ještě je výrazná bude celkem logické jo pokud selže zjištění to hotel s záznam takže
0:23:36ty užívaj se odloží do fronty na zloděje pokud pro záznam existuje tak zase víme
0:23:42že ta léta doména sice řádka já ne se zvykem ale její majitel se nepřihlásil
0:23:47toto léto
0:23:48ve systému doručování bezpečných mailu a tu chvíli zase můžeme tím oportunistických způsobem
0:23:56je to teda takové ty vole si priority
0:24:01teď se vlastně co se přesně říkal tak tady máte ještě napsané
0:24:05důležité tady je že zatímco nenormálního podrazí způsob je
0:24:09násilník velmi triviální na auditu toků pokud tam nějaký člověk uprostřed úplně stačí abyste odpovědi
0:24:15daného vymazal ten příznak start osel tu chvíli ten to je se domnívá že ten
0:24:20server nepodporuje šifrování nesoudní ani nesnaží
0:24:23tak tuhle chvíli ten hledali to kompletně vyloučený protože
0:24:26pokud veze zjistíme ten autisto odpis toho certifikát nad limit abecedy vydá musí být a
0:24:32pokud by tam nebyl tak to prostě není tak je to chyba a ten měl
0:24:35se vůbec nedoručí
0:24:37a samozřejmě to problém jako s každým ty filtr takový protože když technologie funguje správně
0:24:42tak vlastně nesmíte jiné televizi jenom ženy se vyloučí
0:24:46pokud jste já tě nejde výskyty nedoručenými vždycky problém no takže
0:24:50je to
0:24:51ale je otázka jestli dopravu je lepší do určité každou cenu i když to vždy
0:24:56špatně nebo když to špatně dyž víte že něco špatně
0:24:58tak to ročně doručit samozřejmě já si myslím že to druhé správně
0:25:04kdo to umí takle validovat tak
0:25:06brně první implementace a už docela dlouho je ten postfixovém je celej jedenáct
0:25:12ve vývoji je implementace projekt zima pro open sebe teplo to vše von projektu pro
0:25:18výjezdy nicméně nevím v jakém stádiu jsem to hledal tak si eště pořád nebyly ani
0:25:24jako nějaké veřejně repozitáře kdybyste si to mohli nainstalovat vyzkoušet ale tom postu se to
0:25:30funguje velmi dobře
0:25:31přes rok
0:25:35důležité je proč to se a nefunguje proveditel nefunguje protože dnes jakožto přenosových protokolů je
0:25:43poměrně rozbitý a co se týče koncový sítí
0:25:47protože jsou tam nejrůznější proxi servery domácí rotate atif portály a podobné věci které tenhle
0:25:52se rozvíjí takovým způsobem že byl se ze vleze na koncové na koncové stanici ohromný
0:25:57problém
0:26:00zatímco
0:26:01tady mi validuje letadle se zejtra tom sem to pro sem se to pro sebe
0:26:06bývají umístěny mnohem lépe z hlediska případných problémů snese se toto se mi bývají umístění
0:26:11do datových centrech a mají obvykle poměrně volný přístup k internetu nebo případně no nějak
0:26:17formulovaný rozhodně nejsem rozhodně
0:26:19tam nejsou takové problémy zase klecí takže validovat donese se na straně poštovního se du
0:26:24je mnohem snadnější rychle doléhá straně všech
0:26:26všech klientů webový prohlížeč
0:26:29proto tady s není problém a proto tady je možné tu ten dev assistant praxi
0:26:33pouhý skutečně ušli
0:26:35push přes
0:26:40a leška že případě i kdybyste tohleto nechtěli používat tak každým případě můžu jenom doporučit
0:26:45že opravdu byste měli validovat dnssec nějaký mylný server právě z toho důvodu že veškeré
0:26:51směrování pošty je stojí a padá s těmi záznamy které prostě když budou zmanipulované byl
0:26:57se tak vy budete pošle tu pušku úplně na nižší ceny posílám
0:27:01a
0:27:02no se jí nosil pak nakonec můžou šel učit správným směrem že se někam okolní
0:27:07a jenom přibydou nějaké hlavičky já si se nedívá delší hlavy že všech tím ivane
0:27:10zkoumá do cestu kvůli daný měl šel takže byste ho stejně asi nepřišli takže jako
0:27:15tady je opravdu
0:27:16opravdu
0:27:18rozhodně dobré přinejmenším jestli ještě nemáte a jestli se stát já ti poštovní server
0:27:24tuhle věci tam zapnout
0:27:27tak
0:27:27a co je na tom jednom systému úplně nejlepší
0:27:30že doručování na
0:27:33ty stávající legraci
0:27:36servery které prostě jak texas vylučovali před lety které v ní dosud jenom to sem
0:27:44hotovo bez žádného to zas tak prostě funguje jako doposud takže nemusíte mít žádný white
0:27:49list black list
0:27:50prostě to funguje protože když tam není tento les záznam tak se automaticky předem toho
0:27:55oportunistického režimu který je ten výchozí
0:27:58no nebo ne
0:28:01když se ptám tak tam zas nějaký háček bude
0:28:03ale těch háčků je tam poměrně málo takže
0:28:07podstatě za ten rok nebo kolik co uši validuje ji na svém soukromém zatím jsem
0:28:13soukromém jsem will tell sázavě tak jsem zaznamenal dva případy kdy byl problém ten první
0:28:21případ je provozní problém který souvisí s tím že právě
0:28:25tyto záznamy neska sou v takovém stádiu jako early adopters to znamená první uživatele a
0:28:32obvykle to tak že vlastně nikdo se dočte hotel s záznamy to řekne si to
0:28:37je skvělá věc to bych no nasadit rád rozhodneme se a
0:28:41vůbec se třeba neobtěžuje
0:28:43to tohle dalo říc tomu člověkovi který má dataset ssl certifikát já stalo s
0:28:49a při nebo případně s ní láskou pracovat na něj ani dopravy postupy
0:28:53a pokud s toho dostane napadlo je přesně k tomu problému
0:28:56že minulý rok jste učil u toho mu za dvěstě padesát šest je všechny zahájení
0:29:02školy certifikát i přes tedy dostatečně bezpečně a všechny měnili autority a dělají další věci
0:29:07kolem toho
0:29:08no a při té při založení kolikrát stalo
0:29:11že někteří měně autoritu ale nechat lidi měnit certifikát a nechali tam ve stadiu stal
0:29:16certifikát u
0:29:18tu chvíli samozřejmě doručování přes
0:29:21tohle se je s touhle variací selhalo a je to tak správně byl to je
0:29:25přesně ta chyba proti které se to zabezpečena
0:29:27tady ta jedem protokol tom zcela nevinně ten protokol nemůže dělat nic lepšího ne že
0:29:33to nenaučí protože to je přesně v sobě o něm
0:29:36po něho chcete
0:29:37a
0:29:37eště důležitej že když uvidíš už to víte tak si musíte uvědomit že vylez
0:29:43není nic hned to znamená že budeme s pokud máte umístěný nějaký otisk
0:29:48a tedy certifikát tak to nemůžete udělat takže teď vyměníte certifikát a pak to zní
0:29:53tejden s ne
0:29:54musíte vždycky udělat tak
0:29:56který si nejdřív nejede ten výpis toho certifikátu kterou je bys mi stavíte se spolu
0:30:02s tím starým otiskem
0:30:04a počkáte nějakou dobu až budete mít jistotu že celý svět zná oba dva ty
0:30:08uctiv tam donese
0:30:09a pak teprv může ten certifikát vyměnit a podmíněně zase vymažete s toho byl se
0:30:14případně ten starý outlist
0:30:15protože nejsem není synchronní nemůžete dosáhnout kompletního si mechanismu a kde se platí vždycky taková
0:30:23logika
0:30:24že pokud je se něco navíc tak to nevadí ale nesmí tam něco chyby takže
0:30:30když tam něco ještě něco navíc si tam sednout dycky a jeden z nich platí
0:30:33jedný neplatí je to vpořádku to je právě logy jak jádra zavedená kvůli tomu že
0:30:37dal jsem nemůžete nikdy synchronně aktualizovat
0:30:42a druhý problém který se týkal přesně jenom snění
0:30:46který vlastně byl s
0:30:48způsobem byl takový hezký lokalizovaný na českou republiku a konkrétněji do nějakého jihočeského mě ztratíš
0:30:57někteří už víte kam mířím
0:31:00tak druhý problém je s tím že někteří naši čeští registrátoři domem nainstalovali nějaký
0:31:10dnes se server který není úplně dobrý
0:31:14a eště úpravu o to horší je když není ještě přidej podporu byl se která
0:31:18taky není úplně dobrá nemá dostatečný množství není dostatečně otestován a vše stojí používají na
0:31:24produkci na všech svých třech no byly museli
0:31:26protože to přišlo nějakým způsobem vhodné pro napojenej stávající systémy no a
0:31:31tenhleten jejich autoritativní server měl takovou poměrně základnou firmu která se praktickém provozu
0:31:37neprojevila pokud tam někdo měl
0:31:39pokud tam někdo měl na definovaný pátka
0:31:42se na jedničku
0:31:44tohle to je to nejhorší co můžete chtít nejhorší to budete mít zase je vesnička
0:31:48tak
0:31:50a zároveň tam neměla něco najdete lesa záznam což to neměl nikdo protože to ani
0:31:54neumožňoval daný systém
0:31:56tak
0:31:57důsledkem bylo že takže ten autoritativní jsem neviděl takovou strukturu ty donesl se k záznam
0:32:04můžete že to nebylo možné zvalidovat
0:32:06prostě ta validace při dotazu na neexistující záznam selhala
0:32:10vy si řeknete tam není a pochybuji no před ní nepřišel protože
0:32:14pokud se zeptáte na neexistující doménové jméno a dostanete odpověď mx domény
0:32:20nebo dostavil to vyser fail
0:32:23tak jako tak se dostal prádlo po vy prostě zajet a povědět donese selhalo a
0:32:27většinou vás nezajímá
0:32:29případě že niveč vám je odnese se chová data
0:32:31tak je to ovšem zásadní rozdíl
0:32:34pokud dostanete rss jako vodpojej těmi kdo mi znamená trest roztaje podepsaný mutes o tom
0:32:39že ta doména opravdu existuje
0:32:42a vy víte že nejste zatímco
0:32:43ji dostanete návratový kód se na fail
0:32:46tak se dostali pouze informaci o tom že selhal pokus o validaci což nemusí znamenat
0:32:51že ten záznam instaluje taky znamená že někdo se snaží dosud lůza do schovat
0:32:55a předstírat že nejste prostě byl odhalen podobné lese si
0:32:59teorie pokud je odhalen polovinu desek uvidět ten obrázek
0:33:02znamená to je selže adresování toho donese z toho záznamu
0:33:06a zpráva je odložena do fronty a složitě za chvíli znovu takže
0:33:11to byl ten druhý problém
0:33:12na který sem během těch let narazil ale jsou to opravdu ojedinělé problémy a můžu
0:33:19vám s klidným svědomím říct že
0:33:22oba dva u se podaří jo
0:33:24víceméně eliminovat a současné době měření té sem provedl před ní je tak sem na
0:33:30žádný rozbitý ten lesa nenadsadil takže zapnout validaci já jsem jel jsem byl je bezpečné
0:33:37jak to otestovat
0:33:39můžete to dělat ručně to jsem dělal před rokem jsem ještě neznal nástroj ty jsi
0:33:44nepustil se finger který je součástí ostře co a který slouží právě proto abyste otestovali
0:33:51jsem a to pro komunikaci s tím tell se zabezpečení bude strašně jednoduše zavoláte postoj
0:33:56se finger a zadáte jméno domény
0:33:59autor souboje atomic záznam rosou je to případné ty případné tyto lesa záznamy a
0:34:06jako že to trošku bude vědět bohužel se to nebo to udělat větší aby to
0:34:10vzal že ne že to vím že to jedinej zkouším seznam cz a
0:34:15ono znají a tady je zjistí že telefon certifikát se ní mailovy na vystavení certifikát
0:34:22podle mého tohle myslel
0:34:24a ne
0:34:25protože základní nastavení ne postel set lidí nedůvěřuje žádnej certifikační autoritě tak vám to stejně
0:34:31řekne to spojení a metra state prostě navázal se to lze spojení a není a
0:34:36důvěryhodné
0:34:37proti tomu diskusi kterýho doménu třeba ten co se
0:34:42stay vidíte záznam že i uzeniny a hranách nenašels nějaký ls a nám
0:34:48a
0:34:50vidíte certifikáty taky vystaven a záviděl sameťáka a korupce je chtěl bych vidět
0:34:56a vidíte že tato spojení zadní standardně na verify které zásadní rozdíl tady vyjde prostě
0:35:02ty pana spojení kterej umí a spojení s té funkční není já když už je
0:35:08takle vypadá tak samozřejmě to vede k tomu že to chce taky nějak změřit takže
0:35:14co sem udělal minulý týden
0:35:16jednorázově asi by to bylo lepší nás litovat ale zase nějaké měl čistej jsem tak
0:35:21udělat neměnná zaměření
0:35:23že sem se sbíral logy
0:35:26z některých poštovní se mnou
0:35:30a s těch logů sem jenom publikoval
0:35:33právě
0:35:34cílového a cílová doménová jména tam se jako píšou skutečnej měl dělat skutečně ale ta
0:35:40je voliči to bude se tadydle měření dělá je někdo to dělá třeba s alexem
0:35:43to něco tok tisíc stop s to tak si uděláte měření
0:35:48což ale alexe seznam excelu tady to uplně nemusí korespondovat s těmi jinými dobrými stránkami
0:35:54a naopak já se teda vzal hranatá za poslední nějaký asi rok
0:36:00jo ty mailové adresy se tak asi dva na jednu hromadu našel jsem jich asi
0:36:03čtyři a půl tisíce a tohle se zjistit takže donese set no je to poměrně
0:36:10dobré ne
0:36:11ale mohlo by to být výrazně lepší takže vidíte že jako dvacet jedna procent tisíc
0:36:16přesně tisíc domem je chráněn se těm
0:36:20další tři tisíce šest set není za dvě tři byste šest je tudle chvíli vlastně
0:36:24uškodil psaný že nemůžou být nějak lépe chráněny
0:36:30jak je to s tím stát ls
0:36:33tak pořád nemáme čtvrtý no teraz tato se nepodporuje
0:36:38ale ne
0:36:39tři štvrtiny skoro docela pěkné to podporující vše
0:36:43zase naopak velmi pozitivní čekal jsem to mnohem horší no a ta zelený mísečky rušení
0:36:49nevíte kolik toho je tam je padesát to sou k té přesně palisádou nezaniknete města
0:36:54máte lesa záznam je které tím pádem jsou před zapsali do toho do toho programu
0:36:58pro bezpečnější předávání mailu
0:37:04tak
0:37:05když jsem zjistil že těch
0:37:07tele se ještě jsem chtěl podpořit ls je tolik
0:37:11mě začla pivo tak sedí to je vozem podívat se blíž
0:37:15jaké druhy certifikátů jsou tam umí nasazené takže
0:37:19další dělat to ukazuje
0:37:23tak
0:37:24když to vemu té červené nějaká značná část je se ofsajd znamená sou ty
0:37:29vyšel jsou takové které se vidíme utře už máte debian instalujete space tak se vám
0:37:33automaticky vygeneruje sám sem certifikát na vás není to se nula takže aniž byste něco
0:37:41mu se aktivně dělat tak se tady bude stát do červeného stalo
0:37:45pak je poměrně velká část a je ta oranžová okrová
0:37:50kde máme nedůvěryhodného vydavatel znamená je to certifikát vydaný jediný nechám sebou ale my toho
0:37:56někoho jiného neznáme pro účely tohodletoho tohleto měření jsem použil vlastně standardní sadu důvěryhodný certifikátu
0:38:04kterou má
0:38:05myslím že debian to byl
0:38:07učenců ten účet než prostě standardní sadu kterou a nějaká linuxová distribuce sobě a prostě
0:38:15pokud vyšly jako nedůvěryhodní tak děkuju šescet
0:38:20její ale poměrně a zbytek vlastně nic certifikát to znamená něco kolem řekněme dvou třetin
0:38:26sou
0:38:27už du jo nečerpá měli taky zajímavé
0:38:30že i pro takovouhle službu je to vlastně
0:38:33dá se říc zbytečně nebo téměř nepoužitelné tak
0:38:36je takové velké množství certifikátu které jsou důvěryhodné s tím že
0:38:40těch osm procentních říci důvěryhodných ale vystavených na úplně jiném io které se neshoduje ani
0:38:45se mi serverem
0:38:46a nikdo maily jménem
0:38:49tyhle šestnáct šedesát dva skoro polovina
0:38:52chtěli zeseru procent tak
0:38:54ty jsou vystaveny právě na to
0:38:57na to jméno které odpovídá doménové mu jméno u toho serveru to znamená ty sou
0:39:03vystaveni správně a ten server ale pokud ta doména nemá dnes esej tak vlastně stejně
0:39:08žádnou ochranu nepředstavují a teprve těch čtyři sta padesát šest zelených
0:39:13těch třináct procent
0:39:14jsou ty se dali té
0:39:16by teoreticky mohli být důvěryhodné i bez dnssec o protože mají
0:39:20protože mají certifikát vystavený na jméno domény pro kterou všímají poštu
0:39:26jo
0:39:27takže vidíte že
0:39:28i nějž těch důvěryhodných je takové množství
0:39:32jen tak na část je tam mluvil máte vo hlavu a vezmeme ze zvyku
0:39:36víte že se těch opravdu potřeba a hlavně vy nemáte žádnou šanci se to ty
0:39:42kdo jsou tihle
0:39:44dosud tahle části byste chtěli ten seznam spravovat nějaký na nichž tom nenese se ubohosti
0:39:48to záznamu tak není žádná strana možnost jak prostě zjistíte že jsou chvíle které si
0:39:55má dát stavi do white listu že ty tyto dělají správně
0:40:01a uplně závěr tady je
0:40:03no ostrým tohle je těch padesát doménových ne která mají správně tele s záznam a
0:40:11samozřejmě tady už trošku vidíte že takže je to trošičku nevyvážené protože se to za
0:40:17našeho firemního sednul
0:40:18takže tam vyskytují takové věci jako jo mimochodem ta velikost těch von to je naprosto
0:40:23náhodná to nemá vůbec žádnou souvislost ničím to prostě o ten software který dělá ten
0:40:27cloud před tebou klaus to prostě náhodně aby to bylo zajímavější o to že perioda
0:40:32nějaké velké no jako něco co jste zač že nějaká podivná testovací lidské a udává
0:40:37nefunguje
0:40:38a pak jsou tady asi jaké malinké chocolates ne pak já teďka je té call
0:40:43a který takovejch jako nevíte ale jak chcete
0:40:47nich té evoluce se
0:40:51takže vidíte že to docela jestli je to jako
0:40:55nemůžeme se zahrady věci mám prsty nám jo tak třeba je té for tam prsty
0:40:59nemám turisté ze taky není moje a třeba tady kterou nám bude taky není moje
0:41:06určitě
0:41:07takže
0:41:08jednotlivce
0:41:12tak
0:41:12takže artistovými tak
0:41:14když to řadím opakovat tak se může začal přidat teda ten to je to je
0:41:17toho tak cloud dalo udělat znovu jako přednášku znova no
0:41:26ano
0:41:46já to zkusím drazí jak je plná znám rozvede jestli jako nadhled je ten certifikát
0:41:52je které nemají nic nestane jméno nebo sou sepsaný nebo neznámého vydavatel jestli by se
0:41:57vůbec měl určovat pošta a já říkám že měla protože nemá smysl
0:42:01nemá smysl jako by
0:42:04protože jí opačný stavem by bylo že pro ty lety kdy pokud bych řekl že
0:42:08to jsou špatně nemá sem určovat tak bych tam musel za plyn textem
0:42:12a cokoliv je lepší dyž kontext
0:42:19a to stojí když se taky nemůžu uvěřit
0:42:21no
0:42:33jo takle
0:42:35jo
0:42:38ano je ten zásadní problém s tou že prostě zatímco webový prohlížeč je to stejně
0:42:43jako vyližte prostě že tam takový a certifikát jo tak vyhlásí hroznou chybu a dělá
0:42:48takovéhle tři kusy
0:42:51problém je že u toho push to měl jsem není žádný uživatel který vydal na
0:42:54tlačítko a je dobrý
0:42:56takže
0:42:58a
0:42:59zásadní věci je
0:43:00že pokud by to tak nebylo je říká tak by to
0:43:04po hubě takové rozhodnutí skutečně bylo
0:43:06tak by to kompletně zabilo podporu tells co předávání pošty protože by to nikdo nikdy
0:43:11nasadil
0:43:12protože to je přesně nebylo že by to
0:43:14je duševní se bojí nasadit něco co by mohlo potenciálně rozbít stávající systémy takže ne
0:43:19že prostě pokud by se
0:43:21pokud by vydání certifikátu který je nedůvěryhodný zvláště když si vezmeme to že abychom se
0:43:27dostavit do byl neatomický stojí
0:43:29nejenom nějaké úsilí dokonce vše stojí nějaké peníze tak jako je jasné že prostě
0:43:35samozřejmě teoreticky je možné stopy dole i a ne není tele se zde se pouze
0:43:39šifruje a nejprve neověřuje se strany takže ekvivalent toho když tam jeden ze kterých dát
0:43:44dělali a já si mysim že ale není to se je pořád mnohem lepší ještě
0:43:48plain text a tím pádem já to bylo že prostě a není byl se
0:44:07ano ale se já si myslím že nikoliv
0:44:10já se já jsem si je fialová lepší nějž ještě do saint třeba jo ale
0:44:14já si nemyslím že jako prostě to potom poho přímém fajn že prostě
0:44:19když se obsahem přímá ne protože nás je nezajímá tak si myslím že nás nemůže
0:44:23zajímat není že to krásně ani že to cokoliv jinýho prostě
0:44:26jakoby nemůžeme zvýším standardem
0:44:29mít víc mít jakoby horší nazelovaný pohlížet jako horší certifikát
0:44:39přesně ták no tak se teďka sou
0:44:44ano tak se to dá říct přesně tak je to prostě a volatile se umožnili
0:44:47ale není a není režimu že tam ani žádnej certifikát je jsou ale
0:44:54mysim že to je problém nakonfigurovat samo o sobě funguje tak co vám ochránil pro
0:44:58jestli znáte nagios remote
0:45:01něco tak nedopadne funguje pomocí a není hotel se dnes dešifruji ale nic není neprokazuje
0:45:09tak
0:45:10na tím se dostáváme k závěru mojí přednášky takže
0:45:14co by chtěl říct
0:45:15abyste pomohl je šifrování jasně se leda pro servery jestli pozor vezmu třeba debil nám
0:45:20to nejste základu ta chtěla žen tom ne
0:45:23takže žen two
0:45:24včetně mají pracovní stanice má posty
0:45:27který šifrování je podporu jenom protože tam nikdo neviděl texasem certifikát a nezapo tam pro
0:45:32konfiguraci
0:45:34nic to nestojí a vůbec nemá cenu utrácet za nějaký certifikát
0:45:38je to úplně jedno protože písemná ne úplně jiných nejlepší certifikát který existuje zaplatit za
0:45:43ní úplně nejvíc peněz
0:45:45tak je to stejně úplně jedno protože každý vás můžu bernoulliovy dohodne dát dosáhla a
0:45:50jak měla a zase naopak
0:45:51jakmile rád klesá záznam vůbec nezáleží na tom jaký ty certifikát tam máte ten sem
0:45:56se mě úplně dostatečně
0:45:59donese se prostě musíte mít dnes jako to nejde a bez deme sekundy můžete doručil
0:46:04bezpečný a když máte nenese se kartel s vlastně nic nestojí jenom pokud máte nějaký
0:46:09divný systém na zprávu vynesl dát tak prostě styl se a
0:46:15toho se a třeba nebude tam zadat no a
0:46:19validovat ty validovat tyhle ty tele s záznamy na straně toho se mu ty jdou
0:46:24přes právě toho se metoda klienta je bezpečné
0:46:27ale
0:46:28můžu vám doporučit a udělal jsem dobrá tedy poslední incident dvou přidat si kontrolní na
0:46:35hlášku s postfixu server se techniky no trasy
0:46:39kterou když uvidíte tak víte že právě došlo k tomu že prostě podle toho se
0:46:43a bych se tam není ho doučovat a proto se to spravovat žádost dobu byl
0:46:46do fronty a když zjistíte tak má to vy dočasně tři něco ta zpráva leží
0:46:50ve frontě zatelefonovat na druhou stranu přiznáte to blbě rozbili jste to už ani já
0:46:55jsem tam vlastně tady ta jedna parcela zaplněná pak se měnil certifikát
0:46:59přesně takhle to dopadlo asi dvou firem znak nevolal
0:47:02jo takže já je takže vám ani se tak jako svoji ty postupy já čtu
0:47:06nebo je taky oběžně nerozšířil jako je teď tak to bude úplně úplný standard no
0:47:11eště nižší růst plně se rozloučím tak
0:47:13by chtěl říct jako kam dál
0:47:15že když se tedy dostaneme do tohodletoho ověřování sem etapou hotel s kam dát by
0:47:21se dalo nízkým použitím že se kolem jejího pro
0:47:24nebezpečnější než tak první věc sou třeba záznamy které sou teďka všude tím
0:47:30jakoby v diskuzi a to sou open výživný tý a se má jinej záznamy
0:47:36kde bychom si vlastně pomocí se uloženy očisti veřejných klíčů neuspíší pí je boleslavi
0:47:43a
0:47:44to nám vydrží ten program té zelené šátku že bych kdybyste chtěli ale šifrovat
0:47:48tak vlastně nemá máte velký problém nezjistit ověření když ne protistrany vystihl poslat šifrovaný jo
0:47:54když bude nějaký standard jak se na takovéto ta systému donesl
0:47:59tak je ten problém třeba je vyřešen a
0:48:01dokonce tohle umožní takovou věc a už existuje experimentální implementaci která se děsím jedna
0:48:07co všem byl teda to znamená to software kdy pustíte na poštovní serveru
0:48:11a on
0:48:12a pro stahujete přes něj zprávy která posílají uživatele ve svých notebooku a podobný
0:48:17a hned software se pro každý ten podržíte mi ho podívá komu je určen a
0:48:21podívá se právě nikam nenesl já zkusím najít veřejný že když ale že vezme ten
0:48:25tak nemel našeho je pude na straně sem
0:48:27takže vy můžete mi kompletně se zbavíte té toho problému s tím predikovat uživatelé mají
0:48:32ještě tato šifrování jak mají se starat o svůj certifikát
0:48:36a prostě nebo je to podepisování ale šifrování
0:48:39vy zajistíte aby prostě ani když to správné putovat přes ty další se vydat i
0:48:43další ze vy si v ní je počet lidí to je docela hezká myšlenka
0:48:47tudle chvíli té že tam ještě není úplně implementace existuje nějaká testovací ale ještě to
0:48:52není
0:48:53ještě to není rozhodně něco co bych moh někdo doporučit nebo je to spíš jako
0:48:56takový směr kudy se vydat
0:48:57no a další možnost zatím ne se tam byl sám a vede hotel závazné pro
0:49:02prokazování je tedy serveru ale čistě teoreticky vydat se mohlo zajímat aby se takle před
0:49:07prokazovat klienta by ten to je používat klientský certifikát
0:49:10nebyl anonymní vůči tomu serveru
0:49:12a zase ověření trestal certifikát místo aby se dělalo pomocí pelikáni modelu kdyby to bylo
0:49:17komplikované tak se musí a pomocí klientského chce pomocí dějinnou
0:49:23čemu by taková informace byla možná no tak jen aby ten server teoreticky mohl žít
0:49:28že nějakou zprávu o ní nevíš tendence nepředstaví jako ten správný klient
0:49:32atomicky dá to může být takový vlastně já bych to nazval s ten asteroid je
0:49:36stejná dsp kde se vlastně upřel pomocí lese
0:49:43dobře vyznají já prosím dokončím ještě dvě věty
0:49:50teď sem totiž úplně ztratil nic
0:49:52hezké za starých ano takže řekněte sklepě pouze
0:49:55nějaká deklarace
0:49:57tady můžete mít
0:49:59ty pro graficky zabezpečen a to je všechno dobrou noc