dobré ráno
ne jako jelena neska sem správce karel přednášku o snad kata v linuxu protože to
téma které se věnuje poslední dobou grant na práce ve dne to
předtím než začne bych se rád vydala je podívat co o snad natavíte tak může
způsobit tu přednášku o tom co byla zajímalo kde kdo ví co je to sparta
a aspoň zhruba
super to většina
a kdo používá jako snad jako
nebo něco na ten styl ve chvíli
dobře
a kdo psal nějaké aplikace s pohledu vývojáře pro snad karty které využívají snad tak
ty nebo co
to téměř kdo
takže
no se mě znamená ten dvacet minut takže pokud bude tady hodně věcí asi a
_e zkusíme to nějak pozvednou co je to sparta
na co si máme dát pozor
a na tom je software který snad a ty využívají v linuxu
zaměřím se na pole koukne se které na které spolupracuji a pokud nakonec ten nějaké
praktické ukázky jenom rychle bohužel to nebudu moct ukazovat naživo protože to bych to nestihla
ti dvacet minut ale osy kód tam budou takže když stahujete ti vyzkoušet tak to
je možné
snad karta tak to je kravina snad karta
je to něco co máte většina lidí peněžence
je to dost nastane karty
je tam vidět nějaký všech plast výše kovový
který je _e s standardní zlatý konektor
dále tam mě ní
blbost sme špatným se tak
standardní za výpadek to integrovaný obvod který slouží k uložení despektem uložení dat
je tam čip který a provádí typ grafické operace
a co mají tak snad taky společného je většinou kontrola pinu před nějakou kryptografickou prací
nebo nějakou operaci která vyžaduje přítomnost uživatele nebo na děti ní že tam byl tento
uživatel
mezi nejběžnější karty dneska patří pravděpodobně sim karty jsou sice odřezaného tu plastovou a ta
část dávat na věčnou pouze ten či
o tom kreditní karty jsou také ty snad ferret
i když používané pro specifický účel dnešní době existují elektronické občanky které se požár estonsku
belgii se španělskou na slovensku brzy budou i v česku a tyto by měly umožňovat
s elektronickou komunikaci s úřady cože
docela dobrá věc pro entailment seš výrazně snižuje zatížení pořadů
kvůli každý každé blbosti je dneska potřeba jít na úřad je u vjezdu vaší pastou
kreditku jestli vopravdu ste to vy
běž nepustil tak jako identifikační karty americké vládě americké armádě popřípadě firem taky karty když
dete do práce tak také nějaký ty snad karty který vás autentizujete můžete přistoupit do
této budovy můžete přistoupit do těchto dveří
podobně
další typy karet jsou právě usb token i ty jsou poslední dobou docela oblíbené dny
nejběžnějších bytí
je to malinkatá vytvoříte do usb
lístky
a o podstatě umožňuje dělat to stejné
výhodou může být kombinace s nějakými dalšími bezpečnostní věc nějakou útvarech protokol té _e
nebo šifrovaná usb paměti
je taková ta taková to snad a to funguje většinou
když je vidět čovek vidí vyrobí nějaká firma tak je prvního občana být nainicializovat nahrá
ten certifikát je vygenerovat klíče bezpečně
_e nastavit i po této dostane běžný uživatel ten tuto kartu může používat
každá operace většinou vy na kontrolován
u každého práce kontrola by
následně když pin zapomene potřebovali nějak administrativní úkol je potřeba novinky no změna pinu
popřípadě smazání obsahu v tu chvíli kdy uživatel opustí firmu nebo
je potřeba já bezpečný se zbavit na této karty
vedl v linuxu můžeme snad katie nebo kolik let open her a použít pro nahrazení
většiny věcí kde dneska používáme hesla
může to být automatické přihlášen k takovým službám
jako například během nebo do banky si to lze použít lze se přinášet lokální počítače
pomocí
obětí autentizace
ve se přihlásit či se odemčít šifrovaný disk například pomocí luxusu
lze se přihlásit ssh se budou popřípadě lze použít prosím dosáhla
pro získá
iniciálního kerberos tiketu
veřejná autentizujete veřejný klíč a opět možné _e popiratelnost čili digitální podpisy com i tu
definován šifrování terénu a podobně
na co si dáte do ruky byste si měli dát pozor že ty tabulce tak
se sedmnáct byla objevena
zranitelnost některý snad které některých
a kryptografických čipu a to konkrétně u pití slovem a slovenské a islámské
elektronické občanky
problém byl že tu chvíli kdy tomu problém byl že firma infineon vytvořila nějakou knihovnu
pro generování
a privátní klíč na kartě
pro privátní týče potřeba získat a nějaká prvočísla
a měli knihovnu teda knihovnu která vytvářela pro čísla jak jako fast a stránce menovala
a výzkumníci z brněnské masarykovy univerzity přišli na to že to tak tato čísla nejsou
na neideální a je výrazně jednodušší je faktorizovat čili s nějaký nějaké té teoretické složitosti
tohoto problému s ní
byli schopni podstatě tisíc dvaceti čtyř bitové klíče faktory za řádu hodin co šel něco
z čeho
se
bojíme
a teď se podíváme jak vypadá a na tu mě a softwarové ste softwarové s
ho styku snad karet
v linuxu
nahoře mám nějaké aplikace které
ten ale použilo je snad tak
pomůže by webový prohlížeč šéfo standby který nám podepisuje maily open ssh pomocí kterého si
připojené na server
ale to vy samotné nestačilo tyto aplikace většinou spolupracují přes jaká cz nás rozhraní se
to snad takto aplikace si nás rozhraní implementováno projekt open _e se kterém bude ještě
dál mluvit
dále je tu několik
knihoven té cest se líp usb a se dostaneme dolů na
a vpodstatě druhá kterou vrstvu která je definovaná nějak nemaj za standartu až do sedum
osum jedna šest
to je řekněme ta fyzická vrstva kde
psalo něco popsané pocity ty kontakty
jak má vypadat ten kontakt na té kartě kde má být umístěný
a jak se komunikujete mezi snad tak toho počítače
je to vy zas tenhle takže uzavřený
velmi těžké se nebo
tak zadarmo se před ním nedostane nějaké části jsou dostupné na internetu naštěstí
ale kromě toho že popisuje tady tu fyzickou rostu ten dostane popis vraždy vyšší vrstvy
ale ty se většinou nepoužívají protože řekněme nejsou otevřené a všechno se k tomu kde
se požaduje protokoly
dále tu máme knihovny které už které sou jakoby o vrstvu nad tím
teda pc zcela jdi jako otevřená implementace protokol klece desce to vše komunikace počítat snad
karta
aplikace komunikují přes systémovou deamona který běží na počítači
a toto je tato kniha je přímo už na pomocí okna sem
s
cc a vždy je čekat interfejs dva jestli slyšet se ke protokol pro komunikaci přes
usb se snad tak tam je
věčná snad karet je připojena k počítači přes usb přes nějaký nějakou čtečku
open jsem tady pro projekt který obsahuje ovladače pro různé snad karty
a byste uvést pece recese jedenást na rozhraní pro ty pro ty ostatní aplikace
ne všechny aplikace nebo ne všechny knihovny dní používat právě pece desce
negace s jedenáct rozhraní a proto například open ssl které to nepodporuje
a vy ste program ten čin casy jestli levný trik podstatě přidává funkcionality funkcionalitu
jaká co je s jedenáct open ssl
jako jenže
pece si necestuje nás eště jednou je to teda tyto graphic to koncert interfejsy to
diskový i jako je čase má snad karty je čili není to omezeny jenom snad
karty měst to používat i o generické kryptografické
to grafický hardvér který
který většinou máte
počítači nebo může máte na sebe
definuje tedy opak objekty co jsou například dns a klíče jsou to je kritické křivky
peaches etický křivek a podobně a definuje operace
které jsou
které lze s těmito klíči dělat
takže většinou dešifrování podpisy
vygenerování klíče
a to je to nejzákladnější
tento pro protokol byli vy jenom dokud padesát čtyři firmu error se a zpět erase
_e sigkill i ty a od roku dva tři si třináct je to otevřený standard
potom skupinová získá se zajít zabývá vývojem otevřený s standardu
tady je zhruba náhled na to je super a projekt open se
odporu si můžeme podívat tam lidi na ty jednotlivé snad jen ne to nechat ty
které jsou spojeny nějakým a
čtečka karet
dále sou tam drahej je těch teček
dále jsou implementace těch jednotlivých
karle
a
takže teďka de o potom nebo popřípadě emulace toho pekla cest patnáct protokolu
na tý máme
teka cest jedenáct protokol na ten petr
jaké cpe katce signál protokol navazují některé aplikace
tento projekt ní to nejde kolem trati struktura ti si název nicku a dneska podporuje
většinu spát karet
a americké vlády a _m americké armády na komerční to na příkladě siemens a to
ok a to je s moje mají _e id
popřípadě půlky který se který je používán rtcp zpět systému
je to můj poštovní program funguje jak na linuxu tak na windows tak nám
miku
podporuje různé čtečky karet
já zavede jsem
se věnoval tomto projektu během posledního roku a půl řekněme jsme implementovali právě podporu práce
a co je karty pro cool kým chcete který tam nebyl ale naleznete implementovat podporu
pro takové zpět který byl implementovaný řekněme pro předchozí verze
ale nefungoval tak jak by měl stejně tak jsem opravoval nějaké drobnosti na které jsem
narazil během toho se mnou
sem s ním pracoval
a holt předchozí verze že tento project linuxovou je pravdou nese jako výchozí knihovna pro
práci se s matka tam kde je ten prsten sou
k titulu jak rychle pro praktické ukázky takže pokud pojedu moc rychle něco nebude jasné
tak se ptejte ještě máme čas
pokud potřebuje chci mi dá za snad takto tak
a máme nějakou snad takto pět máme nahrané nějaké certifikáty apod a
ať je to členka nebo je to a
něco podobného tak už tam máme ty certifikát abychom mohli pracovat tak si musíme stáhnout
ten certifikát certifikáty jsou na kartě uvedeme ve formátu děr
takže
a de
tady je příkaz negace signál stůl to je součástí okna se projektu
a první příkaz první řádek nám odsekne stáhne ten certifikát je formát úder
a uloží do sou dost
souboru chcete
druhým příkazem ne
příkaz open ssl tady se ke převede tento formát je pro ten
který je i běžně používanější
a pomocí posledního příklad si můžeme zobrazit co je ten certifikát napsané většinou tam napsaný
ta certifikační autorita do vystavil ten certifikát jakou má platnost a tak dále a tak
dál
tu chvíli máme certifikát tím _e už aplikace z jedna stůl můžeme zkusit nějaká data
podepsat může to být co uvolníme to být mail může to být
cokoliv
pro podpis už vyžaduje _e
jak pracuje se ne
jaká cizí na stůl zadání pinu což je ten parametr mínus p
a podstatě tento příkaz nám podepíše data která sou souboru data
a
ten popis tam vloží do souboru dat asi
je to normální to aplikace s jedna podpis
který můžeme opět ověřit pomocí open ssl nástroje
snad karty můžeme přímo používat open ssh
čili ssh týden má speciální argument mínus d velké
které který nám se který znám připojit na kartu a vypíše všechny veřejné klíče které
tam jde
na ssh a
program potom a ty přepínač velké vidím
ke kterému opět můžeme přidat odkaz na ten aplikace sedmnáct objekt
tady
a
_e se na příď
příkaz tedy potom se při tom
stáhne obě ty veřejné klíče zkusí je
zkus je použít při autorizaci na server pomocí vede autentizace veřejným klíčem
je to taková přije jako bezpečnější alternativa proti tomu mít ty vředy ty soukromé klíče
uložena na disku
nedej bože nezašifrované
když jsou vložené na také tak by nemělo být možné se k nim dostat s
žádným způsobem
stejně tak to lze napsat do konfiguračního souboru tento příkaz
s
další možnost _e použít ssh ten tak abychom nemuseli zapisovat ten pin pokaždé tu chvíli
kdy se připojen nějaký server čili pustil sizes agenta
přidanou pětek práce s jedenáct objekty no jestli nám jen tak funkcí se za _e
a další připojí mrož pomůže právě ty privátní klíče
s této karty
tak na probuzení kdovíjaký klíč bude použit tu chvíli kdy je tam více klíčů na
té kartě
nerozuměl
ano
a
budou vyzkoušené všechny
cože jedna z nevýhod toho přístupu jak je tam plno továrního nesetká
ten ssh se podívat co tam je všechno na veřejné klíče a postupně všechny zkouší
což je jako jednoduché čili to nemusí řešit a ve tmě někdy nechtíc pro o
řekněme
ve spektru nechcete aby všechny naše klíče byly posílány
a nějaký s na všechny se mi tam sice teďko
stejně neveme na konfigurák server aby měl s privátní týče na snad kartě nebo nějaká
tehdy ještě jsem koho
ovšem tady je problém že je potřeba předtím než na sebe spustíte zadat ten ty
což nemusí být dycky možné
a když tam nepojede cihla server tak se nepřipojíte na ten server
lze udělat su dopad bez hesla pomocí vám jestli nad intel
to vše su do a pan modul který s
který sou do použije
a opět si klidně máte a
ten privátní ty nahraný zase za agentovi
tak lze používat výrobek hesla
pro nastavení
snad karty facto přednost ten teď jedu
když pudete nastavení bezpečnost
dříve jsme ne že se klid dva je siesta
uvidíte nějaké pokoje to no a nemožné přidat opět jak a co jestli nás to
že
a to ta odsud si na starost potom vyzvedne ty certifikáty který měl srdce lze
hned izolace nebo vím sem
lze odemykat mají šifrovaný disk co šest složitější ale lux nám to možné
pravděpodobně to je
pravděpodobně to nebude možné to udělat pro o celý disk ale vstup když má zašifrovaný
pouze houpat když no tak není problém
to nastavit na
pomocí snad tak ty zadat pin norem že se vám
domovská partition a
takže co si můžeme teda noste do přednášky
snad karty jsou dnešní době hlavně pro je koukne se ve světě open source
snad pro ty použijete běžné nebezpečném uložen kryptografického materiálu
můžete nahradit pomocí znáte většinu použití hesel
negace si nás tenhle pro vývojáře lidi bude vyvíjet nějakou aplikaci která bude
že lidé veřejnou tyto grafy tak tyto grafy veřejným klíčem detekujte katce silná a můžete
použít výhody
a
je potřeba dát pozor na klíče vygenerováním finální knihovnou před rokem nebo do roku dva
tisíce sedmnáct líbilo toto a tato zranitelnost znamená
to je ode mě všechno takže děkuji za pozornost a jestli máte nějaké dotazy
tak mu state nebo dej mi někdo cítit
někdo
já s tudle chvíli osobně s na nás makat je uvidí nepoužívám
protože sem se k tomu brání je stále mám pocit jedný to nitro kým teďka
vyvíjí mít roky po je relativně otevřený
jestli někdo má zkušenosti ty trojky
jet roky po
je relativně nový relativně nový ale ještě kopeš má takový větší krabičky nešel bití ale
například to kombinuje právě s tou šifrovanou partition uvede když to připojíte
a ne než zadáte pin tak celá ta partička vůbec ne ukáže což může být
třeba výhodné na letišti vás někdo ste pohledávat intimacy usbéčko při této a chce chcou
vidět co tam je ten samý tě
nám
ještě někam
formátovat pravděpodobně nepudou to sem se na to chtěla tě někdy podívat ale když jsem
koukal třeba teďka jak
kolegové z masarykovy univerzity hledali tu zranitelnost jestli to na ohrožuje také ty na bankovní
karty tak byli nějakým způsobem schopni vytáhnout toho ty veřejné klíče a ověřit jestli to
bylo generováno touto knihou nebo ne
takže
nějak to určitě lze se k tomu připojit přečíst ty data pravděpodobně nepude
velmi pravděpodobně to nebude s formátovat
protože to je ty tety _e karty sou jako hodně specifický
první snad fanynka tam je nahrávání za tu kartu
ta brněnská šalinkartu a pouze
nějak spaluje sedět číslo té karty si vezme na tu chvíli kdy
a to ukládá do nějakej své databáze
ano
máme
dvě minuty asi na dotazy
a že je to
čtečka je většinou
něco co nějakým způsobem implementuje protokol cest cc id
jestli to je
na webu u projektu cc id recese lavice lze najít seznam podporovaných zařízení které a
by měli být schopni číst resolv standardní cc jaký pokud je to něco nestandardního tak
pravděpodobně
to nebude fungovat
ty bezkontaktní
bezkontaktní protokol bezkontaktní protokol je také součástí toho ale za standardu a některé snad karty
lze použil tak jako bezkontaktně
ale _e
že žádnou
a proc je to jeden čip akorát máte
aspoň co jsem teda viděl nějaký skener těch karet
je to sou je to součástí protokol toho protokolu existují snad karty které mají
mají ten protokol bezdrátový ale nikdy jsem pro to nic nedělal snad pro ty bezdrátového
tě utne přesně nevím tuhle jeho pobyt
záleží na tom jaká je to snad a tak tu chvíli v je to třeba
ten byt nikde máte na
tam je kolik pinu na to znak a to je ten ty první pin který
pouze tak to klidně děláte podpisy když se autentizujete
a potom je tam se květy office lepěj který používáte většinou tu který chcete něco
zapsat na tu kartu
pokud máte kartu holt firmy nebo co
vlády tak pravděpodobně nemáte tento se kirchhoff je srpen takže tam tak je povinen že
ten zapisovat
a stability máte dětí nebo vlastní kartu vlastní dala kartu
tak pravděpodobně tento kód máte yaml tam zapisovat kolik
ano dá se to dělá pomoci operace
většina vy většina věcí
skončíme
zase takže děkuji za pozornost někde dotazy