Byla vydána verze 1.96.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Společnosti IBM a Red Hat představily Project Lightwell s investicí 5 miliard dolarů. Jedná se o důvěryhodné clearingové centrum pro bezpečnost open source softwaru a zabezpečení dodavatelských řetězců s novým AI modelem a globální skupinou více než 20 000 softwarových inženýrů. Služby centra budou dostupné prostřednictvím komerčních předplatných. Project Lightwell staví na iniciativách jako Anthropic Glasswing nebo OpenAI Trust Access for Cyber.
Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 26.05. Podrobný přehled novinek v poznámkách k vydání.
Český stát by v budoucnu mohl provozovat vlastní alternativu ke komunikačním aplikacím typu WhatsApp, Signal, Telegram, Facebook Messenger a podobně. Cílem je zajistit bezpečnou datovou komunikaci pro stát a jeho důležité subjekty, jako jsou bezpečnostní složky, ministerstva a další organizace.
Už za týden, ve čtvrtek 4. června, se v Národní technické knihovně v pražských Dejvicích uskuteční další konference věnovaná tématům spojeným s IPv6 - Den IPv6. Program akce a registrační formulář jsou k dispozici na webu akce. Kapacita konference je omezená, proto organizátoři doporučují, aby se vážní zájemci přihlásili včas (k dnešnímu dni zbývá přibližně 30 volných míst). Konferenci Den IPv6 2026 organizují i letos společně sdružení CESNET, CZ.NIC a NIX.CZ.
Zařízení Steam Deck OLED bylo znovu naskladněno, ale vlivem rostoucích cen pamětí a úložišť má novou, vyšší cenovku. Steam Deck OLED 512 GB stojí nově 779 EUR (stál 569 EUR) a Steam Deck OLED 1 TB stojí 919 EUR (stál 679 EUR). Samotné zařízení se nijak nezměnilo a nové ceny tedy pouze odráží aktuální náklady na komponenty a další globální logistické výzvy, se kterými se potýká celá branže.
Český telekomunikační úřad zahajuje novou etapu využívání vysokofrekvenčního rádiového spektra v pásmu 26 GHz. Toto pásmo bude od 1. 7. 2026 otevřeno pro provoz moderních bezdrátových sítí, zejména sítí páté generace (5G), pevných bezdrátových přístupových sítí (FWA) a lokálních či průmyslových sítí určených například pro výrobní areály, logistická centra nebo technologické kampusy. Současně s otevřením pásma 26 GHz přistoupil ČTÚ ke zpřístupnění informací o využívání rádiových kmitočtů v tomto pásmu.
Logitech představil myš Signature Comfort Plus M850 L s polstrovanou opěrkou dlaně pro větší pohodlí a sadu s touto myší a klávesnicí s integrovanou opěrkou dlaní Signature Comfort Plus Combo MK880.
Gaël Duval se rozepsal o novinkách a plánech Murena a /e/OS. Počet uživatelů telefonů Murena a mobilního operačního systému /e/OS bez aplikací a služeb od Googlu se blíží 100 000. Ambicí je, aby se /e/OS stal třetí mobilní platformou v Evropě i na světě, s potenciálem dostat se i na PC. Blíží se vydání nové verze 4 s funkcemi zálohování a obnova, import e-mailů z Gmailu a rozpoznávání hlasu. Murena Workspace přinese videohovory, elektronický podpis a správu zařízení (MDM).
Dnes a zítra probíhá Ubuntu Summit 26.04. Na programu je řada zajímavých přednášek. Sledovat je lze na YouTube. Úvodní slovo měli Mark Shuttleworth a Jon Seager.
Pustíme se tedy do toho.
Nyní, když už máme připraveny všechny potřebné moduly, můžeme se pustit
přímo do vytvoření našeho skvělého šifrovaného filesystému. Rozhodněme se
například, že zašifrujeme veškerá data v adresáři /home. Již jsme
se zmínili, jak CryptoAPI podporuje šifrování filesystému pomocí loopback
zařízení, nyní si řekneme, jak to vlastne funguje.
Pokud připojujeme filesystém tradičním způsobem, tedy příkazem
mount, jako zde:
mount -t ext2 /dev/hda3 /home ,
říkáme tím vlastně kernelu, že všechny požadavky týkající se adresáře
/home a všech dat v něm uložených přísluší danému diskovému oddílu.
Pokud však použijeme loopback zařízení, bude toto přiřazení nepřímé.
Nejdříve připojíme loopback zařízení na /dev/hda3 a poté adresář
/home
přiřadíme tomuto zařízení. Výsledným efektem je fakt, že požadavky na
soubory v /home nejdou k zařízení přímo, nýbrž přes loopback zařízení.
Situaci znázovňuje následující obrázek.
Práve v něm je ono "jádro pudla". Příkazy diskovému oddílu zde mohou být zachycovány a po příslušných změnách posílány dále přímo diskovému zařízení. V našem případě se změny samozřejmě rovnají šifrování (zápis) nebo dešifrování (čtení) z disku. Viz obrázek:
Existují dva druhy šifrování dat na našem stroji. Buď k šifrování použijeme nějaké zařízení, které máme k dispozici (disk, obraz CDROM), nebo vytvoříme filesystém v souboru někde v adresářové struktuře. První případ je jednodušší, my se blíže seznámíme zejména s druhým z nich.
Zde musíme vytvořit soubor, ve kterém bude náš filesystém obsazen. Čím
větší ho vytvoříme, tím více dat do něj budeme moci uložit. Po vytvoření
již jeho velikost nemůžeme měnit, jinak bychom přišli o všechna uložená
data. Soubor musíme zaplnit daty, aby zabral příslušné místo na disku.
Zde máme dvě možnosti jak místo zaplnit. Buď použijeme nuly z
/dev/zero
nebo náhodné byty z /dev/urandom. Druhá z obou variant je pomalejší, ale
poněkud bezpečnější, útočník totiž nevidí přesně místo v souboru, kde se
uložená data nacházejí. V případě použití /dev/zero je může jasně odlišit
zjištěním, kde se nenacházejí nuly.
Dalším nezbytným krokem je nahrání potřebných modulů do kernelu. Tento krok odpadá, jestliže jsme podporu CryptoAPI a Crypto Devices zakompilovali přímo do kernelu. Jsou potřeba 4 hlavní moduly:
První tři moduly bychom měli, pokud máme správně nastavené závislosti, nahrát příkazem:
modprobe cryptoloop
Správné nahrátí všech potřebných modulů si můžeme ověřit příkazem
lsmod,
jehož výstup (nebo spíš jeho část) by měla vypadat následovně:
Module
Size
Used by Not tainted
cryptoloop
1884
0 (unused)
loop
7664
0 [cryptoloop]
cryptoapi
3204
0
[cryptoloop]
Dalším krokem je vytvoření souboru, ve kterém bude náš filesystém uložen.
Pro tento úkol použijeme příkaz dd. Zařízení
/dev/urandom
generuje pseudo náhodná data a používá k tomu zařízení /dev/random.
Poskytuje konstantní tok dat, jejichž náhodnost (entropie) se snižuje se
snižováním entropie dat poskytovaných zařízením /dev/random. Nejlepších
výsledků dosáhneme, pokud má tento tok dat k dispozici zdroj náhodných
událostí jako je pohyb myší atd. Z toho vyplývá, že po spuštění
následujícího příkazu se doporučuje co nejvíce psát na klávesnici a hýbat
myší. Obojím způsobem míru náhodnosti dat produkovaných
/dev/urandom
podporujeme. Zmíněný příkaz může vypadat následovně:
dd if=/dev/urandom of=/cryptofile bs=1M count=500
Máme tímto vytvořen 500MB soubor s názvem cryptofile v kořenovém adresáři.
Pokud jsme již nenahráli modul s šifrou do kernelu, uděláme to nyní
příkazem:
modprobe cipher-twofish
Nyní můžeme vytvořený soubor připojit jako klasické zařízení pomocí příkazu
losetup -e twofish /dev/loop0 /cryptofile
Jak jistě předpokládáte, parametrem -e určujeme použitou šifru,
/dev/loop0 je
je použité loop zařízení a /cryptofile námi vytvořený soubor. Program se
nás zeptá na velikost klíče a na heslo. Pro náš příklad mužeme zvolit
třeba 128 bitový klíč. Samozřejmě čím větší klíč zvolíme, tím bude těžší
pro neoprávněnou osobu uložená data dešifrovat (záleží ovšem i na použité
šifře).
Zadané, libovolně dlouhé heslo je použito hashovací funkcí pro
vygenerování klíče. Dalším úkolem, který bude nutné provést, je vytvoření
filesystému v našem zařízení. Pro tento účel použijeme klasický příkaz
mkfs.
mkfs -t ext2 /dev/loop0
Samozřejmě nemusíme použít zrovna Ext2; volba filesystému závisí čistě jen na nás. Teď již máme na zařízení vytvořený souborový systém a můžeme ho připojit.
mount -t ext2 /dev/loop0 /mnt/crypto
Nyní můžeme filesystém používat jako jakýkoliv jiný. Co se týče šifrovaného hlavního diskového oddílu, tak na stránkách projektu se dovídáme, že je to sice možné, ale nedoporučuje se. Z části kvůli výkonu a také proto, že při bootování vyžaduje naši pozornost. Lepší je šifrovat pouze menší množství důležitých dat. Dává nám to i větší smysl: na co šifrovat programy a části systému, které jsou naprosto běžné na každém počítači, kde je používán Linux.
Pokud odpojujeme šifrovaný diskový oddíl, je nutné použít kromě
příkazu umount i losetup, kterým odpojíme loop
zařízení. Pokud bychom použili jen příkaz umount, může další
uživatel přípojit tento diskový oddíl bez znalosti hesla! Použijeme tedy
například následující sekvenci příkazů:
umount /mnt/crypto
losetup -d /dev/loop0
Doufejme, že tento seriál všem zájemcům pomohl dostat se do problematiky šifrovaných filesystému, jen bych ještě měl jednou připomenout, že CrytoAPI je pouze jakési rozhraní a jeho možnosti použití jsou daleko širší.
CryptoAPI vypadá velmi slibně. a v budoucnosti se to ještě zlepší. Tým vyvíjejíci CryptoAPI má v plánu zpřehlednit a normalizovat styl implementace jednotlivých šifer, jelikož některé implementace byly přebrány odjinud. Dále má v plánu implementovat šifry přímo v assembleru pro jednotlivé architektury. Ovšem to vše nejspíš závisí na dostatku pracovních sil. Pokud by do toho někdo měl chuť, jistě by vaši pomoc jen uvítali.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
Obejiti nutnosti roota lze vyresit pridanim sifrovaneho systemu do fstabu (alespon v Mandraku):
/cryptofile /mnt/crypto ext2 defaults,noauto,loop,encryption=AES256,nodev,users,exec 0 0
No - behem behu systemu, kdyz je to primountovane je to v pameti, po odmountovani (rebootu) to je pouze ve Vasi hlave. Kriticke je, kdyz se nekdo dostane fyzicky k Vasemu pocitaci. To pak napriklad (pokud je namountovany sifrovany system) muze vytrhnout kabel ze site a pak prohlidnout harddisk (swap) z jineho pocitace. S trochou stesti bude heslo prave ve swapu.
Ale i po rebootovani ho lze teoreticky dostat. Slysel jsem, ze lze z harddisku precist az 6 vrstev zpatky (po prepsani)!
Tzn. pro paranoiky: Sifrovat i swap!
))
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
11.7.2003 11:23