Společnost OpenAI oznámila [𝕏], že ukončí aplikaci Sora pro generování krátkých videí pomocí umělé inteligence. Podrobné informace a harmonogram pro aplikaci a API budou brzy zveřejněny.
Evropská směrnice NIS2 přináší nové požadavky v oblasti kybernetické bezpečnosti, které se promítají také do správy doménových jmen. Do českého právního řádu je směrnice implementována prostřednictvím nového zákona o kybernetické bezpečnosti. Jedním z praktických důsledků této legislativní změny je posílení požadavků na dostupnost a správnost kontaktních údajů držitelů domén. Správce registru domény .cz, sdružení CZ.NIC, je v
… více »Jonathan Thomas oznámil vydání nové verze 3.5.0 video editoru OpenShot (Wikipedie). Zdrojové kódy OpenShotu jsou k dispozici na GitHubu. Ke stažení je i balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo na spouštění a spustit.
Byla vydána (𝕏, Bluesky) nová verze 2026.1 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem 8 nových nástrojů v oficiálním oznámení na blogu.
Vláda jmenovala novým zmocněncem pro digitalizaci a strategickou bezpečnost prvního náměstka ministra vnitra Lukáše Klučku. Ten ve funkci nahradil poslance Roberta Králíčka poté, co Králíček na tento post vládního zmocněnce rezignoval. Klučka chce do roka digitalizovat všechny státní služby tak, aby vyhověly zákonu o právu na digitální služby, přičemž dosavadní plán Fialovy vlády počítal s dokončením digitalizace až někdy v roce
… více »Byl vydán Mozilla Firefox 149.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Vypíchnout lze bezplatnou vestavěnou VPN s 50 GB přenesených dat měsíčně, zobrazení dvou webových stránek vedle sebe v jednom panelu (split view) nebo možnost přidat poznámky k panelům (Firefox Labs). Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 149 bude brzy k dispozici také na Flathubu a Snapcraftu.
Byly vydány nové verze 5.3.0 a 6.0.0 svobodného multiplatformního programu pro skicování, malování a úpravu obrázků Krita (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Obě verze vycházejí ze stejného zdrojového kódu – rozdíl je v použitých verzích Qt a KDE Frameworks. Krita 6.0.0 je první vydání postavené na Qt 6 a stále je považovaná za experimentální. Má lepší podporu Waylandu. Přináší podporu protokolu Wayland
… více »Byla vydána nová verze 10.2 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Vypíchnout lze nové balíčky Immich, Immich Machine Learning, uv a RustDesk Client.
TypeScript (Wikipedie), tj. JavaScript rozšířený o statické typování a další atributy, byl vydán v nové verzi 6.0. Příští verze 7.0 je kvůli výkonu přepisována do programovacího jazyka Go.
Christian Schaller z Red Hatu na svém blogu popsal své zkušenosti s používáním AI při vývoji open source aplikací pro Linux. Pomocí různých AI aktualizoval nebo vytvořil aplikace Elgato Light GNOME Shell extension, Dell Ultrasharp Webcam 4K, Red Hat Planet, WMDock, XMMS resuscitated (aktualizace z GTK 2 a Esound na GTK 4, GStreamer a PipeWire) a Monkey Bubble. SANE ovladač pro skener Plustek OpticFilm 8200i se mu zatím nepovedl.
Tento článok je jemným úvodom do problematiky bezpečnej elektronickej komunikácie. Ten, kto chce komunikovať v prostredí internetu bezpečným spôsobom, má na výber dve technológie. Jednou je použitie systému PGP resp. jeho implementácie GPG. Jeho charakteristikou je to, že dôveryhodnosť komunikácie je založená len na vzťahu odosielateľa a príjemcu. V istých situáciách však tento spôsob nie je vyhovujúci. Ak chceme komunikovať so štátnymi inštitúciami alebo servermi, ktoré sú prakticky mimo náš dosah, otvára sa priestor pre systém bezpečnostných certifikátov. Z technického hľadiska je tento systém označovaný skratkou SSL - Secure Socket Layer - ak ho chceme používať, tak najlacnejšou cestou je použitie balíka OpenSSL.
V systéme SSL nie je nutné, aby sa príjemca a odosielateľ navzájom osobne poznali. Overenie ich totožnosti zabezpečuje certifikačná autorita - CA. Je to organizácia, ktorá vydáva bezpečnostné certifikáty. Sú to dátové konštrukcie umožňujúce používanie elektronického podpisu. Ak dostanem správu od používateľa XY a tá správa je podpísaná jeho certifikátom, ktorý vydala CA, tak CA ručí za to, že ten certifikát bol vydaný práve používateľovi XY a nikto okrem neho nemohol vytvoriť príslušný podpis. Certifikáty tiež obsahujú kryptografické údaje, ktoré je možné použiť na šifrovanie dát pri elektronickej komunikácii.
Vo svete existuje mnoho certifikačných autorít. Sú to organizácie, ktoré na požiadanie vydajú certifikát, ktorý potom možno použiť na bezpečnú elektronickú komunikáciu. Medzi najznámejšie patrí RSA Security Inc. či VeriSign Inc. Ich certifikáty často používajú banky a medzinárodné internetové obchody. Certifikačná autorita ako organizácia musí dodržiavať prísne bezpečnostné pravidlá - počnúc fyzickým zabezpečením priestorov, kde sa činnosť CA vykonáva, cez off-site zálohy, až po bezpečnostné previerky pracovníkov a podobne. S tým sú prirodzene spojené náklady, ktoré CA často prenáša na svojich klientov. Vydanie certifikátu je preto spravidla platená služba. Existujú ale aj CA, ktoré vydávajú certifikáty za nízku cenu resp. zadarmo. Medzi najznámejšie CA tejto triedy patrí Thawte. Na Slovensku aj v Čechách platí už niekoľko rokov Zákon o elektronickom podpise, ktorý pre účely právne záväzného elektronického podpisu vyžaduje použitie štátom uznanej certifikačnej autority. Povolenie na činnosť CA vydáva Národný bezpečnostný úrad. Ten takisto vydáva bezpečnostné predpisy pre činnosť CA, vykonáva ich kontrolu a funguje ako "koreňová CA" - podpisuje certifikáty komerčných certifikačných autorít. Na Slovensku medzi akreditované CA patrí napr. CA EVPÚ v Novej Dubnici. (V Čechách certifikáty vydáva napr. aj Česká pošta, ale nie som si istý či tieto certifikáty spĺňajú všetky náležitosti vyžadované českou legislatívou.)
V niektorých situáciách nám postačí CA, ktorú si vytvoríme sami. Jediným problémom je, že musíme všetkých ľudí, s ktorými chceme komunikovať pomocou certifikátov vydaných našou CA, presvedčiť o dôveryhodnosti tejto CA. Certifikačné autority ako VeriSign, Thawte a pod., si svoju dôveryhodnosť získali mnohoročným pôsobením na trhu. Našťastie urobiť si vlastnú certifikačnú autoritu technicky nie je nijako zložité. Použijeme program OpenSSL. Pravdepodobne tak nesplníme podmienky, ktoré stanovuje Zákon o elektronickom podpise, ale pre účely nahliadnutia do problematiky to stačí. S použitím programu OpenSSL vytvoríme CA nasledovne:
V prvom rade vytvoríme súbor s parametrami pre vytvorenie DSA kľúča
openssl dsaparam -outform PEM -out CAdsaparamfile -genkey 1024 Generating DSA parameters, 1024 bit long prime This could take some time ...+++++++++++++++++++++++++++++++++++++++++++++++++++* .......+.....+.+..........+....+............+.+......................+.......... ...+...........+...............+.........+.......+..........+................... +..+.....+.+...........+....+.+.......+..............+....+................+.... .......+............+.............+..+......+.+...+.+....+.+.................... ....+.......+.+................+............+.....+.....+..+....++++++++++++++++ +++++++++++++++++++++++++++++++++++*
Prvý parameter hovorí, že vytvárame DSA parametrický súbor. Ďalšie
parametre hovoria, že výstup je vo formáte PEM, výstupný súbor bude mať meno CAdsaparamfile a generovaný
kľúč bude mať dĺžku 1024 bitov. Balík OpenSSL používa konfiguračný súbor.
Ten by mal byť spravidla umiestnený v /etc/ssl/openssl.cnf.
Tam môžu byť preddefinované rôzne štandardné nastavenia. V tomto článku sa
ho budem snažiť používať čo najmenej a pokiaľ možno, všetky požadované
nastavenia definovať cez prepínače na príkazovom riadku.
Ďalším krokom je vytvorenie DSA kľúča:
openssl gendsa CAdsaparamfile -out CAdsaprivtekey Generating DSA key, 1024 bits
Parametre tentoraz hovoria, že generujeme DSA kľúč s parametrami uvedenými v CAdsaparamfile a výstupný súbor sa bude volať CAdsaprivtekey.
Nasleduje predposledný krok - vytvorenie požiadavky na certifikát samotnej CA:
openssl req -new -x509 -key CAdsaprivtekey -out CAcertificate You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank. For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:SK State or Province Name (full name) [Some-State]:Slovakia Locality Name (eg, city) []:Trencin Organization Name (eg, company) [Internet Widgits Pty Ltd]:Rastos Certificate Authority Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []:rastos CA Email Address []:
V parametroch vidíme, že vyrábame požiadavku (request) pre vytvorenie
nového certifikátu typu X509 s použitím DSA kľúča v súbore CAdsaprivtekey.
Výsledný certifikát bude uložený do súboru s názvom
CAcertificate. Tento certifikát budeme používať pre vytváranie
certifikátov jednotlivých používateľov. Súbor s certifikátom je zakódovaný
base64 kódovaním. Vyzerá takto:
-----BEGIN CERTIFICATE----- MIIDuTCCA3mgAwIBAgIJANc8qEjrcbHnMAkGByqGSM44BAMwXjELMAkGA1UEBhMC ... LAIUWMK6QHBbzNzOG4VznLxaXubHsKcCFDEXLLUV8REDXxLwTdQajeDWeerI -----END CERTIFICATE-----
Ak chceme vidieť jeho obsah v zrozumiteľnej forme, pomôže nám tento príkaz:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
openssl x509 -text -in CAcertificate -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
d7:3c:a8:48:eb:71:b1:e7
...
Pre fungovanie CA je potrebné urobiť ešte jeden krok - vytvoriť súbor, v ktorom bude OpenSSL udržiavať aktuálny zoznam vydaných a aj neplatných certifikátov a ich počet:
mkdir demoCA touch demoCA/index.txt echo 01 > demoCA/serial
Umiestnenie týchto súborov definuje konfiguračný súbor:
[ CA_default ] dir = ./demoCA # Where everything is kept database = $dir/index.txt # database index file. serial = $dir/serial # The current serial number
Ak chce používateľ dostať certifikát od našej CA, musí nám najprv poslať požiadavku (request):
openssl req -new -out RScertrequest -keyout RSprivatekey Generating a 1024 bit RSA private key ......................................++++++ .++++++ writing new private key to 'RSprivatekey' Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. ...
Všimnite si, že program si vypýtal "PEM pass phrase" - to je heslo, ktoré budeme používať pri vytváraní elektronického podpisu. Jeho bezpečnosť je dôležitým prvkom bezpečnosti celého systému.
Certifikačná autorita by si mala teraz overiť, že požiadavka skutočne patrí osobe, ktorá ju doručila a potom môže vytvoriť samotný certifikát:
openssl ca -in RScertrequest -out RScertificate.pem \ -policy policy_anything -outdir . -cert CAcertificate \ -keyfile CAdsaprivtekey -verbose -days 365 Using configuration from /etc/ssl/openssl.cnf 0 entries loaded from the database ... Certificate is to be certified until Feb 11 21:22:57 2007 GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries writing new certificates writing ./01.pem Data Base Updated
V tomto príkaze sú použité parametre, ktoré hovoria, že CA použije
požiadavku RScertrequest na vytvorenie certifikátu podpísaného
certifikačnou autoritou. Tento certifikát bude spôsobilý na všetky úkony
(šifrovanie/podpisovanie/...) a bude vytvorený s použitím certifikátu
CAcertificate a súkromného kľúča v CAdsaprivtekey
a bude platný 365 dní. Súbor
RScertificate.pem teda CA vráti žiadateľovi a ten ho môže
odteraz používať pre komunikáciu pomocou SSL. Certifikačná autorita si
ponecháva jednu kópiu z podpísaného certifikátu v súbore
01.pem. Z overeného certifikátu si môžeme vytiahnuť verejný
kľúč, ktorý budeme potrebovať pri overovaní podpisu.
openssl x509 -noout -pubkey -in RScertificate.pem > RSpublickey
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
Jaká je principiálně výhoda SSL oproti GNUPG? V článku se píše, že tím hlavním rozdílem, je to, že u SSL stačí znát CA aby si oba důvěřovali, ale u GNUPG přesi stačí si osobně vynměnit klíče a je to ještě bezpečnější. A když si mohu zajistit certifikát od CA, tak proč bych si nemohl zajistit GPG klíč od protistrany? Navíc GPG klíč mohu dále podepisovat a distribuovat, takže to funguje tak nějak přirozeně samo. To mě totiž vytáčí, že úřady začínají požadovat certifikáty, za které by bylo nutné platit CA a odmítají si vyměnit klíče osobně. Jaký je problém aby patřičný úřad byl defakto takovou CA?
že občanské průkazy jsou nesmysl, že by stačilo, kdybyste se každému úřadu prokázal jinak, že se jedná zrovna o VásDovede-li se tato představa důsledně do analogie s PGP, musel byste s sebou přivést někoho (A), kdo vás zná. Ten (A) by s sebou přivedl někoho (B), kdo zná jeho (A). (B) by s sebou přivedl někoho... až někonec by byl někdo (X), koho zná úředník
Podle 6 stupňu odloučení by vám měli stačit 4 lidi
25.2.2006 12:18
Petr Tomášek | skóre: 39
| blog: Vejšplechty
)
Druhá výhoda CA je ta, že ručí za certifikát přímo. U GPG víte, že Franta podepsal klíč Pepovi, Frantovi ho podepsala Jitka, Jitce Blanka, a s Blankou jste si klíš vyměnil. Budete všem těm lidem mezi opravdu věřit? Úřad jim samozřejmě věřit nemůže, a nelze se na tento řetězec spolehnout ani v žádném případě, který má mít nějakou právní váhu - všechny ty články řetězu by se totiž stali spoluručiteli, a to předem, aniž by věděli, za co vlastně ručí.
Úřad si s vámi nemůže vyměňovat klíče a být "takovou" CA, protože úřad si nemůže dělat, co se mu zlíbí - vynakládat "jen tak" peníze na vytvoření důvěryhodné CA, zaškolovat lidi apod.
Od toho tu tá diskusia je Nikde netvrdím, že som miestny expert na SSL. Je pravda, že článok je miestami nepresný. Ale cieľom je vysvetliť princípy. A neunudiť pritom čitateľa na smrť.
- To nie je specifickou vlastnostou SSL, ze prijemca a odosielatel sa nemusia poznat. To je vlastnost PKI.
To tiež nie je celkom presné. V článku poukazujem na to, že fyzické overenie toho, že certifikát C patrí osobe O robí certifikačná autorita a nie ten, kto skúma konkrétny elektronický podpis nejakého dokumentu.
- Co ste napisali: "Ak dostanem správu od používateľa XY a tá správa je podpísaná jeho certifikátom," je upl na haluz .. sprava (presnejsie jej hash) sa podpisuje sukromnym klucom a v certifikate je ulozeny len k nemu zodpovedajuci verejny kluc.
Správne.
- CA nepotrebuju na svoju cinnost "povolenie na cinnost", ale akreditaciu od Narodneho bezpecnostneho uradu.
Slovník vraví akreditácia == "úradné oprávnenie vykonávať istú činnosť"
- Garantom el. podpisu (podla ceskeho zanoka digitalneho) v ceskej republike nie je NBU, ale ministerstvo in formatiky.
Dobre vedieť. To som nevedel a o právnom pozadí v ČR som sa vyjadroval
v článku dosť opatrne
- NBU nevydava "bezpecnostne predpisy pre CA". Hlavnym predpisom CAcky je jej bezpecnostna politika. TU si v ydava sama. NBU moze na CA posobit len bez vyhlasky, alebo (ne)udelenim akreditacie.
Tak dobre. Ja neprevádzkujem verejnú CA a ten, kto ju chce prevádzkovať musí vedieť viac, ako to čo je v tomto článku. NBÚ SR publikuje na svojich stránkach "metodika auditu SW aplikácií pre ZEP","vzor protokolu o kompilácii", "Schválené formáty" a niekoľko vyhlášok a predpisov popisujúcich najrôznejšie aspekty od technického zabezpečenia budov CA, cez off-site backup-y, disaster recovery a podobne. Ak sa cítiš dostatočne fundovaný, tak o tom napíš článok. Čitatelia budú vďační.
- CA EVPU nesidli v Dubnici nad Vahom, ale v Novej Dubnici.
Pravda je. Vzhľadom na to, že sme na českom serveri a väčšina čitateľov by mala problém nájsť to na mape - dúfam, že mi odpustia.
- Nie je pravda, ze konfiguracny subor "by mal byť spravidla umiestnený v /etc/ssl/openssl.cnf". Napriklad j a ho mam na linuxe v /usr/lib/ssl/openssl.cnf, na solarise bol defaultne ulozeny /usr/local/ssl/openssl.cnf.
Ok. Podla zdrojákov, je default /usr/local/ssl -
ale do hry vstupuje LSB, ktoré hovorí, že system-wide konfigurácia
má byť pod /etc.
Xerces: S PGP skusenosti nemam, aj ked s el. podpisom robim uz 2 roky(robim = je to hlavna napln mojej prace). Jedna k na komunikaciu medzi serverom a klientom mozes pouzit len SSL. To je hlavnou naplnou tohto protokolu.
To bude vysvetľovať, prečo mám pocit, že Ťa ten článok zdvihol zo stoličky.
Pass phrase nie je "heslo, ktoré budeme používať pri vytváraní elektronického podpisu". Je to o tom, ze privatny kluc je ulozeny v zasifrovanej pomocou symetrickej sifry. Kluc, ktorym je zasifrovany sa ziskal z tohto hesla.
Správne. Uff. Je piatok vecer a ja mam dost. Bol by si ochotný urobiť reviziu druheho dielu članku?
Nie, my Novodubničania ti neodpustíme :) A Novú Dubnicu vôbec nie je ťažké na mape nájsť. Nájdeš ju aj na Google Earth.
Ak sa cítiš dostatočne fundovaný, tak o tom napíš článok.
Ty ho píšeš a vzhladom na množstvo nepresností, na ktoré ťa lovec upozornil, by si na svojej fundovanosti mal poriadne zapracovať.
Inak, dobrá téma.
RSpublickey (logicky z nazvu - verejny klic) musi ho mit i prijemce,ze?
RSprivatekey (logicky z nazvu je to prave to oko v hlave - privatni klic)
RScertificate.pem (co je ale toto? To je snad privatni klic vcetne verejneho klice? Tomu prave nejak nerozumim).
A soubor p12 je nejaky balik privatniho a verejneho klice, co akceptuji mailovy klienti?
Snad pochopite o co mi jde a pripadne mi poradite. Budu Vam moc vdecny. Karlik