Byl vydán Mozilla Firefox 114.0. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Nově jsou také na Linuxu podporovány USB FIDO2/WebAuthn bezpečnostní klíče. WebTransport je ve výchozím stavu povolen. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 114 je již k dispozici také na Flathubu a Snapcraftu.
Byla vydána červnová aktualizace aneb verze 2023.06-1 linuxové distribuce OSMC (Open Source Media Center). Z novinek lze zdůraznit povýšení verze multimediálního centra Kodi na 20. Na léto je plánováno představení nového vlajkového zařízení Vero, jež nahradí Vero 4K +.
Už zítra 7. června od 17 hodin proběhne SUSE Czech Open House 2023 aneb den otevřených dveří pražské pobočky SUSE. Těšit se lze na komentovanou prohlídku nebo přednášku o spotřebě procesorů.
Na vývojářské konferenci Applu WWDC23 byla představena řada novinek (cz): brýle Apple Vision Pro, MacBook Air 15” s čipem M2, Mac Studio s čipem M2 Max nebo M2 Ultra, Mac Pro s čipem M2 Ultra, iOS 17, iPadOS 17, macOS Sonoma, watchOS 10, …
Chystá se poslední jarní Virtuální Bastlírna. Nachystejte si ledové kávy, mojita a vodní chladiče a pojďte se se strahovskými bastlíři pobavit o technice a bastlení! Ptáte se, co mají bastlíři za novinky? Například se ukázalo, že OLED s SSD1306 ve skutečnosti nejsou nutně jen černobílé. Vyšla také nová verze KiCADu včetně betaverze pluginu pro tvorbu databázových knihoven pro KiCAD v InvenTree a na internetu se objevil USB
… více »6. červen je dnem za skutečný internet (neboli Světový den IPv6). Již tradiční příležitost urgovat svého ISP, kdy zavede do sítě IPv6, ale také příležitost šířit osvětu i mezi netechnické uživatele. V současnosti má IPv6 v ČR jen cca 20 % uživatelů (podle statistik společností Akamai a Google).
Festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí Maker Faire Prague 2023 proběhne o víkendu 10. a 11. června na Výstavišti Praha.
Byla vydána verze 8.18 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání.
Projekty Blink a Blinkenlights dospěly do verze 1.0. Jedná se o x86-64-linux emulátor a jeho TUI nadstavbu sloužící jako debugger. Blink je v porovnání s qemu-x86_64 menší a rychlejší.
Bylo potvrzeno, že Debian 12 s kódovým jménem Bookworm vyjde v tuto sobotu 10. června.
z toho, co jsem nabrouzdal bych řekl, že si nabíhám na flame.. No, snad to tak nedopadne.
Jde mi zejména o uživatelskou nenáročnost u protistrany především z ČR + mít otevřenou možnost pro komunikaci s úřady. Vychází mi z toho lépe S/MIME. Dostupné v klientech (Outlook, Lotus Notes, atd.) + naše legislativa (by mě zajímalo, proč jen S/MIME). To co mne zvyklává je údajná oblíbenost v linuxové komunitě a inklinace ke slovíčku "Open" 
Moja predstava o "zabezpečením toho, aby privátní klíč za žádnou cenu neunikl" je skutočne dobrý zámok na skutočne dobrých dverách do miestnosti bez okien a internetového pripojenia, v ktorom sú 1-2 obyčajné PC. K tomu dobrý systém zálohovania a SBS-kár pred dvere
Ja viem, že ono je to trochu zložitejšie. Ale na druhej strane platiť pár sto až tisíc korún ročne za vec, ktorú použijem raz za uhorský rok (ak nie som podnikateľ) mi pripadá veľa. Navyše odobrený HW funguje len na MS Windows (tm)(c) - aspoň pokiaľ som mal možnosť vidieť.
Problém vidím v tom SW, ktorý má realizovať ten prenos do a z krabičky. IMHO na to treba drajvery, ktoré sa asi nerobia podľa nejakých noriem.http://en.wikipedia.org/wiki/PC/SC
http://linux.die.net/man/8/pcscd
http://packages.debian.org/lenny/pcscd
http://www.gnupg.org/howtos/card-howto/en/smartcard-howto-single.html
Díky za linky. Stále ale vo mne hlodá červík pochybnosti o tom, že pscd či gpg vie komunikovať s tými konkrétnymi zariadeniami, ktoré som linkoval vyššie.
Mám pocit (…), že ten certifikát, ktorý dostaneš od CA je uložený na čipovej karte.
Na čipový kartě je uložen soukromý klíč. Naopak certifikát je veřejný.
ako človek išiel do CA v CR alebo SK, došiel domov s niečím, doma sadol za linuxový stroj a poslal podpísaný e-mail.
Já jsem viděl, dokonce jsem takové klíče a žádost vyráběl. Žádost na disketě se odebrala s dotyčnou osobou k autoritě, ta ověřila totožnost osoby a shodu údajů v žádosti, vybrala poplatek a za nějakou dobu přišel e-mailem certifikát.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
9.12.2008 17:25
OpenSSL na disku, a s privátním klíčem si můžete dělat, co chcete. Na CA to nepoznají, zda privátní klíč k té žádosti máte uložený na disku nebo na kartičce.
Ja netvrdím, že som expert na danú problematiku. Ale presvedčil by ma nejaký blog, ktorý skutočne popisuje, ako človek išiel do CA v CR alebo SK, došiel domov s niečím, doma sadol za linuxový stroj a poslal podpísaný e-mail. Doteraz som taký nevidel.To si klidně můžete vyzkoušet doma, tu CA k tomu nepotřebujete, můžete si ji udělat sám
Jinak s certifikáty vydanými českými CA jsem bez problémů pracoval jak s OpenSSL pod Linuxem tak s Javou z Windows nebo Linuxu. Certifikát žádné české komerční CA nemám, takže jsem oficiálně nikdy žádný odpovídající privátní klíč neviděl, ale vím, že to taky funguje
To si klidně můžete vyzkoušet doma, tu CA k tomu nepotřebujete, můžete si ji udělat sámTo mi povídej
Celú dobu rozprávam o certifikátoch použiteľných pre komunikáciu so štátnymi úradmi. Tam nejde len o to či nájdem SW ktorý to dokáže, ale o to, aké mantinely stavia a) zákon a b) skutočná CA, ktorá má licenciu NBÚ. Darmo budem mať request vyrobený v OpenSSL, keď mi v CA napr. povedia, že sú mi nanajvýš ochotní tak predať SafeNet iKey 2032/2032 FIPS s privátnym kľúčom už vygenerovaným a uloženým na ňom (to bol príklad, neviem či to tak skutočne je). A k tomu CD s driverom pre Windows, alebo (v tom lepšom prípade) Mandrivu 9.2. Keby šlo používať PGP/GPG, tak by bolo po starosti.
takže za těmi bezpečnými dveřmi ten certifikát budete mít tak 6 hodiny denně, a po zbytek dne vám bude lítat bůhví kde.
Střeží ze soukromý klíč autority, nikoliv jakýkoliv certifikát.
Navíc se nikam nic nenosí a nic nikde nepoletuje. Podepisovací mašina autority je zavřená v nepřístupné (fyzicky, elektromagneticky) místnosti a jediný, kdo zná soukromý klíč autority, je ona mašina. Když je třeba vyrobit certifikát, pověřená osoba odešle žádost po lince podepisujícímu stroji, ten vyrobí certifikát a po stejné lince jej pošle ven. Fyzický přístup k těmto strojům je prakticky nemožný.
Pak je ještě potřeba zabezpečit přístup k terminálu, který mašině požadavky na certifikáty posílá, a ochránit osoby, které k danému terminálu mají přístup…
Střeží ze soukromý klíč autority, nikoliv jakýkoliv certifikát.Ano. Mám zlozvyk říkat čemukoli kde je nějaký klíč nebo něco podepsané certifikát. To je samý správce certifikátů, export certifikátu, a pak člověk píše certifikát i místo soukromého klíče.
Navíc se nikam nic nenosí a nic nikde nepoletuje. Podepisovací mašina autority je zavřená v nepřístupné (fyzicky, elektromagneticky) místnosti a jediný, kdo zná soukromý klíč autority, je ona mašina. Když je třeba vyrobit certifikát, pověřená osoba odešle žádost po lince podepisujícímu stroji, ten vyrobí certifikát a po stejné lince jej pošle ven. Fyzický přístup k těmto strojům je prakticky nemožný.Tím se ale problém s bezpečností pouze přesunul k terminálu a lince k podepisujícímu stroji. Já jsem tím obrazně chtěl říci hlavně to, že dokonale nepřístupný privátní klíč je zároveň dokonale k ničemu. Takže to zabezpečení musí k privátnímu klíči pustit „to správné“ (oprávněné požadavky na podpis), což celé zabezpečení samozřejmě prodražuje.
díky za upřesnění pojmů - takto mi to konečně zapadlo
jaké krabičky?
jaké krabičky?USB tokeny, čítačky čipových kariet a podobne
nbusr123 
Zpočátku se v Česku mohlo systémové (= automatizované bez lidského zásahu) podepisování provádět také jen certifikovanými krabičkami. Ale úřady si stěžovali, že to je moc drahý, a tak daná vyhláška rychle šla do legislativního koše.
Pokud to je u vás stále vyžadováno, dejte stroj s OpenSSL pod zámek. OpenSSL má opět FIPS 2 certifikaci.
PGP/GPG ho přece může používat už dávno, stačí jen změnit styl práce s ním: prostě si stáhneš klíč Franty a zjistíš, že ho podepsala Mařenka a Pepík a pak ještě nějaký VeriSign. Mařenku a Pepíka neznáš, tak jejich podpisy ignoruješ a VeriSignu věříš, takže to asi fakt bude Frantův veřejný klíč. Takže to, že u GPG jde podepsat jeden klíč více lidmi (autoritami) není ničemu na škodu → pro systém postavený na certifikačních autoritách jde použít i GPG.
Osobně považuji obě tyto technologie za dost vyrovnané. Pro e-mail mi přijde pohodlnější S/MIME, pokud má člověk certifikát od nějaké uznávané CA (třeba osobní od Thawte*), protože takto podepsaný dopis vypadá ve většině klientů důvěryhodně, aniž by si příjemce musel cokoli instalovat.
*) BTW: Thawte přináší principy sítě důvěry i do světa S/MIME.
Také existuje projekt Enigform snažící se nahradit SSL a TLS právě OpenPGP.
GnuPG 2 umí také S/MIME. S S/MIME lze tak pracovat stejně jako s OpenPGP. Místo gpg stačí použít gpgsm.
> ale, pokud vím, nemá vazby k dalším standardům
K te navaznosti na dalsi standardy to neni tak jednoznacne - napriklad OpenPGP pouziva standardni RFC 1847 (MIME-SECURE) pro integraci s e-mailem, zatimco S/MIME pouziva RFC 1847 jen castecne (jako moznost pro podpis pripousti multipart/signed mime typ, ale pro sifrovani jen vlastni application/pkcs10 mime typ).
Jasně že mám oboje, byť přiznávám, že OpenPGP jsem ještě nezveřejnil
díky všem. Budu upřednostňovat a okolí doporučovat X.509, byť moje distro má kódy podepsány pomocí GPG
Následující je bonusovka, ale když někdo odpoví, zlobit se nebudu
Neznáte někdo důvody, proč státní správa nerespektuje např. Verisign (potažmo Thawte) či TC TrustCenter - prostě něco z toho, co má certifikáty součástí instalace? Navíc, když jsem před nějakou dobou zkoušel certifikát Pošty, nezdálo se, že by sami byli nějak certifikováni (předpokládám, že tu jde opět o peníze, ale možná za tím je něco jiného). Bezpečnostně v tom problém nevidím, jen to může trošku zaskočit uživatele a asi to přidává práci správcům.
procpání +1
moc nevím, co si představit pod ..outsourcovali správu identit.. ani pod tím, jak se do věci promítá naše právo. No, tohle může být zajímavé i na úrovni EU (ach jo, zas jedna vyřešená otázka přivádí celý zástup jiných, ještě vypečenějších )
Na úrovni EU? Děkuji, ale nechci
Ad outsourcing: Jestli má mít elektronický podpis právní váhu, je potřeba CA plně důvěřovat a mít ji pod kontrolou tak, aby nevydávala certifikáty neoprávněným osobám.
> Žádoucí by ale bylo procpat ty naše CA do poštovních klientů.
Spis by bylo zadouci, aby linuxovy software neprebiral v tomto manyry proprietarnich programu a nerozhodoval za uzivatele, kterym organizacim uzivatel implicitne duveruje. IMHO by mnozina duveryhodnych CA u cerstve nainstalovaneho software mela byt prazdna, aby si uzivatel vybral ty, kterym opravdu duveruje. (Distribuce by samozrejme mohly dodavat i sady certifikatu ryznych CA, jen by nebyly implicitne v mnozine duveryhodnych.)
S tímhle bys u většiny uživatelů narazil, a IMHO by to vedlo jen k tomu, že by si zvykli, že musí každému serveru přidat výjimku, čistý OS po instalaci by byl o něco méně použitelný než dnes. Kromě toho se na tom dá i něco trhnout, když zařadíš certifikát CA do nějakého oblíbeného prohlížeče či klienta.
hmm, to s tím dealerstvím má dost logiku - do toho bych se také nehrnul.
Jsem netušil, co ty certifikáty jsou za mazec. No, ještě že máme ty nejdelší noci
Z hlediska fungování X.509 je skutečně rozdíl mezi autoritou a kořenovou autoritou.
Z praktického hlediska by ale bylo dobré, kdyby české kvalifikované autority vzaly svůj veřejný klíč a ten nechaly podepsat těmi, co mají certifikát od jiné autority. Uživatel by si platnost tohoto podpisu musel kontrolovat ručně, ale bylo by aspoň něco. Takhle musíte zvednout telefon a přesvědčovat slečnu na informační lince, aby vám řekla otisk veřejného klíče svého zaměstnavatele. Zrovna tak by měly tyto otisky být k dispozici na úřadech jakožto úředně ověřený dokument atd.
Z praktického hlediska by ale bylo dobré, kdyby české kvalifikované autority vzaly svůj veřejný klíč a ten nechaly podepsat těmi, co mají certifikát od jiné autority.Jak už jsem psal, problém je v tom „nechaly“. Kdo by jim to podepsal? Myslíte, že je možné jen tak přijít do Thawte a říct jim, ať mi tady podepíšou můj certifikát certifikační autority? Vždyť by tím museli začít ručit za všechny certifikáty, které vydá moje CA. Nechce se mi to hledat, ale celkem pochybuju o tom, že vůbec tyhle všeobecně známé CA mají kořenový certifikát s povolenou dostatečně dlouhou certifikační cestou, aby se do té cesty vešel ještě jeden (či dokonce více) certifikátů našich QCA.
Právě toto omezení je dáno stromovitostí PKI (popravdě řečeno PKI takhle má vypadat, ale jak vidno nikdo to tak nechce).
Proto jsem navrhoval jiné řešení: QCA si nechá vystavit podepisující certifikát od jiné autority a pomocí tohoto cizího certifikátu podepíše svůj kořenový veřejný klíč (nebo celý kořenový certifikát) jako jakýkoliv jiný shluk dat.
Existuje ještě druhé rafinovanější řešení (ale asi jej zakazuje zákon): Vytvořit žádost ze stejného páru klíčů, který slouží jako kořen, a tuto žádost poslat cizí autoritě. Technicky vzato totiž můžete mít na stejný klíč vystaveny zcela odlišné a nezávislé certifikáty.
Takto nevznikne automaticky ověřitelná cesta důvěry, ale bude snadnější ověřit pravost kořenového certifikátu české QCA. Považuji to za mnohem lepší řešení, než to současné, kde vám autorita radí „nainstalujte si náš kořenový certifikát z naších webových stránek bez jakéhokoliv ověření původnosti.“
http na začátku bohužel není vtip, HTTPS varianta zřejmě neexistuje.
Obrovskou výhodou OpenPGP je decentralizovanost. OpenPGP nepotřebuje žádnou CA. Pokud dva lidi chtějí bezpečně komunikovat, nepotřebuji k tomu třetího. Sami si klíče vygenerují a bezpečně vymění. Pokud mám cizí OpenPGP klíč (certifikát), sám mohu rozhodnout o jeho důvěryhodnosti. Pokud jej podepíšu, stává se můj podpis součástí certifikátu a zaleží pouze na dalších osobách, jak moc jsem pro ně důvěryhodný. Navíc může být součástí OpenPGP certifikátu fotka vlastníka. To, že státní správa akceptuje jenom X.509 je pouze politické rozhodnutí, nemá to nic společného s kvalitou. Prostě je v X.509 více peněz ...
10.12.2008 17:28
Jendа | skóre: 78
| blog: Jenda
| JO70FB
A vy byste asi byl také radostí bez sebe vyměňovat si certifikát s každým úředníkem extra.A co kdyby pošta (nebo někdo jiný "důvěryhodný") vytvořila databázi úředně ověřených veřejných klíčů (nebo alespoň fingerprintů)?
Pak by vám někdo ukradl soukromý klíč, a vy byste musel vzpomínat, komu všemu jste ten certifikát vlastně dal, abyste ho mohl zneplatnit.Kdyby byla ta centrální DB, tak by stačil revokační certifikát nahrát na jedno místo.
Já jsem nepsal, že se mi nelíbí "centrální místo". Já jsem psal o výhodách decentralizace a o tom, že "centrální místo" v některých situacích vůbec nepotřebuji. Samozřejmě, pokud se bavíme o komunikaci se státní správou, je "centrální místo" nutností. Nebylo ale nutností uzákonit S/MIME s X.509. Mohlo být klidně uzákoněno OpenPGP s pavučinou důvěry degradovanou na X.509.
Navíc nechápu, proč vůbec existují kvalifikovaní poskytovatelé certifikačních služeb, proč nemohu dostat kvalifikovaný certifikát současně s občanským průkazem, proč musím důvěřovat nějaké firmě a sdělovat jí své osobní údaje.
OpenPGP pavučinu důvěry lze politickým rozhodnutím degradovat na X.509, prostě se rozhodne, že všichni musí věřit konkrétnímu podpisu, klidně to může být podpis státem akreditované CA. OpenPGP tady bylo dávno před X.509, takže výměna klíčů a jejich zneplatnění je samozřejmě vyřešeno. Existují servery veřejných klíčů. Tyto servery jsou navíc zrcadlené, revokační certifikát stačí zaslat na libovolný z nich.
No jo, ale co z toho? Osobně mám GPG rád, možná radši než S/MIME, ale moc nevím, jaký užitek by to tady přineslo.
Tiskni
Sdílej:
