Byl představen CentOS Stream 10 s kódovým názvem Coughlan. Detaily v poznámkách k vydání. CentOS Stream 10 už neobsahuje balíček s Xorg serverem (xorg-x11-server-Xorg). O zobrazování se stará Wayland s Xwaylandem (xorg-x11-server-Xwayland). Odstraněny byly aplikace Firefox, GIMP, LibreOffice, Inkscape a Thunderbird. Ty jsou k dispozici ve Flatpaku z Flathubu.
Byly vyhlášeny výsledky The Game Awards 2024 (YouTube). Hrou roku se stal Astro Bot (YouTube) běžící pouze na PlayStation 5.
Na GOG.COM probíhá Winter Sale 2024. Při té příležitosti lze každý den do konce roku získat zdarma jinou počítačovou hru, viz kalendář uprostřed stránky Winter Sale 2024. Otevření balíčku se hrou vždy ve tři odpoledne. První hrou je The Whispered World: Special Edition.
Nezisková organizace Internet Security Research Group (ISRG) vydala Výroční zprávu za rok 2024 (pdf). Organizace stojí za certifikační autoritou Let's Encrypt, projektem Prossimo, jehož cílem je používání paměťově bezpečného kódu v kritické internetové infrastruktuře a službou Divvi Up řešící telemetrii respektující soukromí uživatelů.
Vývojáři PeerTube, tj. svobodné alternativy k videoplatformám velkých technologických společností, představili mobilní aplikaci PeerTube (Google Play, App Store). Zdrojové kódy jsou k dispozici na Framagitu.
Google představil Gemini 2.0, tj. novou verzi svého modelu umělé inteligence (YouTube).
Vývojáři KDE oznámili vydání balíku aplikací KDE Gear 24.12. Přehled novinek i s náhledy a videi v oficiálním oznámení.
Byla vydána nová verze 3.27 frameworku Flutter (Wikipedie) pro vývoj mobilních, webových i desktopových aplikací a nová verze 3.6 souvisejícího programovacího jazyka Dart (Wikipedie).
Byla vydána (𝕏) listopadová aktualizace aneb nová verze 1.96 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.96 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
z toho, co jsem nabrouzdal bych řekl, že si nabíhám na flame.. No, snad to tak nedopadne.
Jde mi zejména o uživatelskou nenáročnost u protistrany především z ČR + mít otevřenou možnost pro komunikaci s úřady. Vychází mi z toho lépe S/MIME. Dostupné v klientech (Outlook, Lotus Notes, atd.) + naše legislativa (by mě zajímalo, proč jen S/MIME). To co mne zvyklává je údajná oblíbenost v linuxové komunitě a inklinace ke slovíčku "Open"
Problém vidím v tom SW, ktorý má realizovať ten prenos do a z krabičky. IMHO na to treba drajvery, ktoré sa asi nerobia podľa nejakých noriem.http://en.wikipedia.org/wiki/PC/SC
http://linux.die.net/man/8/pcscd
http://packages.debian.org/lenny/pcscd
http://www.gnupg.org/howtos/card-howto/en/smartcard-howto-single.html
Mám pocit (…), že ten certifikát, ktorý dostaneš od CA je uložený na čipovej karte.
Na čipový kartě je uložen soukromý klíč. Naopak certifikát je veřejný.
ako človek išiel do CA v CR alebo SK, došiel domov s niečím, doma sadol za linuxový stroj a poslal podpísaný e-mail.
Já jsem viděl, dokonce jsem takové klíče a žádost vyráběl. Žádost na disketě se odebrala s dotyčnou osobou k autoritě, ta ověřila totožnost osoby a shodu údajů v žádosti, vybrala poplatek a za nějakou dobu přišel e-mailem certifikát.
OpenSSL
na disku, a s privátním klíčem si můžete dělat, co chcete. Na CA to nepoznají, zda privátní klíč k té žádosti máte uložený na disku nebo na kartičce.
Ja netvrdím, že som expert na danú problematiku. Ale presvedčil by ma nejaký blog, ktorý skutočne popisuje, ako človek išiel do CA v CR alebo SK, došiel domov s niečím, doma sadol za linuxový stroj a poslal podpísaný e-mail. Doteraz som taký nevidel.To si klidně můžete vyzkoušet doma, tu CA k tomu nepotřebujete, můžete si ji udělat sám Jinak s certifikáty vydanými českými CA jsem bez problémů pracoval jak s OpenSSL pod Linuxem tak s Javou z Windows nebo Linuxu. Certifikát žádné české komerční CA nemám, takže jsem oficiálně nikdy žádný odpovídající privátní klíč neviděl, ale vím, že to taky funguje
To si klidně můžete vyzkoušet doma, tu CA k tomu nepotřebujete, můžete si ji udělat sámTo mi povídej Celú dobu rozprávam o certifikátoch použiteľných pre komunikáciu so štátnymi úradmi. Tam nejde len o to či nájdem SW ktorý to dokáže, ale o to, aké mantinely stavia a) zákon a b) skutočná CA, ktorá má licenciu NBÚ. Darmo budem mať request vyrobený v OpenSSL, keď mi v CA napr. povedia, že sú mi nanajvýš ochotní tak predať SafeNet iKey 2032/2032 FIPS s privátnym kľúčom už vygenerovaným a uloženým na ňom (to bol príklad, neviem či to tak skutočne je). A k tomu CD s driverom pre Windows, alebo (v tom lepšom prípade) Mandrivu 9.2. Keby šlo používať PGP/GPG, tak by bolo po starosti.
takže za těmi bezpečnými dveřmi ten certifikát budete mít tak 6 hodiny denně, a po zbytek dne vám bude lítat bůhví kde.
Střeží ze soukromý klíč autority, nikoliv jakýkoliv certifikát.
Navíc se nikam nic nenosí a nic nikde nepoletuje. Podepisovací mašina autority je zavřená v nepřístupné (fyzicky, elektromagneticky) místnosti a jediný, kdo zná soukromý klíč autority, je ona mašina. Když je třeba vyrobit certifikát, pověřená osoba odešle žádost po lince podepisujícímu stroji, ten vyrobí certifikát a po stejné lince jej pošle ven. Fyzický přístup k těmto strojům je prakticky nemožný.
Pak je ještě potřeba zabezpečit přístup k terminálu, který mašině požadavky na certifikáty posílá, a ochránit osoby, které k danému terminálu mají přístup…
Střeží ze soukromý klíč autority, nikoliv jakýkoliv certifikát.Ano. Mám zlozvyk říkat čemukoli kde je nějaký klíč nebo něco podepsané certifikát. To je samý správce certifikátů, export certifikátu, a pak člověk píše certifikát i místo soukromého klíče.
Navíc se nikam nic nenosí a nic nikde nepoletuje. Podepisovací mašina autority je zavřená v nepřístupné (fyzicky, elektromagneticky) místnosti a jediný, kdo zná soukromý klíč autority, je ona mašina. Když je třeba vyrobit certifikát, pověřená osoba odešle žádost po lince podepisujícímu stroji, ten vyrobí certifikát a po stejné lince jej pošle ven. Fyzický přístup k těmto strojům je prakticky nemožný.Tím se ale problém s bezpečností pouze přesunul k terminálu a lince k podepisujícímu stroji. Já jsem tím obrazně chtěl říci hlavně to, že dokonale nepřístupný privátní klíč je zároveň dokonale k ničemu. Takže to zabezpečení musí k privátnímu klíči pustit „to správné“ (oprávněné požadavky na podpis), což celé zabezpečení samozřejmě prodražuje.
díky za upřesnění pojmů - takto mi to konečně zapadlo
jaké krabičky?
jaké krabičky?USB tokeny, čítačky čipových kariet a podobne
nbusr123
Zpočátku se v Česku mohlo systémové (= automatizované bez lidského zásahu) podepisování provádět také jen certifikovanými krabičkami. Ale úřady si stěžovali, že to je moc drahý, a tak daná vyhláška rychle šla do legislativního koše.
Pokud to je u vás stále vyžadováno, dejte stroj s OpenSSL pod zámek. OpenSSL má opět FIPS 2 certifikaci.
PGP/GPG ho přece může používat už dávno, stačí jen změnit styl práce s ním: prostě si stáhneš klíč Franty a zjistíš, že ho podepsala Mařenka a Pepík a pak ještě nějaký VeriSign. Mařenku a Pepíka neznáš, tak jejich podpisy ignoruješ a VeriSignu věříš, takže to asi fakt bude Frantův veřejný klíč. Takže to, že u GPG jde podepsat jeden klíč více lidmi (autoritami) není ničemu na škodu → pro systém postavený na certifikačních autoritách jde použít i GPG.
Osobně považuji obě tyto technologie za dost vyrovnané. Pro e-mail mi přijde pohodlnější S/MIME, pokud má člověk certifikát od nějaké uznávané CA (třeba osobní od Thawte*), protože takto podepsaný dopis vypadá ve většině klientů důvěryhodně, aniž by si příjemce musel cokoli instalovat.
*) BTW: Thawte přináší principy sítě důvěry i do světa S/MIME.
Také existuje projekt Enigform snažící se nahradit SSL a TLS právě OpenPGP.
GnuPG 2 umí také S/MIME. S S/MIME lze tak pracovat stejně jako s OpenPGP. Místo gpg stačí použít gpgsm.
> ale, pokud vím, nemá vazby k dalším standardům
K te navaznosti na dalsi standardy to neni tak jednoznacne - napriklad OpenPGP pouziva standardni RFC 1847 (MIME-SECURE) pro integraci s e-mailem, zatimco S/MIME pouziva RFC 1847 jen castecne (jako moznost pro podpis pripousti multipart/signed mime typ, ale pro sifrovani jen vlastni application/pkcs10 mime typ).
Jasně že mám oboje, byť přiznávám, že OpenPGP jsem ještě nezveřejnil
díky všem. Budu upřednostňovat a okolí doporučovat X.509, byť moje distro má kódy podepsány pomocí GPG
Následující je bonusovka, ale když někdo odpoví, zlobit se nebudu
Neznáte někdo důvody, proč státní správa nerespektuje např. Verisign (potažmo Thawte) či TC TrustCenter - prostě něco z toho, co má certifikáty součástí instalace? Navíc, když jsem před nějakou dobou zkoušel certifikát Pošty, nezdálo se, že by sami byli nějak certifikováni (předpokládám, že tu jde opět o peníze, ale možná za tím je něco jiného). Bezpečnostně v tom problém nevidím, jen to může trošku zaskočit uživatele a asi to přidává práci správcům.
procpání +1
moc nevím, co si představit pod ..outsourcovali správu identit.. ani pod tím, jak se do věci promítá naše právo. No, tohle může být zajímavé i na úrovni EU (ach jo, zas jedna vyřešená otázka přivádí celý zástup jiných, ještě vypečenějších )
Na úrovni EU? Děkuji, ale nechci
Ad outsourcing: Jestli má mít elektronický podpis právní váhu, je potřeba CA plně důvěřovat a mít ji pod kontrolou tak, aby nevydávala certifikáty neoprávněným osobám.
> Žádoucí by ale bylo procpat ty naše CA do poštovních klientů.
Spis by bylo zadouci, aby linuxovy software neprebiral v tomto manyry proprietarnich programu a nerozhodoval za uzivatele, kterym organizacim uzivatel implicitne duveruje. IMHO by mnozina duveryhodnych CA u cerstve nainstalovaneho software mela byt prazdna, aby si uzivatel vybral ty, kterym opravdu duveruje. (Distribuce by samozrejme mohly dodavat i sady certifikatu ryznych CA, jen by nebyly implicitne v mnozine duveryhodnych.)
S tímhle bys u většiny uživatelů narazil, a IMHO by to vedlo jen k tomu, že by si zvykli, že musí každému serveru přidat výjimku, čistý OS po instalaci by byl o něco méně použitelný než dnes. Kromě toho se na tom dá i něco trhnout, když zařadíš certifikát CA do nějakého oblíbeného prohlížeče či klienta.
hmm, to s tím dealerstvím má dost logiku - do toho bych se také nehrnul.
Jsem netušil, co ty certifikáty jsou za mazec. No, ještě že máme ty nejdelší noci
Z hlediska fungování X.509 je skutečně rozdíl mezi autoritou a kořenovou autoritou.
Z praktického hlediska by ale bylo dobré, kdyby české kvalifikované autority vzaly svůj veřejný klíč a ten nechaly podepsat těmi, co mají certifikát od jiné autority. Uživatel by si platnost tohoto podpisu musel kontrolovat ručně, ale bylo by aspoň něco. Takhle musíte zvednout telefon a přesvědčovat slečnu na informační lince, aby vám řekla otisk veřejného klíče svého zaměstnavatele. Zrovna tak by měly tyto otisky být k dispozici na úřadech jakožto úředně ověřený dokument atd.
Z praktického hlediska by ale bylo dobré, kdyby české kvalifikované autority vzaly svůj veřejný klíč a ten nechaly podepsat těmi, co mají certifikát od jiné autority.Jak už jsem psal, problém je v tom „nechaly“. Kdo by jim to podepsal? Myslíte, že je možné jen tak přijít do Thawte a říct jim, ať mi tady podepíšou můj certifikát certifikační autority? Vždyť by tím museli začít ručit za všechny certifikáty, které vydá moje CA. Nechce se mi to hledat, ale celkem pochybuju o tom, že vůbec tyhle všeobecně známé CA mají kořenový certifikát s povolenou dostatečně dlouhou certifikační cestou, aby se do té cesty vešel ještě jeden (či dokonce více) certifikátů našich QCA.
Právě toto omezení je dáno stromovitostí PKI (popravdě řečeno PKI takhle má vypadat, ale jak vidno nikdo to tak nechce).
Proto jsem navrhoval jiné řešení: QCA si nechá vystavit podepisující certifikát od jiné autority a pomocí tohoto cizího certifikátu podepíše svůj kořenový veřejný klíč (nebo celý kořenový certifikát) jako jakýkoliv jiný shluk dat.
Existuje ještě druhé rafinovanější řešení (ale asi jej zakazuje zákon): Vytvořit žádost ze stejného páru klíčů, který slouží jako kořen, a tuto žádost poslat cizí autoritě. Technicky vzato totiž můžete mít na stejný klíč vystaveny zcela odlišné a nezávislé certifikáty.
Takto nevznikne automaticky ověřitelná cesta důvěry, ale bude snadnější ověřit pravost kořenového certifikátu české QCA. Považuji to za mnohem lepší řešení, než to současné, kde vám autorita radí „nainstalujte si náš kořenový certifikát z naších webových stránek bez jakéhokoliv ověření původnosti.“
http
na začátku bohužel není vtip, HTTPS varianta zřejmě neexistuje.
Obrovskou výhodou OpenPGP je decentralizovanost. OpenPGP nepotřebuje žádnou CA. Pokud dva lidi chtějí bezpečně komunikovat, nepotřebuji k tomu třetího. Sami si klíče vygenerují a bezpečně vymění. Pokud mám cizí OpenPGP klíč (certifikát), sám mohu rozhodnout o jeho důvěryhodnosti. Pokud jej podepíšu, stává se můj podpis součástí certifikátu a zaleží pouze na dalších osobách, jak moc jsem pro ně důvěryhodný. Navíc může být součástí OpenPGP certifikátu fotka vlastníka. To, že státní správa akceptuje jenom X.509 je pouze politické rozhodnutí, nemá to nic společného s kvalitou. Prostě je v X.509 více peněz ...
A vy byste asi byl také radostí bez sebe vyměňovat si certifikát s každým úředníkem extra.A co kdyby pošta (nebo někdo jiný "důvěryhodný") vytvořila databázi úředně ověřených veřejných klíčů (nebo alespoň fingerprintů)?
Pak by vám někdo ukradl soukromý klíč, a vy byste musel vzpomínat, komu všemu jste ten certifikát vlastně dal, abyste ho mohl zneplatnit.Kdyby byla ta centrální DB, tak by stačil revokační certifikát nahrát na jedno místo.
Já jsem nepsal, že se mi nelíbí "centrální místo". Já jsem psal o výhodách decentralizace a o tom, že "centrální místo" v některých situacích vůbec nepotřebuji. Samozřejmě, pokud se bavíme o komunikaci se státní správou, je "centrální místo" nutností. Nebylo ale nutností uzákonit S/MIME s X.509. Mohlo být klidně uzákoněno OpenPGP s pavučinou důvěry degradovanou na X.509.
Navíc nechápu, proč vůbec existují kvalifikovaní poskytovatelé certifikačních služeb, proč nemohu dostat kvalifikovaný certifikát současně s občanským průkazem, proč musím důvěřovat nějaké firmě a sdělovat jí své osobní údaje.
OpenPGP pavučinu důvěry lze politickým rozhodnutím degradovat na X.509, prostě se rozhodne, že všichni musí věřit konkrétnímu podpisu, klidně to může být podpis státem akreditované CA. OpenPGP tady bylo dávno před X.509, takže výměna klíčů a jejich zneplatnění je samozřejmě vyřešeno. Existují servery veřejných klíčů. Tyto servery jsou navíc zrcadlené, revokační certifikát stačí zaslat na libovolný z nich.
No jo, ale co z toho? Osobně mám GPG rád, možná radši než S/MIME, ale moc nevím, jaký užitek by to tady přineslo.
Tiskni Sdílej: