semik75: Vysvetlovat vtipy se nema, uplne je to zkazi... Doufam, ze ale tohle moje vysvetleni uplne nezkazi dojem z kesky pro ty, kteri ji vylustili, a snad to take osvetli, o cem to bylo pro ty, kteri se tim nechteli zabyvat.
Keska se ochomyta kolem [url=http://cs.wikipedia.org/wiki/Asymetrick%C3%A1_kryptografie]asymetricke kryptografie[/url], coz je sifrovaci technologie, ktera je v soucasnosti povazovana za neprolomitelnou. Cela ta neprolomitelnost spociva v tom, ze sifrovani je realizovano jako nasobeni dvou velmi velkych cisel a inverzni operace bez znalosti jednoho z cinitelu je se soucasnymi matematickymi znalostmi neresitelna.
Soukromi a komfort, ktere uzivatelum tahle technologie nabizi, tkvi v tom, ze kazdy uzivatel ma nejaky privatni klic, ktery byl zvolen nahodne z obrovskeho mnostvi moznosti, a tenhle privatni klic nikdy nemusi opustit HW drzitele. Sifruje se pomoci verejneho klice, ktery je opravdu verejny. Je mozne ho klidne otisknou v novinach, a presto to bezpecnost metody nijak neovlivni. Kdyz si drzitel privatni klic nahraje na HW zarizeni, tak ma kazdym okamzikem, kdy si zkontroluje vlastnictvi onoho zarizeni, jistotu, ze sifrovane informace jsou v bezpeci. Utocnikovi nezbyva nez zkouset, zkouset, zkouset... a pak ho CEZ odpoji. ;)
Bohuzel nekdy v roce 2006 jakysi matlak u Debianu pustil na OpenSSL nastroj, ktery mel odhalit zbytecnosti v kodu a trosku ho "vylepsil". Ono vylepseni zpusobilo brutalni snizeni mnozstvi privatnich klicu, ktere se daly s takto vylepsenym OpenSSL vygenerovat. Po tomto zasahu bylo na kazde platforme mozno vygenerovat jen 3x2^15 klicu, coz neni male cislo, ale kazdy, kdo nema doma uplny pocitacovy vrak, ma dostatek pocetniho vykonu, aby za tyden mel vsechny mozne privatni klice. Samotna identifikace toho, kterym tim vadnym klicem byla zprava sifrovana, je otazka uz jen par minut. Detaily viz Related Web Page.
Takto slabe klice se pouzivaly od roku 2006 do roku 2008... neni mi znamo, ze by tehle slabiny nekdo zneuzil. On napadeny by se urcite nechlubil a utocnik uz vubec ne. ;) Kdyz se chyba objevila, byla to opravdova katastrofa. V prvni fazi bylo nutne zabezpecit SSH servery, aby nebyl mozny nepovolany pristup, a vzapeti jsme resili X509 certifikaty. CESNET CA v te dobe zneplatnila desitky takto slabych certifikatu a paradoxne i v roce 2010 se objevovaly jednotky zadosti o novy certifikat vygenerovanych na poskozenem OpenSSL.
Pro reseni kesky bylo nutne vedet o tehle slabine. Potom jste meli porovnat onen certifikat, ktery jsem vam dal do listingu (aniz to bylo nezbytne) se seznamy slabych klicu (openssl-blacklist na Debianu), a tim zjistit, pro jakou velikost klice, pro jakou platformu a pro jaky PID potrebujete ziskat privatni klic. Alternativou bylo se podivat na subject, listing... Po ziskani toho spravneho klice uz to byla jen rutina po precteni man smime.
V zasifrovane zprave jsou informace o otviraci dobe a odkazy na fotohinty. Diky tomu mohl byt odlov celkem nenapadny, i kdyz ne snadny. No a tady se dostavam k duvodu, proc keska konci v archivu. Ulozeni je podle meho nazoru luxusni a melo byt odmenou pro ty, kteri to vylusti. Bylo mi jasne, ze se to suskandou rozkeca, ale neuvedomil jsem si, jak suskanda oklesti prenasene informace. Ulozeni jsem pochopitelne nemel s nikym domluvene, to by zase kazilo tu trosku adrenalinu pri kontrolach, kterou jsem z toho mel ja.
Pomer mezi logy tech, co se k informacim dostali vlastni pili, a temi, kterym to bylo nekym vyzrazeno, se porad zhorsuje. Logy, ktere prichazi, mi delaji cim dal tim mensi radost. Cim dal casteji z logu cisi, ze hledani byla fuska, protoze si ani nejste schopni poradne predat informace o tom, kde ta pixla je. Mam takove logy cist a byt zklamany? Mam riskovat prudu s nejakym urednikem, az se to provali?
Nasrat, jo nasrat!