Názor k článku Bezpečnost kořenové zóny je v transparentnosti, řekl Ondřej Filip na CSNOG 2023 od Danny - Ale ano, brani a dost efektivne. I kdyz...
-
DannyStříbrný podporovatelAle ano, brani a dost efektivne. I kdyz si ten trezor jakkoliv otevrete, tak bez toho PINu ke kartam z HSM nic rychle nevymamite - a cas, ktery to poskytne na vymenu klice je vyrazne delsi, nez kdyz je vsude vychozi PIN, jehoz znalost praci proste dost usnadni ze? A ze by v jeden cas nekdo odnesl obsah trezoru a soucasne zeleznou tyci vymlatil PIN z minimalne tri CO/SO je ciste vase fantasmagorie - v praxi neprilis realne ;-) Ti, kdo by ten PIN mohl vyzradit jsou samotni CO/SO - a ti by si tu informaci jiste nenechali pro sebe v momente, kdy by to z nich nekdo pacil nasilim. Opet, dost casu pri takovem incidentu podniknout protiopatreni. Jine zpusoby leaku jsou opet spise vase fantasmagorie ;-)
Incidenty spocivajici ve fyzickem pruniku do zabezpeceneho objektu historie pamatuje spoustu - navzdory tomu, co se o bezpecnosti objektu napise na papire (ten toho snese hodne). A cela ta vase bagatelizace je oprena jen o to, ze to se prece nemuze stat. A na zaklade toho systematicky preskakujete i problematiku eventuelni vynucene vymeny klice :-) No jasne, protoze vy sam se toho bojite a tak radsi DNSSEC u svych domen neprovozujete :D Podle vasi logiky jsou viditelne PINy na smart-kartach zbytecne... tak teda nevim, proc to tam vubec implementuji, potazmo proc ten pozadavek na PIN teda nejde na HSM vypnout :-)
ČLÁNKY DO MAILU