O akci sem se dozvěděl během tohoto týdne a řádně se na ni nepřipravil – možná proto jsem dorazil o hodinu později a ještě bez digitálu, takže budete ochuzeni o visuální doprovod (tímto vyzývám lidi, kteří něco nafotili, aby pastli link do diskuse). V tomto pro mě příhodném počasí jsem se dopravil na Karlovo náměstí a prošel skrz fakultu strojní do budovy E fakulty elektrotechnické, což pro neznalce může být dosti matoucí (tvrzení „FEL is HELL“ zjevně platí i z jiných důvodů, nežli studijních nároků;-)). Po mém pozdním příchodu byla již prednášková hala úplně plná. Zřejmě právě začala přednáška Martina Fialy o certifikačních autoritách.
Certifikační autority – Martin Fiala
V poslední době dosti diskutované téma. Krom toho, že jsme se dozvěděli rutinu, jak vůbec bezpečná komunikace funguje – znáte to, Alice komunikuje s Bobem,…;-), tak bylo řečeno, co má daný certifikát obsahovat – menší výbuch smíchu se zrodil, když někdo vyfotil plátno dataprojektoru, kde byl zrovna otevřen zjevně certifikát přednášejícího:-) Problém je v tom, kterou certifikační autoritu (dále jen CA) vybrat. Bylo zde řečeno dost aspektů, které by CA měla podporovat a spravovat – co mě zrovna teď napadá, tak by měla poskytovat seznam zneplatněných certifikátů a další. Asi nejzajímavější byl konec přednášky, kdy se v čase poskytnutém pro otázky objevil v publiku muž, který zjevně celé problematice nadmíru rozumněl, takže samotný přednášející v této části působil spíše jako podavač mikrofonu. Později jsme se dozvěděli, že tento pán přednáší problematiku šifrování a souvisejících věcí na MFF UK. Takže jsme se ještě navíc dozvěděli, že například nemáme mazat všechny CA z IE, protože jsou využívány některými klíčovými aplikacemi, bez kterých nelze OS Windows ani nabootovat (to většinu v sále možná ani trochu netrápilo, mě tedy ne;-)), ale také některé legislativní aspekty atd.
Následovala krátká přestávka, kterou uvedla krasomila se zrzavými vlasy.
CryptoAPI – Dominik „joe“ Pantůček
Dominika už jsem viděl přednášet na OpenWeekendu 2003, takže jsem přesně věděl, co mám čekat, a na jeho tvrzení, že „Moji přátelé mně říkají, že jsem exibionista“ něco jistě bude;-) Ano, opravdu, joe si dokáže udržet pozornost svým vystupováním. O CryptoAPI jste si už sami mohli přečíst leccos na internetu a asi nejlepší informace v čestině naleznete na joeových stránkách www.joe.cz. Asi nejpodstatnějším problémem je, na jaké jádro CryptoAPI dát. V jádrech 2.4.x jsou sice drobné rozdíly, ale hoďme to do jednoho pytle. Na těchto jádrech je potřeba aplikovat patch pro propojeni loopback zařízení s implementacemi šifrovacích algoritmů (jak jsem již říkal, mezi Vanilla jádry řady 2.4.x najdete v konfiguraci jádra drobné odlišnosti). Jinak tomu je u jádra 2.6.0 (poslední 2.6.0-test9), kde již není potřeba nic patchovat a stačí si pouze zaškrtnout podporu CryptoAPI v konfiguraci kompilace jádra. Zdá se, že máme jasnou volbu, ale je tu jedno ale. Jak sám přednášející uvedl, jádro 2.6.0 není zcela vychytané a není stabilní, takže dříve či později spadne. Takže toto jádro se hodí tak maximálně na zašifrování vašich domácích audiovizualních nahrávek:-), ale na stable nasazeních na serverech určite ještě ne.
Následovala hodinová přestávka na oběd. Já, světem zběhlý, samozřejmě vím, že nejlepší jídlo je od maminky, čili jsem nijak nechvátal do Miškou doporučovaných restauračních zařízení typu Albert nebo Tesco:-) a posadil se v parku před fakultou, zapnul Wi-Fi a rozhlížel se po okolí s obědem v ruce:-))
Šifrování ve Windows – V. J. Jákl
Při příchodu na tuto přednášku se mi zdálo, že řady trochu zřídly, ale nebylo to jinak výrazné, takže to vypadalo, že publikum se nenechalo odradit tím, že přednáška se bude týkat čehosi z Redmondu. Již z názvu je patrné, o čem přednáška je (byla, bude), a sám autor polemizoval nad tím, co nám tady vlastně bude říkat: „Vždyt to se jenom takhle dvakrát klikne a hotovo“, jak sám s nadsázkou říká. Přednášející (troufnu si říci počítačový vysloužilec) začal nejprve úvahou o tom, že je nutné, než začneme cokoliv šifrovat, zamyslet se nad tím, jestli to má vůbec cenu, koho by mohla naše data zajímat, takže proti komu vlastně stojíme, a podle toho vybírat adekvátní bezpečnostní opatření. Na pár slajdech bylo demonstrováno, jak celou věc naklikat, kde co zaškrtnout apod. Dále byly vysvětleny rozdíly v zabezpečení mezi jednotlivými verzemi Windows. Což ale není vše, protože se dostalo i na takové věci jako Kerberos nebo IPSec a jak ho zprovoznit – paralelně se došlo k tomu, že implementace bezpečné komunikace ve Windows má, nechci říci chyby, ale spíše nedostatky.
Popojedem…
IPSec – Vladimír Kotal
Od Vládi Kotala jsem již dvě přednášky viděl, a i když je to můj oblíbenec, musím říci, že dané téma rozebírá dosti teoreticky a podrobně, že to posluchače přestane bavit a v lepším případě usne (což se stalo právě mně, ale jen na chvíli:)). Na OW2003 alespoň trochu vtipně pomluvil Cesnet, ale tentokráte to bylo čistě o teorii IPSecu demostrované na praktických obrázcích paketů:-) v různých podobách a člověk se v těch zkratkách AH, SAD a dalších velmi lehce ztratil. Ono tohle téma zjevně ani jinak vykládat nelze a autor sám v začátku přednášky upozornil na to, že IPSec musí každý v praxi použít, jak sám potřebuje.
Ted měla podle rozvrhu následovat přednáška Ĺubomíra „salo“ Sedlačíka a Vládi Kotalala o projektu SILC, ale nějak to odpadlo. Škoda, o projekt SILC, který má umožňovat bezpečnou komunikaci, jsem se ještě moc nezajímal, takže jsem byl docela zvědav, vo co gou.
SSH tunneling – Petr Koloros
Tato přednáška byla pojata velmi prkaticky. Autor něco vyložil teoreticky a hned poté ukázal na počítači, jak na to. Vyskytly se však problémy při demonstraci připojování na SSH server, kde je náš klíč uveden v authorized_keys, nicméně i když to nějaký čas zabralo, Petr zachoval klidnou mysl a problém vyřešil. Z téhle přednášky jsem si moc nového neodnesl, protože SSH užívám dnes a denně, takže nějaké přeskakování firewallů pro mě nebylo novinkou:) Ano, znalosti z této přednášky jste mohli využít např. k tomu, abyste byli schopni přenášet soubory přes FTP v práci, kde vám firewall FTP port blokuje (pozn.: FTP by mělo využívat pasivní přenos, jinak spojení nebude fungovat). Přesměrováním některé služby můžete též docílit toho, aby se vám z nešifrovaného komunikačního kanálu stal kanál šifrovaný – může se hodit např. u protokolu POP. Bylo názorně vysvětleno dalších pár modelových situací, byly zmíněny alternativy jako například stunnel a přednáška se uchýlila k prostoru pro závěrečné otázky.
Linux CryptoFS – P. Novický
Tato přednáška proběhla ve velmi zrychlené verzi oproti původně přepokládané z důvodu nedostatku času. Co k této přednášce říci? Jedná se vlastně o podobnou implementaci šifrování většího objemu dat jako u CryptoAPI, přičemž nám vzniká otázka: „Co mám tedy používat a proč? CryptoAPI, nebo CryptoFS?“ Tato otázka v závěru padla a autor obhájil používání CryptoFS tím, že je nezávislá na jádře, a zpochybnil vývoj CrypoAPI. Poté se do diskuse vložil Rudolf Marek a poznamenal, že CryptoFS sám používá a je to bez problémů. Pod urgováním nedostatku času muselo být přikročeno k další přednášce. Měla přijít přednáška s názvem „Zabezpečené přenosy souborů“, ale pořadatelé se zřejmě rozhodli nejprve zařadit přednášku o výrobě levného tokenu.
Výroba levného tokenu – Rudolf Marek
Ano…chmmm…to nejlepší na samotný skoro-závěr:-)) Jak autor sám proklamoval na začátku, že to bude asi zase pěkná sranda, tak měl doslova pravdu. O co ale šlo. Jednalo se o výrobu levného (náklady pod 100 Kč) tokenu, na kterém by byla uloženo heslo (či hesla) pro rozšifrování dat zašifrovných právě pomocí CryptoFS či CryptoAPI a samozřejmě i dalších. Výroba byla demostrována na schémátkách a fotografiích, která i pro mě jakožto neFELáka byla přehledná a jednoznačná. Nejnázornější byla fotka konektoru se zabudovanou levnou sběrnicí pospájenou dráty ke kolíkům konektory, které měly pár milimetrů. Rudolf na začátku upozorňoval, že bude nutná jistá pájecí dovednost. Celé to funguje přes paralelní port, který měl autor vyvedený do míst, kde máte floppy mechaniku. Dále bylo ukázáno, jaké nainstalovat ovladače a jak celé šifrování zautomatizovat. Autor zveřejní slajdy, takže si každý budete moci vyrobit svůj vlastní token na klíče na klíče (toto není překlep:-))
Následovala ještě výše zmiňovaná přednáška Radka Dostála a Petra Kolorose o zabezpečených přenosech souborů, ale to já už jsem musel opustit budovu ČVUT a spěchat na nádraží – čekala na mě jedna fajn slečna a jak jistě chápete…;-)
Teď je asi čas na nějaká slova závěrem. Důležité informace nejen o CryptoFestu naleznete na avc.sh.cvut.cz. Zde se objevují informace o akcích, video záznamy a snad zde budou zveřejněny slajdy, které na www.cryptofest.cz nenaleznete. I když mně hodně z toho, co se přednášelo, bylo známo, dozvěděl jsem se leccos nového a jistě se mi bude něco z toho hodit i do mé bakalářské práce o bezpečnosti (obecně řečeno). V publiku byl chvíli k vidění např. Juraj Bednár, což je autor knihy o bezpečnosti „V sieti“ a odborník na bezpečnost – možná jste ho již viděli v Televizních novinách.