sales.cz

Český matematik a známý fotograf vesmíru Miloslav Druckmüller zabodoval svými snímky různých vesmírných obkjektů nejen u nás, ale i ve světě. Asi nejznámější je v tomto ohledu snímek sluneční korony pořízený při jednom zatmění. Jaké tajemství ještě Slunce skrývá a jak se fotí? To autor vysvětluje v Rozstřelu.

Před 100 lety se narodil český herec, scénárista a režisér Vladimír Svitáček - muž nakažlivého smíchu.

Druhé únorové úterý je celosvětově vyhrazeno pro Den bezpečnějšího internetu. Tento tematický den jsme si letos připomenuli již poosmnácté a vedle České republiky se do něj zapojilo více než 170 zemí na světě. Jak vypadal Den bezpečnějšího internetu u nás?

Sdružení CZ.NIC je prostřednictvím národního Safer Internet Centra, které spravuje, koordinátorem této aktivity pro Českou republiku. Situace okolo koronaviru nám bohužel překazila spoustu plánů co, kde a jak udělat, a tak se veškeré akce letos přesunuly do online prostředí. Zatímco v zahraničí má tento den v kalendáři mnoho významných firem i státních institucí, u nás si své místo teprve hledá. I tak jsme byli mile překvapeni, kolik organizací se do letošní akce zapojilo. Desítky z vás se ozvaly na naši výzvu, kterou jsme adresovali institucím věnujícím se bezpečnosti, prevenci, vzdělávání nebo intervenci na Internetu, ale i státním organizacím, dětem nebo rodičům.

Tradičně se do oslav Dne bezpečnějšího internetu zapojila společnost Seznam.cz, která připravila sérii článků a pro tento den změnila na hlavní stránce svého maskota Krastyho.

Technologická společnost Avast představila nový seriál Internet pod lupou, na němž spolupracovala společně s KPBI. Online bezpečnosti a prevenci se také věnuje projekt O2 Chytrá škola, ta se tohoto dne účastní dlouhodobě. Z mnoha dalších komerčních subjektů zmiňme ještě Českou spořitelnu, Komerční banku mediální dům Czech News Centre, který prostřednictvím své internetové televize MALL.TV natočil k tomuto dni tématické video.

Co nás ale velmi potěšilo, bylo zapojení státních institucí, měst nebo bezpečnostních složek. Už od rána jsme mohli sledovat „smršť informací“ na Facebooku Policie. A za pozornost také stojí aktivita oddělení vzdělávání Národního úřadu pro kybernetickou a informační bezpečnost, to při této příležitosti představilo nový osvětový videokurz s názvem „Jsem netvor, tvor, který žije na netu“.

Tradičními podporovateli jsou i naši další partneři – Linka bezpečí, Dětské krizové centrum nebo vzdělávací projekt Univerzity Palackého v Olomouci E-bezpečí. Letos se ke Dni bezpečnějšího internetu přidalo i sdružení CESNET, společnost Whalebone nebo Digikoalice. Aktivní bylo také Ministerstvo vnitra, Ministerstvo školství nebo Úřad vlády a řada měst či knihoven. Již po několikáté podpořila tento den také místopředsedkyně Evropského parlamentu, paní Dita Charanzová, která natočila výzvu pro rodiče a připravila vzdělávací kampaň v médiích.

Ze zapojených škol zmiňme tu v Radosticích. Z ní nám zaslali práce páťáků, kteří pro své kamarády připravili několik rad, jak bezpečně pracovat s Internetem.

Letos oslavila Den bezpečnějšího internetu opravdu velká skupina jednotlivců i organizací. Neradi bychom na někoho zapomněli, a tak připomeňme oficiální hashtagy #saferinternetday a #SID2021, díky nimž získáte kompletní přehled.

A co říci závěrem? Moc děkujeme všem, kterým osvěta a vzdělávací projekty spojené s větší internetovou bezpečností nejsou cizí a chtějí na ně upozornit a tím je propagovat dál. Tak na viděnou příště, u dalšího Dne bezpečnějšího internetu, tedy 8. února 2022!

The post Ohlédnutí za Dnem bezpečnějšího internetu 2021 first appeared on Blog zaměstnanců CZ.NIC.

Planeta Země zažila kvůli pandemii covidu-19 nejtišší rok za poslední nejméně dvě desítky let, zjistil tým seismologů vedený odborníky z univerzity ETH v Curychu. Podle jeho měření se loni v souvislosti s karanténami po celém světě podstatně snížila míra lidské aktivity a s ní související hluk. V některých obdobích se takzvaný ambientní hluk způsobený dopravou či činností továren snížil až o polovinu.

Sahara osazená solárními panely by možná naplnila sen o zelené poušti i nevyčerpatelném zdroji čisté energie. Skrývá v sobě ovšem z klimatického hlediska i nečekané nebezpečí.

NASA přiletěla na Mars znovu vyzkoušet nejtěžší přistávací manévr, jaký lidstvo na jiné planetě doposud provedlo. Podobně jako před devíti lety, když přistávala pojízdná laboratoř Curiosity, celý proces trval asi sedm minut, o kterých se hovoří jako o „sedmi minutách hrůzy“.

Školy rozhodně k přenosu viru SARS-CoV-2 přispívají, jejich přínos nemusí být však zásadní. Ukazují to data z jarního „švédského experimentu“. Přenos nákazy ve škole lze také účinně omezit, naznačují zase zkušenosti z USA. Otázkou je, jak se podaří otevření zrealizovat v promořeném Česku.

LastPass, oblíbený správce hesel, mění pravidla pro verzi zdarma. Už za necelý měsíc budou uživatelé využívající tuto základní úroveň služby nově omezeni nikoli počtem ukládaných hesel, ani počtem zařízení, ve kterých ji mohou využívat, ale dojde k nasazení zcela jiného modelu.

Počet položených dotazů prostřednictvím internetových prohlížečů každým rokem roste. S tím rostou i požadavky na větší anonymitu ve vyhledávání. Není přitom nutné gigantům jako Google zbytečně předávat soukromá data. Sáhněte například po DuckDuckGo, internetovém vyhledávači, který ctí anonymitu.

Evropská kosmická agentura (ESA) začne na konci března přijímat nové žádosti o pozice astronautů a astronautek. Právě po ženách přitom bude poptávka, protože cílem ESA je navýšit počet evropských astronautek. Zájemci a zájemkyně o lety do vesmíru mohou mít nově i fyzický handicap.

Společnost SpaceX připravuje první let kosmický let plně v soukromé režii. Poprvé mají celou posádku tvořit amatéři, kteří za sebou nemají výcvik na astronauta či kosmonauta. Platit bude jen jeden z nich.

Elegantní vzhled, hmotnost lehce přes dvě kila, spousta výkonu. Vyzkoušeli jsme dvě novinky s grafickým čipem RTX3070 Max-Q, které můžete směle použít jak k seriózní práci, tak ke hraní her.

Umělá inteligence může udělat náš život mnohem pohodlnějším. Podle Josefa Holého, předního odborníka na umělou inteligenci, však také může ovlivňovat veřejné mínění nebo nám podsouvat věci, které vědomě nechceme. Jak náš každodenní život ovlivňují například obchodní strategie nadnárodních internetových společností?

Před několika měsíci došlo ke spuštění možnosti využití mojeID pro přístup ke službám státní správy pomocí technologie FIDO. Velká část uživatelů může za tímto účelem použít FIDO klíč integrovaný do svého operačního systému, jako např. Windows Hello případně Android klíč na telefonu nebo tabletu. Jednoznačně se jedná o nejpohodlnější cestu k elektronickým službám státu – bez nutnosti pořizovat jakékoliv zařízení (čtečky, karty) nebo instalovat něco dalšího do svých zařízení (obslužný software, potvrzovací mobilní aplikace). Pro uživatele, kteří  možnost využití systémového klíče nemají, jsme chtěli nabídnout dostupnou alternativu v podobě externího klíče použitelného přes USB nebo NFC rozhraní, a to jak v počítači tak v telefonu. K tomuto účelu byl zvolen FIDO klíč GoTrust IdemKey, který si nyní každý může velice jednoduše pořídit. Tento klíč totiž není jen FIDO klíč určený pro potvrzení autentizačních transakcí, ale může také plnit roli čipové karty pro digitální podepisování dokumentů podobně jako např. elektronický občanský průkaz, nebo může fungovat jako HSM (Hardware Security Modul) pro podepisování DNS záznamů technologií DNSSEC.

V případě FIDO klíčů je schopnost fungovat jako čipové karty zapouzdřena do implementace standardu PIV (Personal Identity Verification). Asi nejvíce informací o tomto standardu je možné získat na stránkách firmy Yubico, jejíž některé produkty tuto vlastnost mají také. Pro podepisování a šifrování mohou nicméně jednotlivé klientské aplikace používat zavedený standard PKCS11. Ten je v operačním systému Linux zpřístupněn přes sadu knihoven v rámci projektu OpenSC. Pro komunikaci s konkrétním zařízením se používá protokol CCID (Chip Card Interface Devices), jehož obecný ovladač byl nedávno ve verzi 1.4.34 rozšířen právě o podporu GoTrust IdemKey. V systému použitém pro následující testování, tedy ve Fedoře 33, je již naštěstí tato verze k dispozici. Pro otestování funkcionality připojeného klíče je možné rovnou použít PKCS11 rozhraní nástrojem pkcs11-tool z projektu OpenSC.

$ pkcs11-tool -L Available slots: Slot 0 (0x0): Broadcom Corp 5880 [Contacted SmartCard] (0123456789ABCD) 00 00 (empty) Slot 1 (0x4): GoTrust Idem Key [FIDO2 DEVICE] (200801000798) 01 00 token label : PIV_II token manufacturer : piv_II token model : PKCS#15 emulated token flags : login required, rng, token initialized, PIN initialized hardware version : 0.0 firmware version : 0.0 serial num : 0000000000000000 pin min/max : 4/8

V tomto případě je vidět, že jsou k dispozici dva sloty pro zařízení. První slot odpovídá integrované čtečce čipových karet od firmy Broadcom, která je prázdná. Druhý slot odpovídá IdemKey a je obsazen tokenem s názvem „PIV_II“. Implementace OpenSC má z pohledu integrace s PIV tokeny jednou slabinu, a to tu, že neumí generovat klíče v tokenu. Naštěstí je implementace PIV v IdemKey kompatibilní s implementací v YubiKey a pro správu klíčů je tedy možné použít nástroj od společností Yubico nazvaný yubico-piv-tool. V parametru -r příkazu je vždy třeba uvádět nějaký podřetězec identifikující název PKCS11 slotu:

$ yubico-piv-tool -r "GoTrust" -a status Version: 1.0.1 Serial Number: No data available CHUID: 30190000000000000000000000000000000000000000000000000034101ea86814c8dde15b613d28ec42a9b0c6350832303530303130313e00fe00 CCC: f015a000000116ff0296b2eed18618db7b441a04458778f10121f20121f300f400f50110f600f700fa00fb00fc00fd00fe00

PIV tokeny umožňují uchovávat klíče ve čtyřech slotech označených jako 9a, 9c, 9d a 9e. Pozor, nezaměňovat s PKCS11 slotem, v tomto případě jde o něco jiného. Zde se jedná o sloty uvnitř PIV tokenu. Přestože každý tento slot podle PIV standardu slouží k jinému účelu, pro naše potřeby jsou zaměnitelné a budeme používat první z nich, tedy 9a. Pro správné fungování tokenu je třeba do tohoto slotu dostat privátní klíč a zároveň certifikát obsahující veřejný klíč. Teprve poté je klíč použitelný. Privátní klíč je možné vytvořit v tokenu nebo je možné nějaký existující klíč do tokenu naimportovat. Druhá možnost se hodí v případě, že chcete mít od klíče kopii, protože klíč generovaný v tokenu není možné exportovat. Přístup k soukromému klíči je chráněn PINem, který má defaultní hodnotu 123456. Následující tři příkazy tedy vytvoří použitelný RSA klíč:

$ yubico-piv-tool -r "GoTrust" -a generate -s 9a -A RSA2048 -o /tmp/pubkey.pem Successfully generated a new private key. $ yubico-piv-tool -r "GoTrust" -a verify-pin -a selfsign -s 9a -S '/CN=my_key/' -i /tmp/pubkey.pem -o /tmp/cert.pem Enter PIN: Successfully verified PIN. Successfully generated a new self signed certificate. $ yubico-piv-tool -r "GoTrust" -a import-certificate -s 9a -i /tmp/cert.pem Successfully imported a new certificate.

Vidíme, že slot uvnitř PIV tokenu je obsazen:

$ yubico-piv-tool -r "GoTrust" -a status Version: 1.0.1 Serial Number: No data available CHUID: 30190000000000000000000000000000000000000000000000000034101ea86814c8dde15b613d28ec42a9b0c6350832303530303130313e00fe00 CCC: f015a000000116ff0296b2eed18618db7b441a04458778f10121f20121f300f400f50110f600f700fa00fb00fc00fd00fe00 Slot 9a: Algorithm: RSA2048 Subject DN: CN=my_key Issuer DN: CN=my_key Fingerprint: 45157c46bd1ff9e32afd93c8c42479f08007fa41b7b997d5f11b2e804ee180c2 Not Before: Feb 12 14:15:00 2021 GMT Not After: Feb 12 14:15:00 2022 GMT

Pozoruhodné je, že z pohledu PKCS11 klienta se nám změnil název tokenu z PIV_II na my_key:

$ pkcs11-tool -L Available slots: Slot 0 (0x0): Broadcom Corp 5880 [Contacted SmartCard] (0123456789ABCD) 00 00 (empty) Slot 1 (0x4): GoTrust Idem Key [FIDO2 DEVICE] (200801000798) 01 00 token label : my_key token manufacturer : piv_II token model : PKCS#15 emulated token flags : login required, rng, token initialized, PIN initialized hardware version : 0.0 firmware version : 0.0 serial num : 0000000000000000 pin min/max : 4/8

Vypadá to, že se název tokenu odvozuje od názvu prvního certifikátu uloženého na tokenu. To je důležité vědět pro případ, kdy je v PKCS11 klientovi třeba zadat název tokenu. Dále si můžeme z pohledu PKCS11 klienta vypsat např. certifikáty uložené na tokenu.

$ pkcs11-tool -O --slot 0x4 --type cert Certificate Object; type = X.509 cert label: Certificate for PIV Authentication subject: DN: CN=my_key ID: 01

Zde je podstatné ID, s jehož využitím je možné se odkázat na konkrétní klíč v tokenu. Jednotlivým PIV slotům 9a, 9c, 9d a 9e odpovídají ID 01, 02, 03 a 04. Stejně tak se ale může v některých případech hodit identifikace podle hodnoty label.

Nyní je již možné tímto klíčem podepisovat a šifrovat. Zde si ukážeme, jak tento klíč využít jako DNSSEC klíč pro podepsání DNS zóny. K tomu použijeme nástroj kzonesign z projektu DNS serveru KnotDNS. Jako pracovní prostředí použijeme dočasný adresář, do kterého si uložíme vzorovou zónu z projektu. Níže je vidět vzorový konfigurační soubor obsahující pouze nejnutnější parametry pro funkci podepsání DNS zóny. Za pozornost stojí identifikace úložiště klíčů pomocí PKCS11 uri, kde je uveden identifikátor slotu, tentokrát v decimální podobě 16 místo 0x4 a PKCS11 knihovna z projektu OpenSC.

$ cd /tmp/knot/ $ cp /usr/share/doc/knot/samples/example.com.zone ./ $ cat knot.conf database: storage: /tmp/knot/ keystore: - id: pkcs11 backend: pkcs11 config: "pkcs11:slot-id=16;pin-value=123456 /usr/lib64/pkcs11/opensc-pkcs11.so" policy: - id: my_policy keystore: pkcs11 algorithm: RSASHA256 zone: - domain: example.com file: /tmp/knot/example.com.zone dnssec-policy: my_policy

Knot DNS si metadata o používaných klíčích ukládá do tzv. KASP (Key and Signing Policy) databáze. Před vlastním použitím klíče je nutné tato metadata založit pomocí import příkazu utility keymgr. Pro jednoduchost použijeme kombinovaný klíč v roli ZSK (Zone Signing Key) a KSK (Key Signing Key). Pro identifikaci klíče v rámci PKCS11 tokenu se použije jeho ID, tedy 01.

$ keymgr -c knot.conf example.com. import-pkcs11 01 algorithm=RSASHA256 ksk=yes zsk=yes 01 OK $ keymgr -c knot.conf example.com. list 01 ksk=yes zsk=yes tag=39259 algorithm=8 size=2048 public-only=no pre-active=0 publish=1613146697 ready=0 active=1613146697 retire-active=0 retire=0 post-active=0 revoke=0 remove=0

Nyní je možné již zónu podepsat:

$ kzonesign -c ./knot.conf example.com. Next signing: 1613751596

Rychlost podepisování byla v průměru u několika experimentů 0.65 podpisů za vteřinu. Pro podepsání velké DNS zóny je tedy takovéto použití přirozeně nereálné. Např. zónu .CZ by to odhadem podepisovalo několik týdnů. Na druhou stranu Knot DNS umožňuje technologii offline KSK klíče, která spočívá v tom, že KSK je uchováván odděleně od podepisovací infrastruktury a slouží pouze jednou za čas k podepsání několika DNSKEY RRsetů připravených na další období. Zde výkonost nehraje roli a pro bezpečné úložiště KSK může sloužit právě takovýto FIDO klíč. V případě GoTrust IdemKey existuje bohužel omezení na použití pouze RSA klíče o maximální velikosti 2048 bitů. Algoritmy využívající eliptické křivky IdemKey nepodporuje.

Jak je vidět, na těchto stránkách, FIDO klíč implementující PIV je možné použít například i pro zabezpečení SSH komunikace. Při dalším experimentování bylo ověřeno, že je možně do GoTrust IdemKey bez problémů vložit kvalifikovaný certifikát a klíč od certifikační autority PostSignum podepsat a s ním LibreOffice dokument. Je tedy zřejmé že využití tohoto FIDO klíče násobně překračuje pouhé přihlašování ke státní správě prostřednictvím služby mojeID. Jeho využití v roli čipové karty navíc nenutí uživatele pořizovat čtečku, a tak jediný náklad spočívá v pořízení si vlastního klíče, jehož cena je v porovnání například s YubiKey 5 téměř třetinová.

The post Využití FIDO klíče GoTrust IdemKey pro digitální podpis (…např. DNSSEC) first appeared on Blog zaměstnanců CZ.NIC.

V červnu minulého roku objednalo ministerstvo obrany 62 obrněných vozidel TITUS. Hodnota zakázky činí 6,072 miliardy korun, začalo se pracovat na prototypech a dodávky sériových vozidel jsou plánovány na období 2022 až 2023.

Kouř, který hřmí. Tak říkají domorodci od Zambezi mase vody řítící se do hloubky a dole se odrážející v oblaku kapek. Pro Evropu ten div objevil David Livingstone a pokřtil jej Viktoriiny vodopády. Seriál o nejvýznamnějších lidských objevech vydával magazín Víkend DNES.

Největší a nejtěžší letoun sovětského a potažmo ruského letectva neměl lehký vývoj. Nakonec se transportní Antonov An-124 Ruslan povedl a uplatnil se především v komerční sféře. Vedle ruského letectva s ním operuje i několik civilních provozovatelů.

13. února 1921 začalo v Arménii protibolševické povstání. Bolševické síly ho o měsíc a půl utopily v krvi.

Dva dny před začátkem prvního sčítání lidu v Československu byla atmosféra napjatá. Kvůli sčítání se například ve Znojmě dokonce zatýkalo.

Před 100 lety se nezávislost Gruzínské demokratické republiky pomalu, na 70 let, chýlila ke konci. Rusy podněcovaná bolševická vzpoura se zemí šířila dál.