Protokol TLS a jeho použití v praxi

Rozměr: px
Začít zobrazení ze stránky:

Download "Protokol TLS a jeho použití v praxi"

Transkript

1 Západočeská univerzita Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky Protokol TLS a jeho použití v praxi Přenos dat 13. prosince 2004 Vypracoval: Petr Dvořák (A01125)

2 1. Zadání (T/I) popis TLS - rozdělení na vrstvy k čemu slouží další protokoly používané TLS - symetrické, asym. šifry, hešovací funkce (AES, RSA, SHA...) oveřování pravosti certifikátu (modely důvěry X.509 a OpenPGP) TLS v praxi - knihovny pro TLS komunikaci (OpenSSL a GnuTLS) použití TLS v existujících programech rozdíly mezi TLS a SSL. 2. Základní pojmy Kryptografie Nauka o tom jak šifrovat. Kryptoanalýza Nauka o hledání slabin v šifrování. Klíč Klíč slouží k parametrizaci šifrovacího algoritmu tak, aby si šifrovaný text mohl přečíst pouze ten, kdo zná klíč. Klíčem je většinou řetězec znaků. Certifikát Obsahuje veřejný klíč se jménem majitele. Součástí certifikátu jsou i další informace. Např. kdo ho vydal, kým je podepsán, jaká je jeho platnost apod. Server se jím jednoznačně identifikuje klientovi (nebo naopak). Je pak na druhé komunikující straně, aby si ověřila tento certifikát a podle toho se rozhodla pokračovat v komunikaci. Asymetrická kryptografie Využívá dvou klíčů. Jeden pro šifrování (ten je veřejně známý tzv. veřejný klíč) a jeden pro dešifrování (ten zná pouze majitel - jde o tzv. privátní klíč). Symetrická kryptografie Používá stejný klíč pro šifrování i dešifrování. Hešovací funkce Vytvoří jakýsi otisk vstupních dat. Slouží pro kontrolu integrity resp. toho, že vstupní data, jichž je několikanásobně větší množství, nebyla změněna. Blokové šifrování Při tomto šifrování se text, který chceme zašifovat, rozdělí do bloků o stejné velikosti. Každý blok se šifruje pomocí klíče pokaždé stejnou transformací. Proudové šifrování Proudová šifra pracuje s každým znakem textu zvlášť. Podstatný rozdíl oproti blokovým šifrám je ten, že se z klíče vygeneruje posloupnost, pomocí níž se na každý znak textu aplikuje jiná transformace. CBC (Cipher Block Chainning) Je způsob šifrování blokovými šiframi. Označme: OT - text, který chceme zašifrovat ŠT - zašifrovaný text IV - inicializační vektor Ek - šifrování Dk - dešifrování ~2~

3 Na začátku se 1. blok šifrovaného textu získá na základě 1. bloku otevřeného textu OT 1 a inicializačního řetězce IV. V ostatních krocích je vstupem blok otevřeného textu OT n a šifrovaný text z předchozího kroku ŠT n-1. Pro dešifrování se musí poslat IV před šifrovaným textem. Samotné odšifrovávání probíhá podobně jako šifrování. Problémy nastávají u posledního bloku, který může být kratší než předcházející. To se řeší doplněním chybějících bytů. Man in the middle Je pojmenování pro útok na komunikaci mezi dvěma subjekty, kdy třetí subjekt tuto komunikaci modifikuje. Např. Adam a Bára spolu komunikují, avšak zprávy od nich zachytává Joe, který je změní a přepošle. 3. Popis protokolu 3.1. Úvod do TLS Ve veřejných sítích typu TCP/IP není obecně zajistěna ochrana přenášených dat. Rovněž si nemůžeme být jisti s kým vlastně komunikujeme. Je tedy třeba zajist nějaký druh autentizace počítačů, které spolu komunikují a tuto jejich komunikaci zabezpečit proti neoprávněným "posluchačům". V dnešní době toto zajišťuje hojně používaný protokol SSL. Proč tedy vznikl protokol TLS? TLS byl naržen v lednu roku Nejde tedy o úplnou novinku. Jde o náhradu za SSL. SSL i TLS využívají pro svou funkci další protokoly (šifrování, výměna klíčí, autentizace, hash). V SSL toto rozšiřování vedlo k tomu, že je ve verzi 3 poměrné rozsáhlý a složitý. TLS se snaží tomuto předejít, zachovat jistý řád a používat jen nutné minimum. Vrstvy TLS se v zásobníku protokolů nachází nad transportním. Požadavek je, aby byl spolehlivý resp. spojovaný (např. TCP). Vzhledem k aplikačnímu protokolu, který je nad ním, se chová transparentně. Samotný TLS protokol je také rozdělen do dvou částí: TLS Record Protocol TLS Handshake Protocol ~3~

4 3.2. TLS Record Protocol Stav spojení Při navazování spojení se klient se serverem dohodnou na určitých parameterch spojení (viz handshake protokol). Tyto parametry pak určují chování record protokolu: jde o server nebo client zvolený šifrovací algoritmus zabezpečovací algoritmus (MAC - viz dále) algoritmus komprese 48 B master secret 32 B náhodně generovaných klientem 32 B náhodně generovaných serverem používá se komprese N/A informace potřebné pro zvolené šifrování MAC secret - slouží k výpočtu zabezpečovací informace identifikační číslo zprávy vytvořené record protokolem Co dělá Record Protocol? Protokol zapoudřuje protokoly vyšších vrstev. Zpracovává zprávy k odeslání v tomto pořadí: rozděluje data do bloků - fragmentace volitelně data zakomprimuje vypočte zabepečovací informaci šifruje předá nižší vrstvě A podobně příjmané zprávy: dešifruje zkontroluje dekomprimuje nazpět sestaví předá vyšším vrsvám Projděme tedy podrobněji jednotlivé fáze Fragmentace Data se rozdělují po blocích o velikosti maximálně 16KB. Více zpráv může být v jednom bloku a naopak jedna zpráva může být rozdělena do více bloků. Každý blok si navíc sebou nese informaci komu se má na vyšší úrovni předat. Jsou 4 možnosti: protokol pro změnu šifrování, signální protokol (zpracovává chyby), handshake nebo aplikační protokol. Pozn.: Někdy se lze setkat s názvoslovým fragmentace = segmentace a blok = segment Komprimace Není povinná. Slouží ke zmenšení objemu přenášených dat. Jde o bezzeztrátovou kompresi. Komprimovaná data nesmí přesáhnout velikost 16KB + 1KB (to se stane v případě, kdy byl zvolen špatný komprimační algoritmus a velikost dat paradoxně příliš naroste). V TLS je doporučena komprese DEFLATE (viz Rozšíření TLS) MAC MAC je jakási kontrolní informace přenášených dat. Získá se použitím některé z hešovacích funkcí - MD5, SHA-1. Jejich vstupem jsou data, MAC secret (viz Šifrování níže) a pořadové číslo bloku. Není přípustné počítat MAC bez MAC secret. Je to z důvodu bezpečnosti, kdy by mohl někdo jiný data pozměnit a podle toho upravit i MAC. Rovněž je zahrnuto pořadové číslo, aby útočník nemohl některé bloky odchytit a jiné zopakovat. Jedná o ochrany proti útokům man-in-the-middle. MAC secret se vypočítá z master secret a náhodně vygenerovaných dat klientem a serverem ~4~

5 Šifrování Slouží k zašifrování obsahu přenášených dat (včetně MAC). Jsou podporovány proudové (RC4-40-bitová a 128-bitová verze) a blokové šifry (RC2, DES, TripleDES, IDEA, v roce 2002 přidány i AES). Blokové šifry smí být použity pouze v módu CBC. Jak se získají klíče? Vezme se některá hešovací funkce. Jejím vstupem je master secret a náhodná data od klienta a serveru (jde o tzv. "osolení" o náhodná data). Dostaneme blok bytů, který si rozdělíme na části. První dvě části budou MAC secret klienta a serveru a další dvě klíče klienta a serveru. Poznamenejme důležitý fakt, že není povinnou volbou. To se hodí v případě, kdy nepotřebujeme šifrovat, ale stačí nám pouze vědět s kým komunikujeme (viz Handshake protokol) TLS Handshake Protocol Zajišťuje veškeré vyjednání služeb, které požadujeme po TLS. Pomocí tohoto protokolu se počítače identifikují a dohodnou na způsobu komunikace. TLS Handshake protokol tvoří tři subprotokoly: Alert protokol Change Cipher Spec protokol Handshake protokol Alert protokol Je to množina zpáv pro vyšší vrstvy, sloužící k indikaci chyby. Pokud je chyba fatální dojde k ukončení spojení. Případná další spojení mohou probíhat dále, ale již nejde pomocí nich založit nové (viz dále). Příkladem takových chyb je např. přijetí chybné MAC nebo chybných dat (to se zjistí např. tím, že data nejdou dekomprimovat), data nelze rozšifrovat, některý z počítačů není schopen použít dostatečně silné šifrování, byl přijat certifikát neznámé certifikační autority, apod Change Cipher Spec protokol Tímto protokolem si dávají klient a server najevo, že další komunikace bude probíhat pod vyjednaným šifrováním s vyjednanými klíči. Zpráva o změně se posílá těsně před ukončením handshaku Vlastní Handhake protokol Handshake znamená potřesení rukou dvou lidí, kteří se seznamují. Podobně je to i s handsahke protokolem. Při handshaku se oba počítače "představují" vyměňují informace o způsobu komunikace mezi nimi. Tyto informace uchovává record vrstva. Jde např. o: identifikátor spojení certifikát počítače, s nímž se komunikuje způsob komprese dat algoritmy pro šifrování a hešování master secret - klíč sdílený komunikujícími stranami lze vytvořit další spojení? Všechny body budou asi jasné až na poslední. TLS totiž umožňuje na základě jednoho handshaku vytvářet další spojení. To, ale někdy nemusí být vhodné. Proto lze tuto možnost vypnout během navazování spojení. Při psaní aplikace, která využívá TLS se paradoxně nelze úplně spolehnout na bezpečnost handshake protokolu proti útokům. Např. útočník (man-in-the-middle) může znemožnit přístup k portu na němž se komunikuje, pokusit vyjednat spojení, které je chráněno slabou šifrou, případně není vůbec šifrováno, nebo vytvořit spojení, kde se počítače vzájemně neidentifikují. Z toho plyne, že aplikace by měla mít určité požadavky a na nich trvat. Tj. komunikace na určitém portu, použití dostatečně silné šifry a vyžádání certifikátu. Pozn.: Server může klientovi kdykoli poslat žádost o zaslání ClientHello. Tím ho vyzve k novému handshaku. Klient má možnost odmítnout. Pokud klient neodpoví, spojení se přeruší. Tato možnost zaslání žádosti umožňuje změnu šifrování "za běhu" Jak probíhá handshake Existují dva možné způsoby handshaku. Buď se provede celý handshake nebo se vyjedná nové spojení na základě existujícho. ~5~

6 Kompletní handshake Dále následuje popis handshaku znázorněném na obrázku. Spojení iniciuje klient odesláním zprávy ClientHello serveru. Server na to odpoví zprávou ServerHello. V obou se posílají mimojiné informace o použité verzi protokolu, sadě šifer, kterou podporují a náhodně vygenerované řetězce, které se používají ve vrstvě record k výpočtu klíčů. V komunikaci pokračuje server. Pokud se chce identifikovat, pošle svůj certifikát. Pokud jej nepošle nebo poslaný certifikát slouží jen k identifikaci musí navíc poslat klientovi svůj veřejný šifrovací klíč. Tento klíč použije klient k výměně premaster-secret. Pokud server poslal svůj certifkát, může požát klienta o identifikaci. V zaslané zprávě uvede seznam certifikačních autorit, které akceptuje. Poté odešle ServerHelloDone a čeká na odpověď klienta. Klient si po obdržení ServerHelloDone zkontroluje, zda dostal žádost o certifikát. Pokud ano, odešle svůj certifikát. Dále vygeneruje premaster-secret, zašifruje a pošle ho serveru. Pokud klient poslal certifikát, který lze použít k podpisu, pošle ještě zprávu, která slouží k explicitnímu ověření certifikátu. Klient potvrdí serveru, že následující zprávy již bude šifrovat s vyjednanými klíči. Nakonec pošle zašifrovanou zprávu, pomocí které server zkontroluje, že autentizace a výměna klíčů proběhla spávně. Server po přijetí zpráv nahradí aktuální metodu šifrování metodou vyjednanou a klientovi dá vědět. Nakonec ještě pošle kontrolní zprávu. Poté může začít vlastní přenos dat aplikací. Zjednodušený handshake ~6~

7 Tento zjednodušený handshake se používá, pokud chce klient se serverem pokračovat v dříve navázaném spojení nebo chce duplikovat existující spojení. Klient zašle zprávu CilentHello s identifikátorem spojení, v němž chce pokračovat. Pokud ho server nenajde začne kompletní handshake. Pokud ho najde potvrdí klientovy, že má nastavenou metodu šifrování podle zadaného spojení a odešle kontrolní zprávu. To samé provede i klient. Poté je možné posílat aplikační data Modely důvěry Někdy chceme vědět s kým vlastně komunikujeme K tomu slouží certifikáty, jež si server s klientem posílají během handshaku. Když ovšem obdržíme certifikát, co s ním dál? Jak zjistit, že patří opravdu tomu, kdo nám jej poslal? Je třeba ho nějak ověřit třetí stranou. Tento problém řeší tzv. modely důvěry. Existují dva odlišné modely, které mají své výhody i nevýhody: hiearchický distribuovaný Hiearchický model - X.509 Princip je zobrazený na obrázku. Přepokladem je, že existuje nějaká instituce tj. certifikační autorita (CA), kterou zná server i klient. Certifikát, který obdrží je podepsán CA. Stačí tedy ověřit podpis CA. Existuje spousta CA (např. Verisign, Microsoft Certificate Server,... ). Jedna CA může znát více jiných CA. Pokud nezná certifikát pošle jej ostaním CA, kterým důvěřuje. Tak vzniká hiearchická struktura. V ideálním případě se pak dostanem k jedné kořenové CA. V praxi, ale žádná taková neexistuje. Z toho plyne, že klient ale hlavně sever musí mít znát spoustu CA, jinak se prostě nedomluví. Další nevýhodou je, že CA si účtují vysoké poplatky za podepsané certifikáty, což zabraňuje většímu rošíření. Uplatnění tedy najde např. v nějaké firmě, které stačí akceptovat jen své zamětnance, jimž vydala a podepsala vlastní certifikát. Poznamenejme ještě, že tento model je doporučován i v TLS Distribuovaný model - OpenPGP Tento model se dá přirovnat k fungování peer-to-peer sítí. Je založen na důvěře, že poskytnuté informace jsou správné. Někdy je nazývána "web of trust" (síť důvěry). Dejme tomu, že máme spoustu známých a s námi chce komunikovat někdo koho neznáme. Zeptáme se, jestli jej náhodou neznají ostatní. Pokud ano, můžem v komunikaci pokračovat, protože to bude s nějvětší pravděpodobností ten, za koho se vydává. Např. Honza se zná s Pavlínou. David zná Honzu a věří mu, že zná dobře své známé. Pavlína napíše Davidovi. Ten se svých přátel zeptá, jestli to je opravdu ona. Honza odpoví, že to Pavlína určite bude a tak ji může v klidu odepsat. ~7~

8 Výhodou tohoto modelu je, že si ho můžeme nastavit podle svého. Např. pokud jsme hodně nedůvěřiví, tak si řeknem: "Pokud všichni potvrdili totožnost, avšak jeden ze známých řekne, že jej nezná, odmítnem další komunikaci." Další výhodou je, že za takový klíč či certfikát se neplatí. Certifikát má vlastně neomezené množství podpisujících. Nevýhodou může být, že odpovědnost za ověření vlastně nenese nikdo. Navíc poskytnuté informace nemusejí být aktuální (např. majitel přišel o certifikát a používá jiný). Tento model není součástí specifikace TLS, ale je implementován v některých dostupných knihovnách Rozšíření TLS TLS jako protokol existuje již poměrně dlouho (1999). Proto do něj bylo hlavně v posledních letech přidáno několik vylepšení. Nejzajímavěší zde budou podrobněji popsány Kerberos (1999) Krátce pro definování TLS protokolu byla přidána autentifikace pomocí šifer Kerberos. Měli sloužit k "bezpečnému" vyjednání master secret. Jejich délka byla 40 bitů. Šlo o reakci na embargo USA na dlouhé šifry. Tyto šifry by se dnes neměli používat Šifry AES (2002) Koncem minulého století docházelo ke snahám o prolomení šifer DES. Tyto snahy byly s narůstajícím výpočetním výkonem celkem úspěšné (existoval komerčně úspěšný odšifrovávací stroj). Jako přechodné řešení byl zvolen TripleDES, což je vlastně DES s tím, že se šifruje třikrát. Pokud se použijí 2 různé klíče (jeden z líčů je použit 2x), je délka zabězpečení 2 x 56b = 112b. Pokud se použijí 3 různé klíče je výsledná dělka 3 x 56b = 168b. To je sice dostačující, ale šifrování třemi klíči je zbytečně výpočetně náročné. Proto v roce 2002 vznikl standard AES. Používá algoritmus Rijndael. Je to symetrická bloková šifra s délkou bloku 128 b (oproti 64 bitům v DES). Umožňuje zvolit délku klíče 128 B, 192 B a 256 B. Do TLS byly začleněny pouze 128- a 256-bytové klíče TLS Extensions (2003) Tato rozšíření jsou určená hlavně mobilním zařízením v bezdrátových sítích, které jsou omezeny hardwarově a kvalitou přopojení. Dále umožňuje přidat další bezpečnostní informace. Jak jsou realizovány? Odesílají se během handshaku. Jsou součástí ClientHello a ServerHello (již v TLS 1.0 v nich byla specifikována nevyužitá položka právě pro Extensions). Odeslání jména serveru Při připojení k serveru klient odešle i jméno serveru, k němuž se chce připojit. Toto umožní výběr správného certifikátu a tedy i bezpečné připojení k serveru, na němž běží více virtuálních serverů. Maximální délka fragmentu Toto rošíření dovoluje TLS vyjednat menší velikost bloku record vrstvy. Toto rošíření je určeno klientům omezených velikostí paměti nebo šířkou pásma. Typicky bezdrátové sítě. Odeslání URL místo certifikátu Klient může míto certifikátu poslat pouze adresu, kde se nachází. Pak je nemusí mít uloženy v paměti. Pokud používá více certifikátů, může tak ušetřit velkou část svojí paměti. Použití zkrácené MAC Umožňuje zkrátit výstup hešovací funkce, která počítá MAC na 80b. Tím lze ušetřit šířku pásma. Známé CA Klient může poslat, jaké zná certifikační autority. To umožní předejít opakovaným neúspěšným handshakům. Certificate status request Umožní použít tzv. certificate-status protokol (např. OCSP) k ověření platnosti certifikátu serveru Komprese DEFLATE (2004) Tento algoritmus umožňuje zvolit si kompresní pomět a rychlost. Je založen na algoritmu LZ77 s Huffmanovým kódováním. Byl přidán na základě požadavků komunity kolem GnuTLS. ~8~

9 Lempel-Ziv-Stac (2004) Podobný předcházejícímu. Jeho výhodou je, že jeho kompresní poměr nikdy není horší než 1: TLS v jiných protokolech TLS se kombinuje s aplikačními protokoly tam, kde se používal nebo ještě používá SSL. Např. ve Windows Server 2003 to jsou: smtp, imaps, pop3s - pošta https - stránky nntps - dikusní skupiny ldaps - adresářové služby ftps-data, ftps - přenos souborů telnets - vzdálený terminál ms-sql-s - SQL server tftps - nespojované ftp Asi nemá cenu blíže rozebírat jednotlivé protokoly. Jedná se o zabezpečené verze známých aplikačních protokolů. Zmínil bych zde ale ještě použití TLS ve WLAN. Zde jsou spojení vytvořena pomocí PPP (spojení mezi dvěma zařízeními). Pro autentizaci se používá EAP-TLS. RFC je sice označen jako experimentální, ale v praxi se používá. Byl zvolen i ve Windows XP. Jeho rozšířená modifikace je EAP-TTLS, která navíc vytvoří tunel pro druhý ověřovací algoritmus. TLS lze rovněž použít ke komunikaci ve virtuálních privátních sítích VPN. Zde používá jako levnější náhrada za IPsec. Příkladem konkrétní implementace je OpenVPN Postranní kanály Co je postranní kanál V 90. letech minulého století se došlo k závěru, že moderní kryptografie je postavena na pevných matematických základech a tím pádem je bezpečná. Kryptoanalytici proto přestali hledat chyby v matematickém modelu, ale zaměřili se na konkrétní implementace. A zde se ukázalo, že obsahují spoustu slabin a poskytují informace, s nimiž se v matematickém modelu nepočítá. Každý nežádoucí způsob výměny informací mezi zabezpečeným systémem okolím je postranní kanály Typy Potranních kanálů existuje celá řada. Dají se rozdělit na několik skupiny: elektromagnetické (např. každý počítač je zdrojemelektomagnetického záření) časové (průběh operace závisí na vstupních datech) proudové (např. pokud zadám špatně pin, v zařízeníprochází jíný proud) chybové (chyba v implementaci systému) Chybové potranní kanály Můžou být způsobené vlastní chybou sytému. Tzn. systém není spolehlivý. Chyba do nich může být také vnesena špatným protokolem nebo šifrovacím algoritmem. Např. při šifrování pomocí blokových šifer mohou pro stejné bloky textu vzniknout stejné bloky zašifrovaného textu (při použití ECB) anebo naopak zopakovaním některých bloků dojde k změně informace, aniž by útočník znal způsob šifrování (např. zvojením bloku přídáme 3 nuly a tak místo Kč pošleme Kč). TLS proto umožňuje u blokových šifer použít pouze CBC modus Doplňování v modu CBC U šifrování pomocí blokových šifer je známý problém doplnění posledního bloku textu na správnou délku (např. předepsaná délka je 8 bytů, ale na poslední blok zbylo jen 7). V TLS se doplňuje od 0 do 255 bytů. Jde o tzv. padding. Např. chceme zašifrovat text ovelikosti 61 bytů. MAC má délku 20 bytů a na uložení délky paddingu potřebujem 1 byte (0-255). To je celkem 82 bytů. Budem chtít šifrovat TripleDESem. Jeho délka bloku je 8 ~9~

10 bytů. Tzn. musíme data doplnit tak, aby jejich délka odpovídala násobkům 8. Zvolíme tedy jedno z čísel 6, 14, 22,...,254. Jako hodnota bytů použitých jako výplň se zvolí délka paddingu. Např. pro 6 bude konec odesílaných dat vypadat xx , kde xx je poslední byte z MAC, následuje 6 x 06 a nakonec délka paddingu PK při použití RSA v TLS TLS umožňuje nastavit se tak, aby mohl komunikovat s klientem SSLv2. Toto skrývá nebezpečí v okamžiku handshaku, kdy server přijme pre-master secret, ale zjistí, že je pro špatnou verzi. Vyšle chybové hlášení a ukončí spojení. Toto chybové hlášení je zdrojem informace, kterou může útočník využít. Po mnoha takových pokusech, kdy posílá jím pozměněná chybová data se dostane až k privátnímu klíči. Na tento postraní kanál přišli čeští kryptoanalytici Tomáš Rosa a Vlastimil Klima. Podařilo se jim při jednom jejich testu nalézt privátní RSA klíč o délce 1024 bitů za necelých 23 hodin. Doba víceméně závisí jen na výkonnosti serveru. Lze odstranit tak, že se společně s pre-master secret pošle očekávaná verze protokolu. Další řešení je konfigurace serveru (není běžné aby klient posílal tisíce požadavků). 4. TLS v praxi 4.1. Knihovny TLS TLS vzniklo v roce 1999 a od té doby se již hojně rozšířilo v různých programech. Aby se nemusely psát v každám programu stále ty samé funkce vznikly různé knihovny, které TLS implementují. Zde jsou uvedeny 4 nejrozšířenější. Na všech knihovnách je zajímavé to, že obsahují funkce pro práci s TLS i SSL. Oba sice nejsou kompatibilní, ale TLS obsahuje mechanizmy, jak tuto kompatibilitu zajistit OpenSSL Céčkovská knihovna. Je nejstaší ze všech zde uvedených knihoven. Původně vznikla jako knihovna implementující SSL. To je vlastně i dnes. Navíc však přibylo TLS. Psaní pro SSL a TLS aplikací se téměř neliší, protože TLS využívá většinu SSL funkcí. Od verze podporuje i AES šifrování. Lze využít s BSD sockety. Samotné SSL funkce jsou jim velice podobné. Co se dá vytknout této knihovně je mizerná nápověda a to, že neimplemtuje přímo TLS, což může mít jistá bezpečnostní rizika (přejatá ze SSL). Instalace na Linux Není problém stáhnout balíček a nainstalovat: rpm -i./openssl pro Debian: apt-get install openssl Použití Vygenerování klíčů (RSA, délka 1024): openssl req -newkey rsa:1024 -nodes -keyout server.key -out server.req Vygenerování certifikátu (X.509): openssl x509 -req -signkey server.key -in server.req -out server.pem GnuTLS Céčkovská knihovna. Implementuje TLS podle standardu. Navíc podporuje i SSL verze 3. Obsahuje wrappery pro OpenSSL. Aplikace tak lze jednoduše předělat pro GnuTLS (použitím hlavičkového soubor openssl.h). Oproti standardu obsahuje rozšíření o podporu OpenPGP. Lze využít nejen BSD sockety. Dle mého názoru je asi nejlepší ze všech zde uvedených. Je již ve stabilní verzi. Má rozněž dobrou nápovědu. Lze použít i pod Windows. ~10~

11 Instalace na Linux Instalace už není tak jednoduchá jako u OpenSSL. Jsou potřeba doinstalovat 2 knihovny a samotné GnuTLS. Já jsem instaloval tyto verze: libgpg-error-1.0 libgrypt gnutls GnuTLS ještě vyžaduje knihovnu libtasn, ale ta je zpravidla přítomna v systému. Nejednodušší řešení je vše instalovat ze zdrojových kódů:./configure --prefix=/usr make make install Instalace na Debian Popíši zde ješte instalaci z balíčku na OS Debian v UL402. Zde jsou nekompatibilní verze knihovny ASN.1 a GnuTLS. Proto musí být knihovna ASN.1 nahrazena jinou: dpkg -r --force-depends libtasn1-2 apt-get -f install libtasn1-2-dev libtasn1-2 -t testing apt-get install libgnutls11-dev NSS Céčkovská knihovna byla vytvořena komunitou kolem Mozilly. Obsahuje podporu TLS i SSL. Má poměrně dobrou nápovědu. Lze použít i pod Windows při psaní vlastních programů PureTLS Javovká knihovna. Obsahuje podporu pro TLS i SSL JSSE Java Secure Sockets Extension je balíček, pro podporu SSL a TLS v Javě. Je z dílny Sunu Chilkat SSL COM komponenta, která podporuje SSL i TLS. Je založana na OpenSSL. Lze použít v C++ i.net Implementace Součástí semestrální práce jsou 2 implementace serveru a klienta, při nichž bylo použito knihoven OpenSSL a GnuTLS. Obě jsou určeny pro operační systém Linux. Předpokladem je, že v něm budou knihovny naistalovány (viz předchozí kapitola). U OpenSSL je vidět, že jsou rozdíly mezi psaním aplikace TLS a SSL jsou minimální. Naproti tomu GnuTLS implementuje přímo TLS, ale zachovává zpětnou kompatibilitu s SSLv3. Obě implementace fungují stejně. Spustí se server (aby fungoval nejen pod rootem). Pak se spustí klient. Jako parametr má IP nebo jméno serveru. Server mu pošle certifikát. Po handshaku klient pošle řetězec Tajná zpráva. Server jej přijme a odešle nazpět. Poté komunikace končí Programy využívající TLS Prohlížeče Internet Explorer Firefox (knihovna NSS) Mozilla (Knihovna NSS) Lynx (GnuTLS) - textový webový prohlížeč Poštovní klienti Pine (OpenSSL) Thunderbird (NSS) Mozilla (NSS) Eudora Evolution (GnuTLS) ~11~

12 Poštovní servery James (JSSE) - javovský SMTP, POP3 Mail server a NNTP News server SendMail (OpenSSL) Autentizovaný přístup vzdálený přístup (Windows Server 2003) přístup k SQL (Windows Server 2003) Ostatní TLSWrap (OpenSSL) - dovoluje použít stávající FTPklientpro bezpečný přenos CryWrap (GnuTLS) - wraper pro TCP služby SafeGossip (OpenSSL) - wraper pro POP, IMAP a SMTP Hydra (GnuTLS) - webový server Gaim (GnuTLS) - komunikační program pro icq síť C-Kermit (OpenSSL) - komunikační program OpenVPN - slouží k vytváření virtuálních privátních sítí a mnoho dalších 5. Shrnutí TLS vychází z SSL verze 3. Změny jsou minimální, ale natolik závažné, že oba protokoly nejsou vzájemně kompatibilní. Týkají se hlavně bezpečnosti. V TLS je však popsán mechanismus, jak zajistit zpětnou kompatibilitu. Rozdíly TLS a SSLv3 Zabezpečení MAC se počítá jinak. TLS nepodporuje mechanizmus výměny klíčů Fortrezza. Do Alert protokolu bylo přidáno mnoho nových zpráv. V TLS není nutné použít všechny certifikáty až ke kořenové certifikační autoritě. Stačí použít některou mezilehlou. Padding blokových šifer v modu CBC je proměnný (0-255). V SSL musí být menší než délka bloku. SSL se jako protokol již nerozvíjí. Rozšíření do něj jsou "dolepovány". TLS je mnohem striktnější ve svém použití i použití jiných protokolů kvůli bezpečnosti (v RFC jsou popisována bezpečnostní rizika). + další drobné rozdíly Obecně lze doporučit použití pouze TLS a silné šifry. Pokud to je nutné, podporovat ještě SSLv3. SSLv2 zanáší do TLS bezpečnostní rizika (viz kapitola o Postranních kanálech), proto by se neměl vůbec používat. 6. Závěr Protokol TLS je poměrně zajímavé a jak jsem zjitil, tak rovněž obsáhlé téma. Semestrální práce zahrnovala nastudování tohoto protokolu, vyhledání a instalaci knihoven implementující TLS a napsání programů serverklient pomocí dvou knihoven OpenSSL a GnuTLS. To dle mého názorů znamenalo 3-násobek práce oproti zadáním, kde se píše pouze tutoriál. 7. Zdroje - The TLS Protocol Version AES Ciphersuites for TLS - TLS Extensions - OpenSSL - GnuTLS - Javoská knihovna od Sunu implementující TLS - Stránky Dominika Joe Pantůčka - Stránky Vlastimila Klimy - Stránky Tomáše Rosy - kde se využívá TLS ve Windows Server použití TLS ve virtuálních privátních sítích ~12~

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz. http://sut.sh.cvut.cz

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz. http://sut.sh.cvut.cz Šifrování (2), FTP Petr Koloros p.koloros [at] sh.cvut.cz http://sut.sh.cvut.cz Obsah Úvod do šifrování FTP FTP server ProFTPd Šifrovaný přístup Virtuální servery Síť FTPek na klíč FTP File Transfer Protokol

Více

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce Základní princip Elektronický podpis Odesílatel podepíše otevřený text vznikne digitálně podepsaný text Příjemce ověří zda podpis patří odesílateli uvěří v pravost podpisu ověří zda podpis a text k sobě

Více

Správa webserveru. Blok 9 Bezpečnost HTTP. 9.1 Úvod do šifrování a bezpečné komunikace. 9.1.1 Základní pojmy

Správa webserveru. Blok 9 Bezpečnost HTTP. 9.1 Úvod do šifrování a bezpečné komunikace. 9.1.1 Základní pojmy Blok 9 Bezpečnost HTTP Studijní cíl Devátý blok kurzu je věnován Identifikaci, autentizaci a bezpečnosti Hypertext Transfer Protokolu. Po absolvování bloku bude student ovládat partie týkající se zabezpečení

Více

OpenSSL a certifikáty

OpenSSL a certifikáty OpenSSL a certifikáty Petr Krčmář 1. června 2013 Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Petr Krčmář (Root.cz) OpenSSL a certifikáty 1. června 2013 1 / 20 OpenSSL: o čem

Více

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013 Šifrování Autentizace ní slabiny 22. března 2013 Šifrování Autentizace ní slabiny Technologie Symetrické vs. asymetrické šifry (dnes kombinace) HTTPS Funguje nad HTTP Šifrování s pomocí SSL nebo TLS Šifrování

Více

Internet Information Services (IIS) 6.0

Internet Information Services (IIS) 6.0 Internet Information Services (IIS) 6.0 V operačním systému Windows Server 2003 je obsažena i služba IIS v 6.0. Služba IIS poskytuje jak www server tak i některé další služby (FTP, NNTP,...). Jedná se

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Šifrování Kafková Petra Kryptografie Věda o tvorbě šifer (z řečtiny: kryptós = skrytý, gráphein = psát) Kryptoanalýza Věda o prolamování/luštění šifer Kryptologie Věda o šifrování obecné označení pro kryptografii

Více

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský Seminární práce do předmětu: Bezpečnost informačních systémů téma: IPsec Vypracoval: Libor Stránský Co je to IPsec? Jedná se o skupinu protokolů zabezpečujících komunikaci na úrovni protokolu IP (jak už

Více

Mobilita a roaming Možnosti připojení

Mobilita a roaming Možnosti připojení Projekt Eduroam Projekt Eduroam je určený pro bezdrátové a pevné připojení mobilních uživatelů do počítačové sítě WEBnet. Mohou jej využívat studenti, zaměstnanci a spřátelené organizace. V rámci tohoto

Více

Uživatel počítačové sítě

Uživatel počítačové sítě Uživatel počítačové sítě Intenzivní kurz CBA Daniel Klimeš, Ivo Šnábl Program kurzu Úterý 8.3.2005 15.00 18.00 Teoretická část Středa 9.3.2005 15.00 19.00 Praktická práce s počítačem Úterý 15.3.2005 15.00

Více

Středoškolská technika 2015. Encryption Protection System

Středoškolská technika 2015. Encryption Protection System Středoškolská technika 2015 Setkání a prezentace prací středoškolských studentů na ČVUT Encryption Protection System Jaroslav Vondrák Vyšší odborná a Střední škola Varnsdorf Mariánská 1100, Varnsdorf 1

Více

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9 Příloha č. 4 1 Informace o testování estovaný generátor: 2 estovací prostředí estovací stroj č. 1: estovací stroj č. 2: estovací stroj č. 3: Certifikáty vydány autoritou: estovací protokol webový generátor

Více

Jen správně nasazené HTTPS je bezpečné

Jen správně nasazené HTTPS je bezpečné Jen správně nasazené HTTPS je bezpečné Petr Krčmář 12. listopadu 2015 Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Petr Krčmář (Root.cz, vpsfree.cz) Jen správně

Více

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptografie, elektronický podpis Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptologie Kryptologie věda o šifrování, dělí se: Kryptografie nauka o metodách utajování smyslu zpráv převodem do podoby,

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Ing. Jitka Dařbujanová. E-mail, SSL, News, elektronické konference

Ing. Jitka Dařbujanová. E-mail, SSL, News, elektronické konference Ing. Jitka Dařbujanová E-mail, SSL, News, elektronické konference Elementární služba s dlouhou historií Původně určena pro přenášení pouze textových ASCII zpráv poté rozšíření MIME Pro příjem pošty potřebujete

Více

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP. Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení

Více

Internet, www, el. pošta, prohlížeče, služby, bezpečnost

Internet, www, el. pošta, prohlížeče, služby, bezpečnost Internet, www, el. pošta, prohlížeče, služby, bezpečnost Internet jedná se o fyzické propojení komponent nacházejících se v počítačových sítí všech rozsahů LAN, MAN, WAN. Patří sem koncové uživatelské

Více

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Šifrová ochrana informací věk počítačů PS5-2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova

Více

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu Czech Point Co je Czech Point? Podací Ověřovací Informační Národní Terminál, tedy Czech POINT je projektem, který by měl zredukovat přílišnou byrokracii ve vztahu občan veřejná správa. Czech POINT bude

Více

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2 Úroveň I - Přehled Úroveň II - Principy Kapitola 1 Kapitola 2 1. Základní pojmy a souvislosti 27 1.1 Zpráva vs. dokument 27 1.2 Písemná, listinná a elektronická podoba dokumentu 27 1.3 Podpis, elektronický

Více

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz Asymetrická kryptografie a elektronický podpis Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Asymetrická, symetrická a hybridní kryptografie Matematické problémy, na kterých

Více

Certifikáty a jejich použití

Certifikáty a jejich použití Certifikáty a jejich použití Verze 1.0 Vydání certifikátu pro AIS Aby mohl AIS volat egon služby ISZR, musí mít povolen přístup k vnějšímu rozhraní ISZR. Přístup povoluje SZR na žádost OVM, který je správcem

Více

Michaela Sluková, Lenka Ščepánková 15.5.2014

Michaela Sluková, Lenka Ščepánková 15.5.2014 ČVUT FJFI 15.5.2014 1 Úvod 2 3 4 OpenPGP Úvod Jak? Zašifrovat email lze pomocí šifrování zprávy samotné či elektronickým podpisem emailových zpráv. Proč? Zprávu nepřečte někdo jiný a nemůže být změněna,

Více

Na vod k nastavenı e-mailu

Na vod k nastavenı e-mailu Na vod k nastavenı e-mailu 1. Návod k nastavení e-mailových schránek na serveru stribrny.net. Do e-mailových schránek lze přistupovat přes webové rozhraní Webmail nebo přes poštovního klienta. Návod popisuje

Více

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény DNSSEC Validátor - doplněk prohlížečů proti podvržení domény CZ.NIC z.s.p.o. Martin Straka / martin.straka@nic.cz Konference Internet a Technologie 12 24.11.2012 1 Obsah prezentace Stručný úvod do DNS

Více

Práce s e-mailovými schránkami v síti Selfnet

Práce s e-mailovými schránkami v síti Selfnet Práce s e-mailovými schránkami v síti Selfnet Obsah návodu Základní informace k nastavení schránky selfnet.cz...2 Doporučené parametry nastavení e-mailového klienta...2 Základní informace k nastavení e-mailové

Více

PSK2-16. Šifrování a elektronický podpis I

PSK2-16. Šifrování a elektronický podpis I PSK2-16 Název školy: Autor: Anotace: Vzdělávací oblast: Předmět: Vyšší odborná škola a Střední průmyslová škola, Božetěchova 3 Ing. Marek Nožka Jak funguje asymetrická šifra a elektronický podpis Informační

Více

Rozdělení šifer Certifikáty a jejich použití Podání žádosti o certifikát. Martin Fiala digri@dik.cvut.cz

Rozdělení šifer Certifikáty a jejich použití Podání žádosti o certifikát. Martin Fiala digri@dik.cvut.cz Certifikační autorita Rozdělení šifer Certifikáty a jejich použití Podání žádosti o certifikát Certifikační autority u nás Martin Fiala digri@dik.cvut.cz Význam šifer umožnit zakódování a pozdější dekódování

Více

Autentizace uživatelů

Autentizace uživatelů Autentizace uživatelů základní prvek ochrany sítí a systémů kromě povolování přístupu lze uživatele členit do skupin, nastavovat různá oprávnění apod. nejčastěji dvojicí jméno a heslo další varianty: jednorázová

Více

Použití čipových karet v IT úřadu

Použití čipových karet v IT úřadu Použití čipových karet v IT úřadu Software pro personalizaci, správu a použití čipových karet Ing. Ivo Rosol, CSc. Ing. Pavel Rous 9. 10. 6. 2011 1 Použití bezkontaktních čipových karet Přístupové systémy

Více

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Šifrová ochrana informací věk počítačů PS5-2 1 Osnova šifrová ochrana využívající výpočetní techniku např. Feistelova šifra; symetrické a asymetrické šifry;

Více

Česká pošta, s.p. Certifikační autorita PostSignum

Česká pošta, s.p. Certifikační autorita PostSignum Česká pošta, s.p. Certifikační autorita PostSignum 6. 12. 2012 Ing. Miroslav Trávníček Služby certifikační autority Kvalifikované certifikáty komunikace s úřady státní správy Komerční certifikáty bezpečný

Více

Základy kryptografie. Beret CryptoParty 11.02.2013. 11.02.2013 Základy kryptografie 1/17

Základy kryptografie. Beret CryptoParty 11.02.2013. 11.02.2013 Základy kryptografie 1/17 Základy kryptografie Beret CryptoParty 11.02.2013 11.02.2013 Základy kryptografie 1/17 Obsah prezentace 1. Co je to kryptografie 2. Symetrická kryptografie 3. Asymetrická kryptografie Asymetrické šifrování

Více

Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů

Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů Verze dokumentu: 1.2 Datum vydání: 25.května 2012 Klasifikace: Veřejný dokument Obsah 1. Žádost

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Šifrování dat, kryptografie

Šifrování dat, kryptografie Metody a využití Šárka Vavrečková Ústav informatiky, FPF SU Opava sarka.vavreckova@fpf.slu.cz Poslední aktualizace: 5. prosince 201 Úvod do kryptografie Kryptografie a kryptoanalýza Co to je kryptografie

Více

Software SMART Bridgit

Software SMART Bridgit Specifikace Software SMART Bridgit Verze 4.5 Popis produktu Konferenční software SMART Bridgit je cenově přístupnou aplikací typu klient/server, která umožňuje snadné plánování schůzek a připojení, sdílení

Více

Směry rozvoje v oblasti ochrany informací KS - 7

Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006

Více

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion 10. 11. dubna 2013.

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion 10. 11. dubna 2013. Praha, hotel Clarion 10. 11. dubna 2013 Od Enigmy k PKI principy moderní kryptografie T-SEC4 / L3 Tomáš Herout Cisco 2013 2011 Cisco and/or its affiliates. All rights reserved. Cisco Connect 1 Největší

Více

Bezpečnost elektronických platebních systémů

Bezpečnost elektronických platebních systémů Katedra matematiky, Fakulta jaderná a fyzikálně inženýrská, České vysoké učení technické v Praze Plán Platby kartou na terminálech/bankomaty Platby kartou na webu Internetové bankovnictví Platby kartou

Více

Import kořenového certifikátu CA ZŠ O. Březiny

Import kořenového certifikátu CA ZŠ O. Březiny Import kořenového certifikátu CA ZŠ O. Březiny Obsah Úvodem... 1 Jak to vypadá, když certifikát není nainstalován... 2 Instalace kořenového certifikátu ZŠ O. Březiny (pro Internet Explorer a Google Chrome)...

Více

12. Bezpečnost počítačových sítí

12. Bezpečnost počítačových sítí 12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,

Více

Směry rozvoje v oblasti ochrany informací PS 7

Směry rozvoje v oblasti ochrany informací PS 7 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Směry rozvoje v oblasti ochrany informací PS 7 2 Osnova vývoj symetrických a asymetrických metod; bezpečnostní protokoly; PKI; šifrováochranavinternetu;

Více

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly. 7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům

Více

VPN - Virtual private networks

VPN - Virtual private networks VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks Virtual Private Networks Privátní sítě používají pronajaté linky Virtuální

Více

Asymetrická kryptografie

Asymetrická kryptografie PEF MZLU v Brně 12. listopadu 2007 Problém výměny klíčů Problém výměny klíčů mezi odesílatelem a příjemcem zprávy trápil kryptografy po několik století. Problém spočívá ve výměně tajné informace tak, aby

Více

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16 OpenVPN Ondřej Caletka 3. března 2013 Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16 Virtuální privátní sítě Vytvoření

Více

Správa přístupu PS3-2

Správa přístupu PS3-2 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Správa přístupu PS3-2 1 Osnova II základní metody pro zajištění oprávněného přístupu; autentizace; autorizace; správa uživatelských účtů; srovnání současných

Více

Úvod do informatiky 5)

Úvod do informatiky 5) PŘEHLED PŘEDNÁŠKY Internet Protokol a služba Jmenná služba (DNS) URL adresa Elektronická pošta Přenos souborů (FTP) World Wide Web (WWW) Téměř zapomenuté služby 1 INTERNET 2 PROTOKOL A SLUŽBA Protokol

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Bezdrátové sítě Wi-Fi Původním cíl: Dnes Bezdrátové sítě Nejrozšířenější je Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wifi) Standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Původním cíl: Zajišťovat vzájemné

Více

Integrovaný informační systém Státní pokladny (IISSP) Dokumentace API - integrační dokumentace

Integrovaný informační systém Státní pokladny (IISSP) Dokumentace API - integrační dokumentace Česká republika Vlastník: Logica Czech Republic s.r.o. Page 1 of 10 Česká republika Obsah 1. Úvod...3 2. Východiska a postupy...4 2.1 Způsob dešifrování a ověření sady přístupových údajů...4 2.2 Způsob

Více

Zapomeňte už na FTP a přenášejte soubory bezpečně

Zapomeňte už na FTP a přenášejte soubory bezpečně Petr Krčmář Zapomeňte už na FTP a přenášejte soubory bezpečně 8. listopadu 2009 LinuxAlt, Brno O čem to bude? Proč říct ne protokolu FTP Jak si FTP trochu vylepšit Co máš proti FTP? FTP je bohužel velmi

Více

Tel.: (+420) 312 608 207 E-mail: szabo@fbmi.cvut.cz

Tel.: (+420) 312 608 207 E-mail: szabo@fbmi.cvut.cz Internet a zdravotnická informatika ZS 2007/2008 Zoltán Szabó Tel.: (+420) 312 608 207 E-mail: szabo@fbmi.cvut.cz č.dv.: : 504, 5.p Dnešní přednáškař Bezpečnost dat Virus, červ a trojský kůň Základní bezpečnostní

Více

Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů

Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů Verze dokumentu: 1.7 Datum vydání: 31. srpna 2015 Klasifikace: Veřejný dokument Obsah 1. Žádost o certifikát...

Více

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení.

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. 10. Bezdrátové sítě Studijní cíl Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. Doba nutná k nastudování 1,5 hodiny Bezdrátové komunikační technologie Uvedená kapitola

Více

Moderní metody substitučního šifrování

Moderní metody substitučního šifrování PEF MZLU v Brně 11. listopadu 2010 Úvod V současné době se pro bezpečnou komunikaci používají elektronická média. Zprávy se před šifrováním převádí do tvaru zpracovatelného technickým vybavením, do binární

Více

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Internet a zdroje Elektronická pošta a její správa, bezpečnost

Více

Použití programu WinProxy

Použití programu WinProxy JIHOČESKÁ UNIVERZITA V ČESKÝCH BUDĚJOVICÍCH PEDAGOGICKÁ FAKULTA KATEDRA INFORMATIKY Použití programu WinProxy pro připojení domácí sítě k internetu Semestrální práce z předmětu Lokální počítačové sítě

Více

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol Šifrování ve Windows EFS IPSec SSL PPTP - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol 18.11.2003 vjj 1 Bezpečnost? co chci chránit? systém

Více

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu KRYPTOGRAFIE CO JE KRYPTOGRAFIE Kryptografie je matematický vědní obor, který se zabývá šifrovacími a kódovacími algoritmy. Dělí se na dvě skupiny návrh kryptografických algoritmů a kryptoanalýzu, která

Více

Elektronická komunikace

Elektronická komunikace Úvod Internet jsou vlastně propojené počítače, jeho využití k přenosu zpráv se tedy okamžitě nabízí. E-mail vznikl dávno před webem, zasílání zpráv bylo možné téměř od počátku existence počítačových sítí.

Více

Elektronická pošta... 3 Historie... 3 Technické principy... 3 Komunikační protokoly... 3 MBOX... 4 Maildir... 4 Jak funguje e-mail... 5 POP3...

Elektronická pošta... 3 Historie... 3 Technické principy... 3 Komunikační protokoly... 3 MBOX... 4 Maildir... 4 Jak funguje e-mail... 5 POP3... Elektronická pošta Elektronická pošta... 3 Historie... 3 Technické principy... 3 Komunikační protokoly... 3 MBOX... 4 Maildir... 4 Jak funguje e-mail... 5 POP3... 5 IMAP... 6 Výhody a nevýhody IMAP...

Více

Odesílání citlivých dat prostřednictvím šifrovaného emailu s elektronickým podpisem standardem S/MIME

Odesílání citlivých dat prostřednictvím šifrovaného emailu s elektronickým podpisem standardem S/MIME Odesílání citlivých dat prostřednictvím šifrovaného emailu s elektronickým podpisem standardem S/MIME Je dostupnou možností, jak lze zaslat lékařskou dokumentaci elektronicky. Co je třeba k odeslání šifrovaného

Více

Asymetrické šifry. Pavla Henzlová 28.3.2011. FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

Asymetrické šifry. Pavla Henzlová 28.3.2011. FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3. Asymetrické šifry Pavla Henzlová FJFI ČVUT v Praze 28.3.2011 Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.2011 1 / 16 Obsah 1 Asymetrická kryptografie 2 Diskrétní logaritmus 3 Baby step -

Více

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>, http://www.ucw.cz/~qiq/vsfs/ Počítačové sítě II 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/ 1 Bezpečnost sítí cílem je ochránit počítačovou síť a především data/zařízení v nich

Více

Programové vybavení OKsmart pro využití čipových karet

Programové vybavení OKsmart pro využití čipových karet Spojujeme software, technologie a služby Programové vybavení OKsmart pro využití čipových karet Ukázky biometrické autentizace Ing. Vítězslav Vacek vedoucí oddělení bezpečnosti a čipových karet SmartCard

Více

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra Symantec pcanywhere 12.0 Špičkové řešení vzdáleného ovládání pro odbornou pomoc a řešení problémů Co je Symantec pcanywhere 12.0? Symantec pcanywhere, přední světové řešení vzdáleného ovládání*, pomáhá

Více

Jak nastavit poštu v síti SPKFree

Jak nastavit poštu v síti SPKFree Jak nastavit poštu v síti SPKFree V poslední době se množí dotazy kolem pošty. Ti, kteří je kladou jsou bohužel ztraceni a vůbec nechápou základní věci. Ti, kteří odpovídají šílí, jak někdo může nevědět

Více

Datum vytvoření. Vytvořeno 18. října 2012. Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Datum vytvoření. Vytvořeno 18. října 2012. Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží Číslo projektu CZ.1.07/1.5.00/34.0394 Škola SOŠ a SOU Hustopeče, Masarykovo nám. 1 Autor Ing. Miriam Sedláčková Číslo VY_32_INOVACE_ICT.3.01 Název Teorie internetu- úvod Téma hodiny Teorie internetu Předmět

Více

Nastavení poštovních klientů pro přístup k e-mailové schránce na VŠPJ

Nastavení poštovních klientů pro přístup k e-mailové schránce na VŠPJ Nastavení poštovních klientů pro přístup k e-mailové schránce na VŠPJ Obsah: Nastavení poštovního klienta Mozilla Thunderbird... 2 Nastavení poštovního klienta Microsoft Outlook... 6 Použití poštovního

Více

Elektronická pošta. elementární služba, výchozí pro některé další jedna z prvních síťových služeb vůbec. základní principy popisují

Elektronická pošta. elementární služba, výchozí pro některé další jedna z prvních síťových služeb vůbec. základní principy popisují Elektronická pošta elementární služba, výchozí pro některé další jedna z prvních síťových služeb vůbec v Internetu: protokol SMTP existují i další poštovní systémy, zpravidla propojeny s internetovou poštou

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Kryptografie - Síla šifer

Kryptografie - Síla šifer Kryptografie - Síla šifer Rozdělení šifrovacích systémů Krátká charakteristika Historie a současnost kryptografie Metody, odolnost Praktické příklady Slabá místa systémů Lidský faktor Rozdělení šifer Obousměrné

Více

StartSSL: certifikáty zdarma

StartSSL: certifikáty zdarma .. StartSSL: certifikáty zdarma Ondřej Caletka 4. října 2014 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) StartSSL: certifikáty zdarma 4.

Více

Systém Přenos verze 3.0

Systém Přenos verze 3.0 Systém Přenos verze 3.0 (bezpečná komunikace a automatizované zpracování dat) CTlabs spol. s r.o. Pernštejnské Janovice 28, 593 01 Bystřice nad Pernštejnem, tel/fax.: 0505-551 011 www.ctlabs.cz info@ctlabs.cz

Více

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky ŠIFROVÁNÍ, EL. PODPIS Kryptografie Elektronický podpis Datové schránky Kryptografie Kryptografie neboli šifrování je nauka o metodách utajování smyslu zpráv převodem do podoby, která je čitelná jen se

Více

plussystem Příručka k instalaci systému

plussystem Příručka k instalaci systému plussystem Příručka k instalaci systému Tato příručka je určena zejména prodejcům systému a případně koncovým uživatelům. Poskytuje návod, jak provést potřebná nastavení komponent. ITFutuRe s.r.o. 26.2.2015

Více

Metody zabezpečeného přenosu souborů

Metody zabezpečeného přenosu souborů Metody zabezpečeného přenosu souborů Radek Dostál Petr Koloros Cryptofest 15.11.2003 Úvod Co všechno šifrovat SSL FTP x SFTP, SCP SSL FTP Implicit x Explicit jak poznat Windows klienti, servery Linux klienti,

Více

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí, 9. Sítě MS Windows MS Windows existoval ve 2 vývojových větvích 9x a NT, tyto později byly sloučeny. V současnosti existují aktuální verze Windows XP a Windows 2003 Server. (Očekává se vydání Windows Vista)

Více

Konfigurace pracovní stanice pro ISOP-Centrum verze 1.21.32

Konfigurace pracovní stanice pro ISOP-Centrum verze 1.21.32 Informační systém ISOP 7-13 Vypracováno pro CzechInvest Konfigurace pracovní stanice pro ISOP-Centrum verze 1.21.32 vypracovala společnost ASD Software, s.r.o. Dokument ze dne 20.2.2015, verze 1.00 Konfigurace

Více

Manuál pro práci s kontaktním čipem karty ČVUT

Manuál pro práci s kontaktním čipem karty ČVUT Stránka 1 z 28 Manuál pro práci s kontaktním čipem Stránka 2 z 28 Obsah 1 Instalace... 3 1.1 Postup instalace minidriveru pro Windows (totožný pro PKCS#11 knihovny)... 4 2 Práce s PIN a PUK... 5 3 Správa

Více

Semestrální projekt do předmětu SPS

Semestrální projekt do předmětu SPS Semestrální projekt do předmětu SPS Název projektu: Instalace a provoz protokolu IPv6 v nových verzích MS Windows (XP). Ověření proti routerům Cisco a Linux. Cíl projektu: Autoři: Cílem tohoto projektu

Více

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Audit bezpečnosti počítačové sítě Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Zadání Prověřit bezpečnost v dané počítačové síti (cca 180 klientských stanic) Nejsou povoleny destruktivní

Více

Secure Socket Layer. SSLv2, SSLv3, TSLv1. Čolakov Todor KIV / PSI

Secure Socket Layer. SSLv2, SSLv3, TSLv1. Čolakov Todor KIV / PSI SSLv2, SSLv3, TSLv1 Čolakov Todor KIV / PSI 1. května 2005 Úvod Cíl vytvoření bezpečného spojení Původ firma Netscape Verze SSL 2.0 SSL 3.0 - opravuje mnoho chyb SSL 2.0 TSL 1.0 - velmi podobná SSL3.0

Více

Modul ekomunikace. Uživatelský návod. Návod Dokumentace. Verze 1.1 poslední změna 09.02.2015. Modul ekomunikace strana 1/5

Modul ekomunikace. Uživatelský návod. Návod Dokumentace. Verze 1.1 poslední změna 09.02.2015. Modul ekomunikace strana 1/5 Modul ekomunikace Uživatelský návod Návod Dokumentace Verze 1.1 poslední změna 09.02.2015 Modul ekomunikace strana 1/5 ekomunikace Modul ekomunikace umožňuje využívat B2B synchronní služby VZP, které zahrnují

Více

Generování žádostí o kvalifikovaný certifikát a instalace certifikátu Uživatelská příručka pro prohlížeč Internet Explorer

Generování žádostí o kvalifikovaný certifikát a instalace certifikátu Uživatelská příručka pro prohlížeč Internet Explorer Generování žádostí o kvalifikovaný certifikát a instalace certifikátu Uživatelská příručka pro prohlížeč Internet Explorer 1 První certifikační autorita, a.s. 8.9.2011 Obsah 1. Úvod... 3 2. Požadavky na

Více

Instrukce pro vzdálené připojení do učebny 39d

Instrukce pro vzdálené připojení do učebny 39d Instrukce pro vzdálené připojení do učebny 39d Každá skupina má k dispozici jedno sdílené připojení, prostřednictvím kterého se může vzdáleně připojit do učebny 39d a pracovat na svých semestrálních projektech

Více

Přechod na SHA-2. informace pro uživatele. Ministerstvo vnitra ČR Odbor rozvoje projektů a služeb služeb egovernment 7. 5. 2010

Přechod na SHA-2. informace pro uživatele. Ministerstvo vnitra ČR Odbor rozvoje projektů a služeb služeb egovernment 7. 5. 2010 Přechod na SHA-2 informace pro uživatele Ministerstvo vnitra ČR Odbor rozvoje projektů a služeb služeb egovernment 7. 5. 2010 1 Informační systém datových schránek - Přechod na SHA-2, informace pro uživatele

Více

Analýza aplikačních protokolů

Analýza aplikačních protokolů ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická PROJEKT Č. 4 Analýza aplikačních protokolů Vypracoval: V rámci předmětu: Jan HLÍDEK Komunikace v datových sítích (X32KDS) Měřeno: 28. 4. 2008

Více

Platební systém XPAY [www.xpay.cz]

Platební systém XPAY [www.xpay.cz] Platební systém XPAY [www.xpay.cz] implementace přenosu informace o doručení SMS verze 166 / 1.3.2012 1 Obsah 1 Implementace platebního systému 3 1.1 Nároky platebního systému na klienta 3 1.2 Komunikace

Více

[1] ICAReNewZEP v1.2 Uživatelská příručka

[1] ICAReNewZEP v1.2 Uživatelská příručka [1] ICAReNewZEP v1.2 Uživatelská příručka 06.10.2011 [2] Obsah 1 - ÚVOD... 3 2 - POUŽITÉ ZKRATKY... 3 3 POŽADAVKY... 4 3.1 POŽADAVKY PRO SPRÁVNÝ CHOD APLIKACE... 4 3.2 POŽADAVKY NA OBNOVOVANÝ CERTIFIKÁT...

Více

Uživatelská příručka

Uživatelská příručka Uživatelská příručka Popis postupu nastavení zabezpečené komunikace s CDS pomocí aplikace Outlook Express. Verze: C 23.10.2007 CDS D4_Instalace_OutlookExpressSettings.doc Strana 1 z 10 OBSAH 1 Úvod a shrnutí...4

Více

ABC Linux běží z CD české prostředí tištěná příručka obsah portálu www.abclinuxu.cz. Mutt Jak začít? Jan Fuchs

ABC Linux běží z CD české prostředí tištěná příručka obsah portálu www.abclinuxu.cz. Mutt Jak začít? Jan Fuchs Mutt Jak začít? Jan Fuchs Ještě než začnu vás chci upozornit, že to, co píši, je můj názor a nikomu nebráním v tom, aby ho měl odlišný. A proto vás žádám, abyste nezačali zbytečnou slovní válku o tom,

Více

BEZPEČNOST INFORMACÍ

BEZPEČNOST INFORMACÍ Předmět Bezpečnost informací je zaměřen na bezpečnostní aspekty informačních systémů a na zkoumání základních prvků vytvářeného bezpečnostního programu v organizacích. Tyto prvky technologie, procesy a

Více

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27 Obsah Část I Základy bezpečnosti..............9 Kapitola 1 Základy obvodového zabezpečení.................11 Důležité pojmy...12 Hloubková obrana...15 Případová studie hloubkové obrany...25 Shrnutí...26

Více

Uživatelská dokumentace

Uživatelská dokumentace Uživatelská dokumentace Verze 14-06 2010 Stahování DTMM (v rámci služby Geodata Distribution) OBSAH OBSAH...2 1. O MAPOVÉM SERVERU...3 2. NASTAVENÍ PROSTŘEDÍ...3 2.1 Hardwarové požadavky...3 2.2 Softwarové

Více