====== Přednášky ====== Následuje návrh struktury přednášek v zimním semestru 2024/25. V tomto semestru má čtvrtou přednášku prof. Doucek, ostatní Ing. Pavlíček. - Kryptografie I – Cíle kryptografie, kryptografická primitiva a kryptografické protokoly. Kerckhoffsovy principy. Substituce, transpozice, kódová kniha. Steganografie. Generátory náhodných čísel. - Kryptografie II – Entropie, síla zabezpečení. Hašovací funkce. Ověření integrity a MAC. Symetrické proudové šifry. Symetrické blokové šifry. Módy symetrických blokových šifer. AEAD módy. - Kryptografie III – Použití asymetrická kryptografie pro šifrování, podepisování a výměnu klíčů. RSA, Diffie-Hellman, eliptické křivky. Forward secrecy. - Bezpečnost informací – bezpečnostní standardy, bezpečnostní strategie, analýza rizik, bezpečnostní incident, bezpečnostní architektura, právní a etické otázky, business continuity, bezpečnost aplikací, - Certifikáty I – modely důvěry, certifikáty a PKI. Časové značky, digitální kontinuita. - Certifikáty II – eIDAS, kvalifikované certifikáty a pečetě. Certifikáty a TLS. - Řízení přístupu I – Identifikace, přiřazení identity. Autentizace, přihlašování heslem, vícefaktorová autentizace, kvalita (bezpečnost) autentizace. - Řízení přístupu II – Centralizovaná autentizace, Single Sign-on. SAML, OAuth2. Elektronická identita (eIDAS). - Řízení přístupu III – Autorizace, bezpečnostní modely, Common Criteria. Modely přístupu – Mandatory access control, ACL, RBAC. - Síťová bezpečnost I – Internet z hlediska bezpečnosti, hodnocení zranitelností, etické hackování, chyby v aplikacích (CVE). Útoky na webové aplikace, web application firewall. - Síťová bezpečnost II – Síťové firewally, proxy servery. Detekce síťových útoků, IDS, IPS. Reputace IP adres. \\ //Tato přednáška nebude odpřednášena, neboť státní svátek 28. října je v pondělí// - Síťová bezpečnost III – typy VPN, anonymita a Tor, Zero trust security/network. - Logování a zálohování – Cíle logování, SIEM. Zálohování, archivace, synchronizace dat. Typy záloh, média pro zálohování, strategie zálohování. \\ //Tato přednáška nebude odpřednášena, neboť 4. listopadu (inovační týden) přednášky odpadají// ===== Úkoly z přednášek ===== Následující dva úkoly se týkají všech studentů na předmětu. První je požadavek na zabezpečení předěleného serveru, pokud student nezabezpečí, tak odečítám body. Druhý je volitelný (tj. nad limit 100 bodů ze sylabu). ^termín ^zadání testu ^body ^ | 7. října; do 23:59 | zakázat přihlašování heslem | -2 | | 11. listopadu; do 23:59 | identifikační prostředky na NIA | 2 | ==== 1. Zakázat přihlašování heslem ==== Do uvedeného času zakažte přihlašování heslem na svůj server (bisxxx.vse.cz). Pokud ne, tak odečtu dva body - a to za každý započatý týden, kdy bude povoleno přihlašování heslem z internetu. Postup: * přihlaste se na svůj server, počáteční heslo najdete na ''bis.vse.cz'' ve ''/var/heslo'', * **změňte si své heslo** (viz https://linuxize.com/post/how-to-change-user-password-in-linux/), * nastavte si **přihlašování klíčem** (obvykle na druhém cvičení, https://www.linode.com/docs/guides/use-public-key-authentication-with-ssh/), * :!: ověřte si, že se přihlásíte klíčem - v novém okně, tj. bez uzavření aktuální session, * [[https://bis.vse.cz/texty/26_ssh_server.html#jak-upravit-konfiguraci-pro-sshd | upravte konfiguraci sshd]], Jak ověřit: * pokud má SSH klient k dispozici libovolný klíč, tak se nejdříve zkouší přihlásit pomocí klíče. Z agenta odeberte klíče, a poté se zkuste přihlásit - neměl by se zobrazit dotaz na heslo. * na [[https://fisadm.vse.cz/xymon/| fisadm.vse.cz/xymon]] se testují SSH servery každé tři hodiny - chce to trpělivost ==== 2. Přihlášení pomocí identity občana ==== Do uvedeného času nahrajte do příslušné odevzdávárny snímek obrazovky, který prokáže, že jste se do studijního systému přihlásili pomocí identity občana a spárovali účet. * Přihlaste se do https://insis.vse.cz/auth pomocí Identity občana a spárujte účet. * Otevřete https://insis.vse.cz/auth/system/nia.pl a udělejte snímek obrazovky. Následuje můj příklad: \\ {{::2024-02-12_102339.png?direct&600|}} * Přes Identitu občana se mohou přihlásit občané ČR, dále [[https://info.identitaobcana.cz/foreigners/default.aspx|cizinci s povolením pobytu, s vízem či s potvrzením o dočasném pobytu]] i občané EU se svojí národní identitou., * Při přihlášení k NIA se nabízí více možností přihlášení. Právně odlišné postavení má nejvíce dostupná //bankovní identita// - s její pomocí se lze přihlásit ke státním informačním systémům, lze jejím prostřednictvím ověřit vydání //Mobilního klíče eGovermentu//, ale nelze ji použít pro přihlášení k informačním systémům ostatních orgánů veřejné moci. **Pomocí bankovní identity se nelze přihlásit do studijního systému**. * Mobilní klíč eGovermentu (či mojeID.cz) lze ověřit i offline- dorazíte dle návodů na CzechPoint (možná lze ověřit i na obecním úřadu, prostudujte návody). MojeID lze zřídit a ověřit i on-line přes datovou schránku. * Pro přihlašování k soukromým informačním systémům lze použít jen bankovní identitu (je to placená služba). Příkladem může prokázání totožnosti u sázkových společností či přihlášení do pojišťoven (viz [[https://www.bankid.cz/en/commercial]]). * Obecně pro NIA doporučuji nastavit dva způsoby přihlášení - jeden přes bankovní identitu (pokud podporuje Vaše banka) a nějaký odlišný (Mobilní klíč eGovermentu, mojeID).