Přednášky

Následuje návrh struktury přednášek v letním semestru 2024/25. V tomto semestru má první přednášku prof. Doucek, ostatní Ing. Pavlíček.

1. Bezpečnost informací – bezpečnostní standardy, bezpečnostní strategie, analýza rizik, bezpečnostní incident, bezpečnostní architektura, právní a etické otázky, business continuity, bezpečnost aplikací,
2. Kryptografie I – Cíle kryptografie, kryptografická primitiva a kryptografické protokoly. Kerckhoffsovy principy. Substituce, transpozice, kódová kniha. Steganografie. Generátory náhodných čísel.
3. Kryptografie II – Entropie, síla zabezpečení. Hašovací funkce. Ověření integrity a MAC. Symetrické proudové šifry. Symetrické blokové šifry. Módy symetrických blokových šifer. AEAD módy.
4. Kryptografie III – Použití asymetrická kryptografie pro šifrování, podepisování a výměnu klíčů. RSA, Diffie-Hellman, eliptické křivky. Forward secrecy.
5. Certifikáty I – modely důvěry, certifikáty a PKI. Časové značky, digitální kontinuita.
6. Certifikáty II – eIDAS, kvalifikované certifikáty a pečetě. Certifikáty a TLS.
7. Řízení přístupu I – Identifikace, přiřazení identity. Autentizace, přihlašování heslem, vícefaktorová autentizace, kvalita (bezpečnost) autentizace.
8. Řízení přístupu II – Centralizovaná autentizace, Single Sign-on. SAML, OAuth2. Elektronická identita (eIDAS).
9. Řízení přístupu III – Autorizace, bezpečnostní modely, Common Criteria. Modely přístupu – Mandatory access control, ACL, RBAC.
10. Síťová bezpečnost I – Internet z hlediska bezpečnosti, hodnocení zranitelností, etické hackování, chyby v aplikacích (CVE). Útoky na webové aplikace, web application firewall.
11. Síťová bezpečnost II – Síťové firewally, proxy servery. Detekce síťových útoků, IDS, IPS. Reputace IP adres.
    Tato přednáška nebude odpřednášena, neboť 21. dubna je velikonoční pondělí
12. Síťová bezpečnost III – typy VPN, anonymita a Tor, Zero trust security/network.
13. Logování a zálohování – Cíle logování, SIEM. Zálohování, archivace, synchronizace dat. Typy záloh, média pro zálohování, strategie zálohování.
    Tato přednáška nebude odpřednášena, neboť 7. dubna (inovační týden) přednášky odpadají

Následující dva úkoly se týkají všech studentů na předmětu. První je požadavek na zabezpečení předěleného serveru, pokud student nezabezpečí, tak odečítám body. Druhý je volitelný (tj. nad limit 100 bodů ze sylabu).

Do uvedeného času zakažte přihlašování heslem na svůj server (bisxxx.vse.cz). Pokud ne, tak odečtu dva body - a to za každý započatý týden, kdy bude povoleno přihlašování heslem z internetu. Postup:

• přihlaste se na svůj server, počáteční heslo najdete na bis.vse.cz ve /var/heslo,
• změňte si své heslo (viz https://linuxize.com/post/how-to-change-user-password-in-linux/),
• nastavte si přihlašování klíčem (obvykle na druhém cvičení, https://www.linode.com/docs/guides/use-public-key-authentication-with-ssh/),
• ověřte si, že se přihlásíte klíčem - v novém okně, tj. bez uzavření aktuální session,
• upravte konfiguraci sshd,

Jak ověřit:

• pokud má SSH klient k dispozici libovolný klíč, tak se nejdříve zkouší přihlásit pomocí klíče. Z agenta odeberte klíče, a poté se zkuste přihlásit - neměl by se zobrazit dotaz na heslo.
• na fisadm.vse.cz/xymon se testují SSH servery každé tři hodiny - chce to trpělivost

Do uvedeného času nahrajte do příslušné odevzdávárny snímek obrazovky, který prokáže, že jste se do studijního systému přihlásili pomocí identity občana a spárovali účet.

• Přihlaste se do https://insis.vse.cz/auth pomocí Identity občana a spárujte účet.
• Otevřete https://insis.vse.cz/auth/system/nia.pl a udělejte snímek obrazovky. Následuje můj příklad:
  
• Přes Identitu občana se mohou přihlásit občané ČR, dále cizinci s povolením pobytu, s vízem či s potvrzením o dočasném pobytu i občané EU se svojí národní identitou.,
• Při přihlášení k NIA se nabízí více možností přihlášení. Právně odlišné postavení má nejvíce dostupná bankovní identita - s její pomocí se lze přihlásit ke státním informačním systémům, lze jejím prostřednictvím ověřit vydání Mobilního klíče eGovermentu, ale nelze ji použít pro přihlášení k informačním systémům ostatních orgánů veřejné moci. Pomocí bankovní identity se nelze přihlásit do studijního systému.
• Mobilní klíč eGovermentu (či mojeID.cz) lze ověřit i offline- dorazíte dle návodů na CzechPoint (možná lze ověřit i na obecním úřadu, prostudujte návody). MojeID lze zřídit a ověřit i on-line přes datovou schránku.
• Pro přihlašování k soukromým informačním systémům lze použít jen bankovní identitu (je to placená služba). Příkladem může prokázání totožnosti u sázkových společností či přihlášení do pojišťoven (viz https://www.bankid.cz/en/commercial).
• Obecně pro NIA doporučuji nastavit dva způsoby přihlášení - jeden přes bankovní identitu (pokud podporuje Vaše banka) a nějaký odlišný (Mobilní klíč eGovermentu, mojeID občanský průkaz).

Přihlašování přes identitu občanu je dle eIDAS, měli byste si odnést i informaci o úrovních záruky. A zkuste porozumět následujícímu diagramu s porovnáním různých úrovní záruky (Assurance levels):

Diagram je převzat z článku Level of Assurance mapping between eIDAS & NIST standards. V diagramu je nepřesnost - i na úrovní 2 dle ISO 29115 (či úrovně Low dle eIDAS) je možné přihlašování jen jménem a heslem, ale hesla nesmí být snadno prolomitelná (složitost, délka, kontrola vůči slovníkům), musí být bezpečně uložená (vhodné hašování uložených hesel včetně soli).