Odpověď na názor
Odpovídáte na názor k článku Bezpečnost kořenové zóny je v transparentnosti, řekl Ondřej Filip na CSNOG 2023. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
DannyStříbrný podporovatelPIN na smarte je komplement bezpecnostnich opatreni, nikoliv jejich substitut - jak se to snazite navliknout ve snaze obhajit sve blaboleni. V podstate se snazite rict, ze kdyz zamknu smartkartu do trezoru, tak neni duvod ji jeste chranit PINem. Coz je ale kravina z principu ;-)
Picovinu se samozberem trezoru z leticiho letadla jste sem napsal vy - ja psal o tom, ze tam to letadlo necha cilene spadnout a vyuzije nasledneho zmatku kolem k tomu, aby se HSM zmocnil. Mate pravdu, vase neschopnost aplikovat scenare (ktere uz se nekdy nekde staly) je obdivuhodna... a mimo jine vam vubec nedochazi, ze ten trezor neni v nejake bezletove zone uprostred pouste, kde by pri naruseni perimetru obratem startovaly stihacky.
A pokud se neco takoveho stane, tak neexistuje zadna pojistka, ktera by zneuziti zamezila - a prave proto, ze na smartkartach mate factory-default PIN. A opravdu nemuzete z fleku zneplatnit stavajici DNSSEC klice stejne jako kdyz zneplatnujete unikle kredence do vami vyvijenych IS - protoze to byste obratem rozbil pulku internetu. Ta vymena neni zas tak jednoduchy proces - proto se taky zas tak casto nedela, ze? ;-) Ale proc to vykladat cloveku, co se DNSSECu u vlastnich domen boji a radsi ho nenasazuje :D
A porad jste se nevyporadal s tim, ze kdyz je teda PIN u smartkarty takovy problem, proc se teda tutlaji PINy k EZS (pipani klavesnice v zaznamu ceremonialu slysite) a kod k trezoru (ktery osoba jej znajici zadava tak, ze na streamu uvidite jen zada dotycneho)... :-) Ne, PIN u smartkarty transparentnost celeho procesu nijak neohrozi. Jen posili jeho bezpecnost.
