Informatika (4IZ110)

Published: 10/24/2025

Meta:
- Ukonceni:
  - 20b ucast
  - 20b semestralni prace
  - 20b prakticky test
  - 40b teoreticky test
  - = 60 pro prospech
- Useful odkazy:
  - https://4iz110.vse.cz/docekal/
  - krkavec.net
- Knizky
  - GTIN: 9788024517292
  - RFCcka
Tangents:
- Sroubky do zakladni desky nepasuji uplne presne do pevnych disku
- CVUT <> Linz byla prvni liknka s 64kbit/s
- Citaty:
  - “Pan kolega má pravdu, Filius je retardovaný”, 2025-10-22 14:14
Zakladni protokoly:
- IP, TCP, UDP,
- ICMP
  - Prenaseni ridicich zprav
  - Typicky router <> koncovy pocitac
  - Ruzne typy (a podkody):
    - 0 – echo reply
    - 3 – destination unreachable
    - 4 – source quench
    - 5 – redirect message
    - 6 – alternate host address
    - 8 – echo request
- DNS
  - Velmi dobre skalovatelny
- Routing
- Ethernet
- ARP, DARP, DHCP
  - HW protokoly
Ukoly a prace
Druha cast bude o aplikacnich protokolech
- E-mail: SMTP
- FTP, Telnet, SSH
- Webovy veci
IAB | Internet Architecture Board

RFCcka

System zacina v roce 1967
IAB vydalo editor RFC
Nekteri z autoru ziji dodnes 🫶
Otevrene editacim od vsech, nova verze dostava nove cislo

Architektura internetu

“Velke projekty jsou jako mesto”, nejde uplne zborit historicke budovy (respekt k predchozim strukturam)
- Nemuzeme mit breaking changes, muzeme jenom vytvaret nove, nejlepe kompatibilni s temi predchozimi
IPv6 v roce ‘96
- Nebudeme se o ni moc bavit
Mainframy od IBM maji encoding jiny nez ASCII (EBCDIC)
OSI model internetu (vrstvy)
“Architektura je v protokolech”

Principy architektury

End-to-end argument
- Rozhodnuti o datech ma byt ponechano na koncich (terminalech) komunikace
IP pres vsechno
- Historicky se propojovaly site pomoci:
  - Prekladani
    - i.e. mapovani sluzeb
  - Tunelovani
    - i.e. baleni puvodnich dat do dopravniho systemu jine site (IP packet matrioska)

Datagramy x virtualni okruhy

Telekomunikacni firmy mely puvodne fyzicke spojeni kazdeho hovoru
Prechod na virtualni okruhy
- Potvrzovani paket na kazdem hopu komunikace
- Inicializacni paket rezervuje zdroje na komunikaci
- Kreditovy system
- Rizeni siti (narozdil od TCP, ktery se ridi na koncich)
Kontrola na konci
- Klient duveruje jen sam sobe
- Spravne by mel delat kontrolu na konci klient i pres X.25, takze je to nakonec jenom overhead
![[Pasted image 20240919101240.png]]
IP nebere chybu v uzlu jako preruseni spojeni, jednoduse posle paket jeste jednou
CVUT byl prvni pripojen k internetu (64kbit/s)

Architektura internetu

4-vrstva architektura
- Aplikacni vrstva
- TCP vrstva / UDP vrstva
- IP vrstva
- Fyzicka vrstva - da se rozdelit pomoci VLAN

Routovani

Muze fungovat inkrementalnim zlepsovanim cest —> Routing Information Protocol - Wikipedia
Nebo podle nejakeho broadcastovani routing tabulek
Proto RIP, OSPF, BGP

Sitovani

Kazde zarizeni ma gateway, ktery ho informuje o tom, kam dal posilat packety
Smerovaci pravidla informuji o tom, na jakou sit se maji jake pakety posilat
Dostavame adresu pro router a potom pro sit pod nim
IP adresy prideluji organizace
- Americka American Registry for Internet Numbers
- Evropsky RIPE

Tridni deleni adres

Site a podsite

IPv4 ma 32bitu, IPv6 ma 128
- Mame dve casti: prvni je sit a druha je host
Maska site zakryva cast IP adresy (pouziva se k tomu, abychom zjistili, jestli dana IP adresa patri do site) a zapisuje se dvema zpusoby:
- 146.102.18.0/24 == 255.255.255.0
  - Prvnich 23 bitu je pro sit, zbytek pro pocitace
- 146.102.112.0/22 == 255.255.252.0
- Router ma tri ruzne IP:
  - Jedna smerujici dolu
  - Jedna smerujici nahoru
  - …
- Posledni adresa byva broadcast (pro klienta *)
- Prvni adresa byva neexistujici
- Provadi bitwise AND —> dostaneme adresu site

146.12.174.0/23 na 4 dily —>

11111111 . 11111111 . 11111110 . 00000000

podle prof. 10101110.00000000

delame z toho /25 -> 11111111 . 11111111 . 11111111 . 10000000

146.12.174.0/25 - 146.12.174.0 - 146.12.174.127 146.12.174.128/25 - 146.12.174.128 - 146.12.174.255 146.12.175.0/25 - 146.12.175.0 - 146.12.175.127 146.12.175.128/25 - 146.12.175.128 - 146.12.175.255

70 pocitacu -> 128 (^7) [140.192.16.0/25] 150 pocitacu -> 256 (^8) [140.192.17.0/24] 150 pocitacu -> 256 (^8) [140.192.18.0/24]

==> 2^10 adres

300 pocitacu -> 512 (^9) [140.192.19.0/23] 600 pocitacu -> 1024 (^10) [140.192.21.0/22]

=> 2^11 adres

=== 2^12 adres —> /20

Soukrome adresy

IANA deklaruje tri bloky soukromych adres:
- 10.*
- 172.16.0.0 - 172.31.255.255
- 192.168.*
- - automaticke soukrome adresy 169.254.0.0 - 169.254.255.255
DHCP (dynamic host config protocol) assignuje lokalni IP adresy a pokud to neni mozne (treba bez routeru), dokaze si klient vygenerovat vlastni v bloku automatickych soukromych adres above
- (to broadcast) Nejdriv discovery —> pta se kdo mu da IP adresu
- (to broadcast) Dostane DHCP offer —> nabidka IP adresy
Urovne pripojeni k siti:
Po pripojeni kabelem nebo zadanim udaju Wifi jsme na urovni L2, po ktere musime udelat DHCP

Vzajemne baleni protokolu

Data jsou zabalena do TCP packetu, to je zabaleno do IP, to je zabaleno do fyzicke vrstvy
- Je to trochu jako prevazet cementarnu z Boleslavi do Brazilie -> veci se rozdeli, zabali, prenasi a potom rozbali, zkontroluje (checksum)

146.102.128.0/19 znamena, ze $32-19=13 ∴ 2^{13} = 8192$ available ip adres v prostoru

Cile protokolu

Doprava paketu
- Standardni paket ma 1500 bytu (urcovano pomoci MTU)
Ochranne mechanismy
- TTL - ochrana pred rekurzi Smerovani paketu
Smerovani podle routovaci tabulek
Vyhodnoceni routeru
- Prijme paket
- Rozbali fyz. vrstvu, vyhodnoti adresu
- TTL—
- Checksum
- Zabali fyz. vrstvu a odesle

DNS

Soubory host predatuji TCP/IP. I kdyz to nebyl DNS, byl to porad prevod jmen na adresy
DNS resolver je klient DNSky
Rekurzivni DNS server odpovida na dotazy tim, ze se rekurzivne pta podrazenych kolegu (zaciname od rootu)
Autoritativni DNS server odpovida na rekurzivni dotazy bud ze svych informaci nebo odkazem
DNS soubor obsahuje ruzna klicova slova -> adresy maji pred typem zaznamu IN (internet) a potom typ zaznamu
ARPA byla ta organizace zastresujici vyvoj internetu a meli .arpa na jeji pocest (pres tuhle TLD se da delat reverse DNS lookup)
Nameservery ukazuji na autoritativni servery nad domenou
- Flag IN indikujici ze to je Internetovy zaznam, coz je historicky artefakt z doby, kdy DNS byl dimenzovan na alternativni sitove struktury
MX (mail exchange) ma zaznamy s prioritou (mensi priorita je fallback)
Zona .cz nema A record
Glue records poskytuji zaznamy, ktere nejsou autoritativni zone prirazene serveru. example.com nam da nejen jeho IP adresu, ale i adresu jeho nameserveru (abychom neskoncili v kruhovy zavislosti)

nslookup
> set q=ptr
> 146.102.16.4
Server:		100.100.100.100
Address:	100.100.100.100#53

Non-authoritative answer:
4.16.102.146.in-addr.arpa	name = devetsil.vse.cz.
> set q=ns
> .
Server:		100.100.100.100
Address:	100.100.100.100#53

Non-authoritative answer:
.	nameserver = c.root-servers.net.
.	nameserver = g.root-servers.net.
.	nameserver = d.root-servers.net.
.	nameserver = a.root-servers.net.
.	nameserver = b.root-servers.net.
.	nameserver = f.root-servers.net.
.	nameserver = e.root-servers.net.
.	nameserver = j.root-servers.net.
.	nameserver = k.root-servers.net.
.	nameserver = l.root-servers.net.
.	nameserver = h.root-servers.net.
.	nameserver = m.root-servers.net.
.	nameserver = i.root-servers.net.

DNS soubor specifikuje metodu aktualizace informaci o zaznamech
- PTR zaznamy nam davaji podle adres domeny
- SOA je “start of authority”
  - Na zacatku je i mailova adresa ve formatu filip.ona.com
Riziko DNS Cache poisoning
- => DNSSEC to the rescue
  - Pouziva asymetrickou sifru na podepisovani zaznamu
  - Klice typicky 2048 bitu
Mame v Cesku root servery
- Root Server Technical Operations Association
pasnet je akademicka pocitacova sit
- PASNET - Prazska akademicka pocitacova sit
NIX.CZ - Neutral Internet Exchange
CESNET | zájmové sdružení právnických osob
GÉANT Network – hlavni Evropska sit

IP protokol

Tridni deleni adres (uz se to nedela ale bavime se o tom stejne)
- Na VSE ma kazde zarizeni verejnou IP (moje dneska 146.102.136.225)
- Trida A-D (index pismene je pocet pocet jednicek na zacatku adresy – A je 0xxxx, B je 10xxx, …,), od toho se odeslo
  - A ma 24 bitu na host
  - B jich ma 16
  - C jich ma 8
  - D nema 🤷
- Byznysy zacaly sbirat Bckove adresy (misto jen pro 16 000 organizaci)
- V 90. letech zacina beztridni deleni - podle nej je hranice mezi adresou pocitace a site arbitrarni a nemusi byt po bytech, nybrz po bitech
  - Dlouhodobe reseni pro tenhle problem je pochopitelne IPv6
Dnes delime podle
DHCP
- Prideluje IP adresy, informuje klienta o masce a vychozi brane
- Taky informuje o broadcastu
- Lease Time
Preklad adres pres NAT
Hlavicka IP
- IHL - internet header length
- Total Length

Internet Protocol

IP adresni prostor
Maska: 255.255.254.0 => 11111111 11111111 11111110 00000000
- Kde je maska nenulova, musi mit stejnou adresu
- Maska schovava identitu vsech zarizeni v siti
- Musime mit jednicky a nuly u sebe, maximalne jedna zmena
- Bud se zapisuje ve tvaru binarniho zapisu cisla, nebo lomitkem a poctem jednicek 255.255.254.0 => / 19 $\therefore$ $∴$ pro nas zbyva 13 bitu
  - /19 na ctyri casti:
    - pokud nam predtim zbylo 8192 adres, takze nam musi zbyt 2048 na subnet, timpadem bude kazdej / 21 ( $32 - log_2(2048)$ )
    - Prvni je adresa site, posledni je broadcast adresa (pro DHCP discovery)
- 16.18.192.0/18
  - /20
  - 11111111.11111111.11110000.00000000
  - 16.18.192.0 - 16.18.207.255
  - 16.18.208.0 - 16.18.223.255
  - 16.18.224.0 - 16.18.239.255
  - 16.18.240.0 - 16.18.255.255
- 16.18.192.0/23
  - 512 zarizeni
  - 11111111.11111111.11111110.00000000
    - Menim pozici bitu z masky, ale v puvodni IP adrese site
  - 16.18.192.0 - 16.18.192.127
  - 16.18.192.128 - 16.18.192.255
  - 16.18.193.0 - 16.18.193.255 (254)
- Potrebujem podsite podle poctu zarizeni:
  - Delam je od nejvetsi podsite k nejmensi, jinak budu mit prekryv
  - 1. pro 600 -> 1024 adres pro ne /22 (11111111.11111111.11111100.00000000) 16.18.192.0 - 16.18.194.255
  - 1. pro 200 -> /24 (11111111.11111111.11111111.00000000)
  - 1. pro 80 -> /25 (11111111.11111111.11111111.10000000)
- Zadani: mame 18.16+x.2*x.0/19
  - Sit pro: 400, 400, 700, 300, 100
  - X je nase cviceni poradi - moje je 23
IP hlavicka

Ciselne soustavy

N_b = \sum_{i=0}^k r_i \cdot b^i

Byty a oktety jsou to same
- Byty nemivaly vzdy 8 bitu (podle implementace 6-9 bitu)

Prikazova radka

Terminal je neco na konci linky (metro, letadlo)
Mounting disku neni nutno mit podle pismenek, jde mountnout do adresare (cool)
Ve skole disk H: (osobni) a disk G: sdileny
Pointer na disk ma windows na kazdy zvlast a drzi si ho
.. je ukazatel vsude krome korenu
STDIN, STDOUT, STDERR
prompt je vyzva OS k akci uzivatele, nejcasteji ukazan >
< posila vysledek na stdin
help ve win pres /?
priste tohle ale linux
windowsy maji jako jedine v PATH i cwd, coz muze mit security implications
Ve Windows slozka, else adresar
macOS a Win je case insensitive, Linux je case sensitive

Linux

Kazdy soubor ma vlastnika, skupinu, a potom permissions pro vsechny ostatni
Perm string zacina d pro adresar
x je to jedine, co LInuxu rika, ze je neco executable. Pokud ho nema adresar, nejde do nej vstoupit

Disky

Disk je rozdelen na sektory. Partice jsou odkazy na rozsahy sektoru
Fragmentace je rozdeleni souboru tak, ze se soubor uklada do po sobe nenavazujicich sektoru (problem pro HDD, proto existuje proces defragmentace)
FS se stara o abstrakci nad timhle vsim
Porucha SSD je mene pravdepodobna nez HDD, ale katastrofalni. HDD odchazi po castech
SSD jsou “kybl na elektrony”. Pri cteni se zmeri kolik je v kyblu elektronu. V dnesni dobe jsou kyble 3bitove
- Vylivani kyblu poskozuje SSD. Izolacni steny se zeslabuji
- Pro prevenci moc casteho prepisovani jednoho kyble je zde radic, ktery se stara o even distribuci psanych dat

TCP

Cile: potrebujeme neco pro komunikaci mezi procesy
TCP je takovy FS pro sit
3-way handshake
1. strana otevre socket
SYN flooding je DoS utok, ktery udela prvni cast TCP handshaku a potom necha spojeni otevrene (nechava server cekat)
Jsou definovany “stavy TCP” (crazy alert)![[Pasted image 20241010095814.png]]
- Stav closed (CLOSED)
- Stav listen (LISTEN)
- Stav established (ESTAB)
FIN je closing packet
TCP header:
- Source a dest port (destinacni porty jsou well-known)
- Sequence #
  - V ramci handshaku se domluvi na prvotni hodnote (ISN)
- Acknowledgement #
  - Definuje, jaky dalsi sequence # klient ocekava od serveru
- Data offset
- Reserved ma hodnotu URG (💀), ACK, PSH, RST, SYN, FIN
- Pole Window ma hodnotu poctu dat kolik je mozno zaslat pred dostanim ACK
  - Zmenseni pole je metoda pro backpressure
  - Ping do NYC je asi 100ms, do LA asi 190ms
- Checksum
  - Kontrolni soucet pres Data, 16 bits
  - Technologicky soucet, ne kryptograficky
Neni idealni pro treba DNS nebo NTP, kde potrebujeme jednoduchou odpoved

User Datagram Protocol

UDP header:
- Source a dest porty
- Length
- Checksum
- …Data octets

Fyzicke site

Historie “dratovych siti”
- Prezil jenom ethernet
  - Puvodne projekt ve stredisku od Xeroxu
    - 3Mb/s v roce 1975
  - 48-bitova MAC adresa
  - Ramce s hlavickou a patickou
  - Header obsahuje source MAC a dest MAC
  - Paticka je vlastne padding, aby zprava nebyla moc kratka

E-mail

SMTP
- Textovy protokol na TCP/25
- Typu push —> kdo ma data, aktivne je dal posila
- Pouze ASCII, takze 7 pouzitelnych bitu na byte. Diky enkodovani do ASCII muzeme pouzivat UTF-8
- Rozsireni ESMTP
  - zpetne kompatibilni
  - jako hello pouziva EHLO
  - kodovani quoted printable a base64 (RFC 2045)
  - Extensions:
    - Pipelining pro vic prikazu bez cekani na odpoved
    - SMTP-AUTH
    - STARTTLS: sifrovani na transportni vrstve
    - SIZE: velikost dorucovaneho mailu
    - 8BITMIME: prenos 8-bitoveho materialu
      - Catch s byty 13 a 10 (CR a LF), ktere musi byt na konci radku
    - BINARYMIME: kompletni prenos obsahu
      - Relativne malo podporovany
    - CHUNKING: prikaz BDAT (alternativni k DATA), kterym rozkouskuje data
  - Prikaz AUTH chce metodu jako je PLAIN, LOGIN, DIGEST-MD5
  - Prikaz STARTTLS spusti TLS sifrovani
  - Utok STRIPTLS —> muzeme po server hello stripnout podporovany prikaz STARTTLS
    - Spatne se tomu brani
- Ochrana proti spamu:
  - Blacklist adres, ktere v minulosti posilaly spam (DNSBL), klient dostane 554
  - Greylisting: nastroj analyzujici triplet IP odesilatele a obou adres a pokud ho nevidel, tak ho odmitne. Vetsina nespamujicich serveru se pokusi ho odeslat znovu
  - Antispam: komplexnejsi filtr analyzujici pomoci Bayesova filtru a bodovani
  - SPF (sender policy framework): naznaceni pomoci TXT jake servery mohou posilat z dane domeny e-maily
  - DKIM (domainkeys identified mail)
    - Maily jsou podepsany klicem, jehoz public key je opet v TXT
  - DMARC (Domain-based Message Authentication, Reporting and Conformance) je kombinace SPF a DKIM s trochou slehacky navrch
- Stavove kody jako 220, 250 a 354 [seznam]
- Hlavicka e-mailu je oddelena jednou \r\n, stejne tak se ukoncuje sekvenci \r\n.\r\n
  - Ma key-value pairs odelene :
  - Podporuje jenom ASCII* (RFC 6532: Internationalized Email Headers)
  - Hlavicka Received nam trasuje pres koho presel
  - Podobne jako HTTP jsou zde nekdy X- vendor headers, jako X-Spam-Score
- Prikazy:
  - HELLO fqdn
  - MAIL FROM: <addr>
  - RCPT TO: <addr> (muze se opakovat)
  - DATA: rezim posilani zpravy, ktera se ukoncuje \r\n.\r\n
  - RSET: zruseni relace
  - VRFY: overi, jestli existuje schranka (byva vypnuta)
  - NOOP: nic :), takovy heartbeat
  - QUIT pozadavek o ukonceni spojeni
- E-mailova adresa a DNS:
  - pred @: uzivatel
  - za @: domena —> MX records
    - kazdy MX record ma preference, kde je nejvyssi 0 a urcuje prioritu a fallback. Stejna preference znamena nahodny vyber
    - server zkusi vsechny zaznamy podle preference a jako ultimatni fallback rozjede celej retry jeste jednou
    - jako fallback pro neexistujici MX zaznam se vyuzije A zaznam
POP3
- Post Office Protokol
- Prikazy:
  - LIST
  - STAT
  - RETR (vlastne get na id)
IMAP
- Umoznuji pristup ke schrance
- Port 143 a ma sifrovany counterpart na TCP/993
- Muzeme stahovat jen hlavicky a podle potreby potom tela
- Podporuje slozky
MIME (multipurpose internet mail extensions)
- Content-Type - hlavicka pro urceni typu (databaze od IANA)
- Content-Transfer-Encoding - kodovani obsahu (neni pro HTTP)
  - quoted-printable: non-ASCII znaky jsou escaped
    - CR a LF se koduji jako =0D a =0A
    - Tabulator a mezera se koduji jenom pokud jsou na konci radku
    - Dobr=FD den, posi=EDl=E1m V=E1m odkaz...
  - base64: pro binarni data
    - Rozdeleni 3 bytu na 4 6-bitove skupiny a nasledne zakodovani na jeden znak z abecedy
    - O tretinu vetsi nez ASCII alternativa
  - binary: libovolna sekvence oktetu
- 7-bitove kodovani je implicitni rezim, az 998 oktetu na radek, CR a LF musi byt na konci radku
- 8-bitove kodovani pozaduje podporu 8BITMIME, jinak funguje jako 7-bit
Zkratky:
- MUA —> Mail User Agent
- MTA —> Mail Transfer Agent
  - Protokol SMTP
  - Priklady jako exim, postfix, sendmail
- MDA —> Mail Delivery Agent
  - Dorucuje e-mail do schranky prijemce
- MSA —> Mail Submission Agent
  - Prebira postu k doruceni
Lifecycle e-mailu:
- Odesilatel se z MUA pres SMTP pripoji na MTA odesilatele, potom pres SMTP na server prijemce, pres MDA na schranku prijemce a IMAP4/POP3 do MUA prijemce
Priklad emailu ze seznamu pres duck.com zpatky:

Received: from smtp-outbound3.duck.com (smtp-outbound3.duck.com [20.67.221.10])
	by smtpd-mx-b5bfbf487-42jl6 (szn-email-smtpd/2.0.27) with ESMTP
	id b8c8174c-d66d-4cd4-bc7f-15410c58b1ea;
	Fri, 15 Nov 2024 11:21:44 +0100
Received: from mxd.seznam.cz (mxd.seznam.cz [77.75.78.210])
	by smtp-inbound1.duck.com (Haraka/2.8.28) with ESMTPS id 79BCF1B1-0842-4667-9A56-2B9A3713F7CE.1
	envelope-from <[email protected]>
	tls TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
	Fri, 15 Nov 2024 05:21:43 -0500
Received: from email.seznam.cz
	by smtpc-mxd-55c65fdbb-jzph9
	(smtpc-mxd-55c65fdbb-jzph9 [2a02:598:128:8a00::1000:485])
	id 11fcdec6d3f02c8f13b47b13;
	Fri, 15 Nov 2024 11:21:42 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=seznam.cz;
	s=szn20221014; t=1731666102;
	bh=Q/umRacnA+Ls+AbR56YSSMswC5cm2Pnia9M2F46I+UE=;
	h=Message-ID:Date:MIME-Version:User-Agent:Content-Language:To:From:
	 Subject:Content-Type;
	b=i6bewBFjumoIO5a8nUCRJPcn95XFzQ/D5GKGQ6QziRjHLNwJnBN0cHKs+/cQ/TBmQ
	 s0arrmCwKJktrAZ5NyDcyesiGvKdUAwIwHTOCPSY2//rNQGq4eKtEt9cElWshoqEQ7
	 jn957Zss0GTnl5EGEBCLr0UOiAWrmawPPEr0Ooiersgc1GS08MKDiqrSRRp3RdPO7Z
	 1AlE9jU3tRgRhZe+9NGQkGhJejkQbryMLQ8fVCiQArnFqwaqb6u7nsBf/AZSB1ngCk
	 VBagPRqMwRj7euw0XT4tnAF3HjQfnk4HbFky3nsYoq0BmM7m1IPUhn+pYdue3USiXu
	 HVkE4zdfFeruQ==
Received: from [146.102.153.140] (eduroam153-140.nbk.vse.cz [146.102.153.140])
	by smtpd-relay-548f5cb7fb-xrsx4 (szn-email-smtpd/2.0.27) with ESMTPA
	id 7d50dd33-667e-4a0a-9165-f22d4c1fea60;
	Fri, 15 Nov 2024 11:21:41 +0100

Cool ze received prvni je z moji IP :O
- multipart/alternative je format mailu co se dokaze ukazat napr. jako prosty text nebo jako html

Encoding (kodovani)

Anglicke kodovani
- ASCII
- EBCDIC (IBM)
Ceske kodovani
- Kod Kamenickych
- Kod PC Latin - 2
- Kod ISO 8859-2
  - Vychodoevropske latinkove jazyky. Kodovani do jednoho bytu
- Kod Win 1250
  - Tak nejak interop s ISO 8859-2 - rozdilny support jenom pro š/Š, ť/Ť/ a ž/Ž
Unicode
- Pismenkove i slabikove abecedy
- UTF - 8, 16, 32
- Unicode presel na 32 bitove kodovani
- Ma kompatibilitu s ASCII
- Vsechny evropske jazyky jsou dvoubytove

FTP

na soubory
de facto nahrazen SFTP

Telnet

8-bitova bidi (bi-directional) komunikace
Je to predecesor SSH

Identitikace

URI je jedinecny identifikator nejake internetove destinace
URI je nepruhledne, takze se z nej nemaji delat predpoklady

HTTPS 4iz110_prednaska_09_v2_tls_sifrovani.pdf

HTTP extension
MITM mitigace
TCP/UDP 443
SSL je prej nebezpecny
- SSL, SSL2, SSL3 jsou z devadesatek
TLS 1.0, 1.1 jsou deprecated (zavrzene)
TLS 1.2 ma mozne utoky ale je hojne pouzivan
TLS 1.3 je aktualni verze
HTTPS
- Je mozne autentizovat obe strany, vetsinou se autentizuje jen server
- Ma handshake pri kterem se vymeni podporovane sifry
  - ClientHello
  - CipherSuites
  - ServerHello
  - CipherSuite
  - Certificate
  - ServerKeyExchange
  - ClientKeyEchange
  - ChangeCipherSpec odted se bude antentifikovat a sifrovat
    - Poslou ho obe strany
  - HTTP/3 to optimalizuje - klient na ServerHello odpovida sifrovane
- TLS Record Layer je nejnizsi vrstva TLS a ma na starosti chunking, HMAC, sifrovanij

Kryptografie

Veda o zpusobech utajovani smyslu informaci
Kryptoanalyza je reverse-engineering sifer a jejich klicu
- Moznosti utoku:
  - Utoky na sifru: zlomeni nebo oslabeni algoritmu
  - Utok na klic:
    - Brute force
    - Slovnikovy utok
    - Oslabeni klice + brute force
  - Utok na implementaci:
    - OpenSSL CVE-2008-0166 pri ktere byl zdroj nahodnosti omezen jen na 32 bitove cislo
  - Backdoor, naprilkad Dual_EC_DRBG - CSPRNG upraveny od NSA
  - Side channel attack - mereni delky operace, zatizeni procesoru apod.
  - Hadicova kryptoanalyza - fyzicky ci psychicky natlak
  - Socialni inzenyrstvi
- Pomaha tomu znalosti cisteho i sifrovaneho textu, nebo treba frekvencni analyza
Kryptosystem je ucelena sada algoritmu
Caesarova sifra je ta og kryptografie
Snaha o vysokou entropii - zasifrovana data by mela byt nerozpoznatelna od nahodne vygenerovanych
- Shannonova entropie
Typy symetrickych sifer:
- Proudova - sifruje se po bitu, treba ChaCha20
- Blokova - sifruje se po blocich, treba AES
Ruzne mody jako GCM, CTR
Generatory nahodnych cisel:
- CSPRNG - cryptographically secure pseudo random number generator
- CPU execution timing jitter
- Vernamova sifra z roku 1917 je neprolomitelna za predpokladu, ze mame klic stejne dlouhy jako prosty text, je skutecne nahodny a pouzit prave jednou
Diffie-Hellmanova vymena klicu
- Spociva na modulo aritmetice
- Existuje jeste ECDH, zalozena na eliptickych krivkach
Asymetricke sifrovani
- Key pair
Hashovani
- SHA 1 a MD5 nejsou bezpecne
  - SHAttered
PKI je infrastruktura sdileni public klicu pomoci certifikatu podepsanych certifikacni autoritou
- Alternativa k ni je Web of Trust
- Problemy: kdo se dostane na seznam duveryhodnych certifikacnich autorit
- CA muze podepsat jinou CA
- Kompromitace CA muze mit velke nasledky
  - DigiNotar, StartCom
Dopredna bezpecnost - perfect forward secrecy
- Napriklad ECDHE (ECDH Ephemeral)
- TLS 1.3 vyzaduje doprednou bezpecnost
- MAC overuje integritu a autenticitu kazdeho paketu
- TLS 1.3 misto HMAC pouziva
Elektronicke podpisy
- PostSignum je CA Ceske Posty
- Prosty elektronicky podpis je zaskrtnuti souhlasu na webu, paticka e-mailu, atd.
- Zaruceny elektronicky podpis je jakykoliv elektronicky podpis
- Uznavany elektronicky podpis je zalozeny na kvalifikovanem certifikatu
SSLstrip
- MITMmak muze donutit nesifrovanou komunikaci
- Reseni je HSTS
- Prohlizece maji nekdy seznam domen na HSTS 💡
  - HSTS Preload List Submission
  - google chrome - Which HSTS preload list is used by which browser? - Stack Overflow
ECH resi problem s hostname v SNI
- ECH mentioned!!!
Deniable encryption
- Kombinace steganografie a sifrovani
Bezpecnost sifrovani:
- Zavisi na:
  - Fyzicka bezpecnost, napr. evil maid
  - Bezpecnost OS
  - Bezpecnost komunikacnich partneru
  - Bezpecnost meziclanku
  - Bezpecnost uziti sifrovani (OPSEC)
  - Pravni hledisko - nekdy muze byt nelegalni sifrovat nebo nevydat klic
  - Hadicova kryptoanalyza

Zarizeni

Repeater a hub
- Obnovnuji signal
Bridge a switch
- Oddeluji provoz
- Posilaji spravnym MAC
Router
- Pracuje podle IP

Aplikacni protokoly

LDAP
- Autentizace
SSH
- Bezpecny komunikacni protokol, nahrada protokolu, telnet, rsh, rlogin
- Umoznuje bezpecny prenos souboru sftp, scp
- Umoznuje port tunneling a X windows forwarding
- Bezpecna je jenom verze 2 a novejsi
- RFC 4251-4256

Eduroam ma overovaci server RADIUS