Kvalifikovani elektronski sertifikat MUP-a

E ljudi, stavio sam Seamonkey browser i u sebi ima email (Thunderbird u suštini). I malo da se igram sa S/MIME potpisivanjem, ali ne mere... Dodao sam CA sertifikate sa MUPovog sajta u Seamonkey, označio sva tri polja, u podešavanju za moj email nalog sam otišao na Security, pa na Manage security devices, stisnuo load i učitao rsidp11_x86.dll od MUPovog middleware-a.

U pitanju je middleware za LK izdate do 8/2014. godine.

I kada hoću da idem na login, on mi traži PIN od kartice i nakon što otkucam i stisnem OK, program pukne.

Ima li rešenja?

Radi mi potpisivanje iz jsignpdf-a, kao i iz Nitroa, ali email neće pa neće. :(

---

Zadovoljavajućeg odgovora nema. Ovo iz MUPa me očigledno nije ni razumeo jer misli da pričam o browseru, a ne o mail klijentu, dok od Netseta, tj. firme koja im je i pravila to nisam ni dobio odgovor.

Ako neko zna odgovor, neka se javi.

---

Drugari, treba mi vaše mišljenje. Kakve su sigurnosne implikacije korišćenja jednog računara za obavljanje digitalnog potpisivanja pri čemu bi se na tom jednom računaru koristio veći broj ličnih karata (od većeg broja ljudi)? Za sada ne računam tehničke probleme oko korišćenja oba MUP middleware-a na istom računaru. Logično mi je da bi svaka osoba trebala da koristi svoju ličnu kartu samo na svom ličnom računaru, u svom čitaču i da je to najbezbednije ali da bi olakšali život nekolicini ljudi, sigurnosni rizik možda nije toliko velik da bi ih terali da sami na svojim ličnim računarima obezbede tehničke mogućnosti za obavljanje digitalnog potpisivanja.

Ono što sam primetio je da na računaru ostaju zapamćeni sertifikati sa ličnih karata i nakon što se lična karta ukloni iz čitača. Pozitivna stvar je što ovi zapamćeni sertifikati ne mogu sami da se iskoriste (zloupotrebe) za digitalno potpisivanje jer se privatni ključ nalazi na ličnoj karti. Takođe sam primetio da, makar u mom slučaju, sertifikat koristi RSA javni ključ dužine 1024 bita. Za par godina će to možda biti preslabo. Nije mi poznato da li postoji neki dodatni rizik pa me zanima vaše mišljenje. Da li biste se vi upustili u pomenutu avanturu (jedan računar, veliki broj ljudi) pogotovo ako ste odgovorni za održavanje pomenutog računara?

Pa jedino ako se postavi keylogger koji bi hvatao pinove, ali opet moraš doći do same lične karte da bi mogao da je zloupotrebiš.

Lične karte sem za penzose nisu trajne, a i njima ključ svakako nije trajni tako da za par godina ukoliko bude bilo potrebe za dužim ključem, izdavaće se sa dužim ključem.

No treba da ideš na to da klijenti sami potpisuju dokumenta na svojim računarima, jer čitač kartica je 1000 dinara.

Imam jednog klijenta koja je računovođa i sebi je napravila problem jer su se potpisivali na njenom računaru, pa neko ima LK stariju, neko noviju, neko ima poštinu, neko pks, neko halcom, haos joj je nastao.

Mom drugom klijentu je računovođa poslala dokumenta i rekla potpiši i vrati potpisano.

Šta je tebi činiti razmisli sam.

---

Pa to su samo "javni kljucevi" odnosno X.509 sertifikat tih koriusnika. To je i tako javna stvar, nije tu nista sporno. To ti je kao kada ides do banke peske da dignes lovu, i svi te vide na ulici i vide da ulazis u banku. I da posle izlazis. I da sigurno nisi isao u svaleraciju sa sluzbenicom na salteru. Ali ne mogu da ti podignu pare sa racuna jer samo ti imas svoju licnu kartu kod sebe i samo ti imas 'unikatni' svojerucni potpis kojim si potpisao nalog za podizanje para. E sada, sačekuša je uvek tu :D
Teoretski gledano, privatni kljuc je nemoguce skinuti / kopirati sa SMART kartice.
A za kljuc duzine 1024 bita... sta reci... tako im radi obsolete tehnika koju im je neko uvlaio na tenderu (hardver + softver). Za danasnje standarde 2048 je minimum. Ja stavljam 4096 bit duzinu za SSL.



Pa i da uhvati pin-ove keylogger-om, nista mu ne znaci jer je to samo lozinka privatnog kljuca, a sam privatni kljuc je uvek na kartici i nije ga moguce kopirati (imaju neke fore da se povuce is RAM-a ali to je nemoguce na novijim chip-ovima koji ni ne salju taj podatak ka racunaru).

Jasno mi je sve.

Evo bolje pitanje: da li smatrate da je sa sigurnosnog aspekta prihvatljiva praksa da se smart kartice koriste na tuđim računarima, uz kucanje PIN-a ili ne daj bože diktiranje PIN-a drugoj osobi?

Jeste, to je 2-way autentifikovanje tj. kao sto rekose vec, neki vid PKI-ja plus passphrase za kljuc. Za zloupotrebu trebaju ti obe stvari.

Danasnji procesori na smart karticama su toliko jaki (pogledaj npr Infenion-ovu SLE seriju cipova) da imaju svoj "security" koprocesor koji drzi u OTP-u (posebnoj memoriji do koje ne mozes doci) kljuceve, i obicno nista bitno ne "napusta" karticu, vec se enkriptovani podaci salju kartici a kartica vraca "plain-text". Sve to je naravno vezano za tu sesiju, i bilo kakva zloupotreba je dosta teska, jer postoje sekvencni brojevi, "session" kljucevi itd.

Onda ostaje samo pitanje koliko su "jaki" čipovi na ličnim kartama (pre i posle 2014.) i da li postoji neki blatantni propust u middleware-u (starom ili novom).

RFID? Otkad je licna karta smart?

Chip-ovi su OK, ali u middleware nemam bas mnogo poverenja. A jos manje u softverske implementacije koje se kace na taj jadni middleware. Sve u svemu - dok je privarni kljuc zakucan na karticu, nema problema...

Za logovanje na portal Poreska uprava, mora da se koristi Java 32, cak i ako imate 64-bitni OS. Sa https://java.com/en/download/manual.jsp skinite Windows Offline. Potrebno je pre toga un-instalirati Java 64-bit.
Odgovor je dobijen od ljubazne tehicke podrske kada sam pozvao telefonom Poresku upravu. Solucija je verifikovana sa moje strane.

?! Tema je Linux a ne Windows i prateci problemi sa deprecated javom.

Mister Big Time, ne znam odakle ti ideja da se ova tema odnosi samo na Linux. Ako pogledas inicijalni opis teme i komentare ljudi, oni opisuju uglavnom svoje probleme na Windows OS. Uglavnom, moje uputsvo sa koriscenjem Java 32 je dobijeno od programera iz Poreske uprave i pomoci ce ljudima koji imaju problem na Windows 64-bit.

Molim Vas pomagajte.

1 Potpisivao bez problema sve sa LK MUPa, pošto sam prevazišao sve prepreke koje se na netu pominju.
2 Instalirao novu Javu i E-banking Raiffeisen banke. Uspešno primenjivao
3 Sada sve radi sem potpisa na APRu. Prijavljuje "The card is being shared by another process." , i u sledećem pokušaju sertifikata nema na listi za izbor.
Ubih se tražeći koji su to procesi, ali džabe. Kada ugasim servis za smart kartice sertifikat se pojavi na listi, ali onda nedostaje privatni ključ.

Da ilustrujem, to izgleda ovako


Šta da radim?

Sta god sam probao, uvek isti problem na https://eporezi.poreskauprava.gov.rs

Testirane sledece kombinacije na dve masine:
Win 8.1 x64, Win 10 x64
Firefox, IE (obe varijante za oba, x86 i x64)
Java 7u80, 8u101 (obe varijante x86 i x64, u zavisnosti od arhitekture browser-a)
TrustEdgeCardMW (obe varijante x86 i x64, u zavisnosti od arhitekture browser-a)

LK izdata nakon 18.08.2014. uredno je registrovana u Token Manager-u, u Celiku takodje sve ok.

Po Java console log-u, problem je putanja koja sadrzi "(" karakter:
Caused by: sun.security.pkcs11.ConfigurationException: Unexpected value Token['('], line 2

Naravno pokusao sam i da instaliram TrustEdgeCardMW na drugoj putanji, ali deluje da su putanje u applet-u hardkodovane (zakucane), posto je u logu sve identicno kada je TrustEdgeCardMW instaliran na drugoj putanji (npr. C:\NetSeT\TrustEdgeID).

Da li je neko imao slican problem i uspeo da resi ovo?

Kompletan log:
----------------------------------------------------
SunPKCS11-SmartBox
OS: Windows 8.1 A: x64
jvm ::: 1.8.0_101
REG VAL for PKCS*.dll not found!
DLL PATH: C:/Program Files/NetSeT/TrustEdgeID/netsetpkcs11_x86.dll
MUP2 DLL PATH: C:/Program Files (x86)/NetSeT/TrustEdgeID/netsetpkcs11_x86.dll
CFG name=SmartBox
library=C:/Program Files (x86)/NetSeT/TrustEdgeID/netsetpkcs11_x86.dll

Exception in thread "AWT-EventQueue-3" java.security.ProviderException: Error parsing configuration
at sun.security.pkcs11.Config.getConfig(Config.java:88)
at sun.security.pkcs11.SunPKCS11.<init>(SunPKCS11.java:129)
at sun.security.pkcs11.SunPKCS11.<init>(SunPKCS11.java:107)
at com.sw4i.smartbox.model.MUP2Card.loadKeyStore(MUP2Card.java:44)
at com.sw4i.smartbox.gui.LoginJApplet.checkPIN(LoginJApplet.java:594)
at com.sw4i.smartbox.gui.LoginJApplet.jButton1ActionPerformed(LoginJApplet.java:330)
at com.sw4i.smartbox.gui.LoginJApplet.access$200(LoginJApplet.java:41)
at com.sw4i.smartbox.gui.LoginJApplet$3.actionPerformed(LoginJApplet.java:182)
at javax.swing.AbstractButton.fireActionPerformed(Unknown Source)
at javax.swing.AbstractButton$Handler.actionPerformed(Unknown Source)
at javax.swing.DefaultButtonModel.fireActionPerformed(Unknown Source)
at javax.swing.DefaultButtonModel.setPressed(Unknown Source)
at javax.swing.plaf.basic.BasicButtonListener.mouseReleased(Unknown Source)
at java.awt.Component.processMouseEvent(Unknown Source)
at javax.swing.JComponent.processMouseEvent(Unknown Source)
at java.awt.Component.processEvent(Unknown Source)
at java.awt.Container.processEvent(Unknown Source)
at java.awt.Component.dispatchEventImpl(Unknown Source)
at java.awt.Container.dispatchEventImpl(Unknown Source)
at java.awt.Component.dispatchEvent(Unknown Source)
at java.awt.LightweightDispatcher.retargetMouseEvent(Unknown Source)
at java.awt.LightweightDispatcher.processMouseEvent(Unknown Source)
at java.awt.LightweightDispatcher.dispatchEvent(Unknown Source)
at java.awt.Container.dispatchEventImpl(Unknown Source)
at java.awt.Component.dispatchEvent(Unknown Source)
at java.awt.EventQueue.dispatchEventImpl(Unknown Source)
at java.awt.EventQueue.access$500(Unknown Source)
at java.awt.EventQueue$3.run(Unknown Source)
at java.awt.EventQueue$3.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(Unknown Source)
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(Unknown Source)
at java.awt.EventQueue$4.run(Unknown Source)
at java.awt.EventQueue$4.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at java.security.ProtectionDomain$JavaSecurityAccessImpl.doIntersectionPrivilege(Unknown Source)
at java.awt.EventQueue.dispatchEvent(Unknown Source)
at java.awt.EventDispatchThread.pumpOneEventForFilters(Unknown Source)
at java.awt.EventDispatchThread.pumpEventsForFilter(Unknown Source)
at java.awt.EventDispatchThread.pumpEventsForHierarchy(Unknown Source)
at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
at java.awt.EventDispatchThread.run(Unknown Source)
Caused by: sun.security.pkcs11.ConfigurationException: Unexpected value Token['('], line 2
at sun.security.pkcs11.Config.excToken(Config.java:375)
at sun.security.pkcs11.Config.parseLine(Config.java:595)
at sun.security.pkcs11.Config.parseLibrary(Config.java:666)
at sun.security.pkcs11.Config.parse(Config.java:398)
at sun.security.pkcs11.Config.<init>(Config.java:220)
at sun.security.pkcs11.Config.getConfig(Config.java:84)
... 42 more

Ja sam imao problem sa TrustEdge-om kada koristio sa PKS ( Nova verzija programa za objedinjenu primenu (PKS, MUP, Vojska Srbije, RFZO) TrustEdgeID_v2.2.1
na sajtu croso.gov.rs, stalno sam dobijao gresku PKCS11 provajder nije dostupan, kada sam instalirao TrustEdge 2.1.0 sa mupovog sajta proradiolo je.

Takodje sam bez obzira na windows 7 x64, stavio firefox x86 i java 32bit...

Mozda je tu greska, probaj java 32bit, 32bit firefox i trustedge 2.1.0

A pristup croso.gov.rs trebaju i neki pkcs http://ca.pks.rs/v2/certs/

Stigao je odgovor od PURS-a, morao sam da instaliram bas 8u91 verziju jave, sa 8u101 (poslednja dostupna) ne radi.

Ja sam koristio pre uspešno ali usluge za koje se nije bilo potrebno registrovati putem elektronskog sertifikata. Sad sam hteo da zamenim staru vozačku dozvolu za novu preko euprave, prijavim se na sertifikatom unesem pin, odaberem sertifikat, sve uspešno ali kad treba da odradim samu uslugu, ništa. U onom koraku, unesite ličnu kartu ili F5 za refresh kad ubacim ličnu kartu ne desi se ništa. Jel zna neko šta bi moglo da bude?

Ja sam koristio pre uspešno ali usluge za koje se nije bilo potrebno registrovati putem elektronskog sertifikata. Sad sam hteo da zamenim staru vozačku dozvolu za novu preko euprave, prijavim se na sertifikatom unesem pin, odaberem sertifikat, sve uspešno ali kad treba da odradim samu uslugu, ništa. U onom koraku, unesite ličnu kartu ili F5 za refresh kad ubacim ličnu kartu ne desi se ništa. Jel zna neko šta bi moglo da bude?

Ja sam imao isti problem. Rešio sam ga tako što sam instalirao Javu (Java 8.0 update 101). Nakon ponovnog pokušaja, Java mi je (nakon ubacivanja kartice) blokirala dalji pristup te sam morao da dodam sajt u Site exceštion list. Kako se to radi, imaš ovde :
https://www.java.com/en/download/faq/exception_sitelist.xml

a sajt koji je potrebno dodati u exception listu je http://eusluge.euprava.gov.rs

Nakon toga sam restartovao explorer, ulogovao se ponovo, stigao do dela gde treba da se izvadi i ubaci kartica i Java je izbacila neko upozorenje. Kliknuo sam da prihvatam rizik (ili šta je već pisalo) i dalje sam nastavio bez problema.

Nadam se da će ti pomoći.