Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Linux i kvalifikovani sertifikati

[es] :: Linux :: Linux i kvalifikovani sertifikati

[ Pregleda: 2779 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

pctel
Beograd

Član broj: 13030
Poruke: 10177



+1234 Profil

icon Linux i kvalifikovani sertifikati20.11.2015. u 13:49 - pre 50 meseci
Vec podosta vremena je proslo od kad su uvedeni kvalifikovani sertifikati koje koristim za poresku upravu, centralni registar osiguranja i banku. Da li linux ima nesto novo da ponudi po tom pitanju, ili se to jos uvek radi iskljucivo iz Windows sistema?
Boze,
daj mi smirenost da prihvatim ono sto ne mogu da promenim,
hrabrosti da promenim ono sto mogu
i mudrosti da to dvoje razlikujem.
 
Odgovor na temu

Goran Rakić
Beograd

Član broj: 999
Poruke: 3766

Sajt: blog.goranrakic.com


+125 Profil

icon Re: Linux i kvalifikovani sertifikati25.11.2015. u 02:44 - pre 50 meseci
Sertifikaciono telo Pošte izdaje kvalifikovane sertifikate sa privatnim ključem na pametnoj kartici za koju je dostupan vlasnički midlver za GNU/Linux (AET SafeSign) u obliku PKCS#11 modula.

Nakon što se iz paketa distribucije instalira pcscd (za rad sa čitačima pametnih kartica), prikači USB CCID čitač, instalira AET SafeSign i njegov PKCS#11 modul doda u Firefox u podešavanjima, kartica i ključ postaju dostupni drugim programima.

To znači da je iz programa na GNU/Linuxu moguće napraviti kvalifikovani elektronski potpis u uobičajnim programima (LibreOffice, jSignPDF, Thunderbird...).

Isto tako bilo bi moguće i potpisivanje iz Java apleta* na pomenutim veb aplikacijama ali pod uslovom da autori apleta nisu sprečili da aplet radi bilo gde osim na Windowsu. Najčešće problem bude da autori "zadaju" apletu da radi samo sa Microsoft CryptoAPI ili zadaju fiksiranu putanju do PKCS#11 modula kakva je na Windowsu.

Iz napisanog se vidi da se gotovo ništa nije promenilo.

Jedino sada AET SafeSign radi stabilnije ali na nekim novim distribucijama njegov tokenadmin alat traži stariji wxgtk što je teže instalirati, i Google Chrome na GNU/Linuxu više ne podržava Java aplete, pa preostaje korišćenje Firefoxa.


Za aplet Poreske uprave postoji zakrpa za Java okruženje tako da se apletu "podmetne" putanja do midlvera kao da je na Windowsu. Regularna funkcionalnost prijave i potpisivanja bi trebalo da radi (nisam testirao u poslednjih par meseci).



E-bankarstvo nije nužno u vezi sa kvalifikovanim potpisom.

Asseco izdaje svoje kartice, dok Halcom koristi svoju "jedna za sve" karticu na kojoj je i kvalifikovani sertifikat koji se može koristiti za druge potrebe (kvalifikovano potpisivanje). Ne znam da li je moguće drugom karticom (npr. Pošte sa njihovim sertifikatom) pristupati usluzi e-bankarstva.

Novi SAGA/NFG iBanking u tehničkim uslovima eksplicitno podržava GNU/Linux i Mac OSX, i drugi po forumima pišu da to radi. Banke ga uglavnom koriste kao e-bankarstvo za fizička lica, dok ga Raiffaisen koristi i za pravna lica. Nisam isprobao.

Kod e-bankarstva za pravna lica, uglavnom je izbor Halcom ili Asseco. Kartica koju ja imam za Assecov paket e-bankarstva za pravna lica je takođe podržana kroz AET SafeSign midlver ali u jednom naivnom pokušaju nisam uspeo da se prijavim na Web aplikaciju (nazivi Asseco Online, Asseco Web 2.0, Fx2, itd). Svakako nije zvanično podržano, a u opticaju su i druge kartice. Desktop aplikacije su samo za Windows.


*) ukoliko je umesto podrazumevane verzije iz distribucije instalirana Oracle Java potrebno je uspostaviti vezu između pcscd i Oracle Jave, inače Java neće videti čitač kartica

[Ovu poruku je menjao Goran Rakić dana 25.11.2015. u 03:59 GMT+1]
http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice,
prezentacije, legalno bez troškova licenciranja
 
Odgovor na temu

Mister Big Time
The Consigliere
enterparadajz
Belgrade

Član broj: 15306
Poruke: 4747

Sajt: www.go2bed.net


+43 Profil

icon Re: Linux i kvalifikovani sertifikati29.02.2016. u 00:08 - pre 47 meseci
Samo bih se nadovezao na Goranov post, da su najcesce problem autori applet-a i resenja za prijavljivanje, posebno kod nas. Medjutim situacija nije tako jednostavna s obzirom na stanje JRE okruzenja u vodecim browserima, tako da ovom prilikom bih rekao da su u situaciji 'seci usi krpi dupe'. CRosiguranja je zato izdao neku exe applikaciju koja menja Applet, ali naravno ona radi samo na M$. Na pitanje sta da rade firme koje imaju 100% MacOS ili GNU/Linux okruzenja, receno je ne podrzavaju i nabavite Window$. :)

Ovakvki sistemi su i tako prevazidjeni tako da TOKEN bazirana univerzalna resenja su opcija 'radi na svemu', i na smart watch-u ako hocete.
 
Odgovor na temu

Mister Big Time
The Consigliere
enterparadajz
Belgrade

Član broj: 15306
Poruke: 4747

Sajt: www.go2bed.net


+43 Profil

icon Re: Linux i kvalifikovani sertifikati25.03.2016. u 21:55 - pre 46 meseci
Da li je neko probao PKCS11 Module iz Mozilla Firefox-a?
https://developer.mozilla.org/...NSS/PKCS11/Module_Installation

Citat:
PKCS11 modules are external modules which provide access to smart-card readers, biometric security devices, or external certificate stores. There are two methods for installing PKCS11 modules into Firefox. Users can use the preferences dialog to install or remove PKCS11 module. Extensions can programmatically manage PKCS11 modules using the nsIPKCS11 programming interface.


Deluje vrlo zanimljivo.

Namestio sam pcsc_scan (pcscd) da mi lepo razgovara na relaciji USB citac -> Linux. Ali sada mi fali PKCS11 modul (.so program) koji ce da bude spona izmedju FF i citaca. :S

 
Odgovor na temu

Goran Rakić
Beograd

Član broj: 999
Poruke: 3766

Sajt: blog.goranrakic.com


+125 Profil

icon Re: Linux i kvalifikovani sertifikati25.03.2016. u 23:08 - pre 46 meseci
PKCS#11 modul za GNU/Linux nudi jedino Pošta (libaetpkss.so). Na forumu se pisalo kako i za stare MUP/PKS kartice postoji PKCS#11 modul (libnstpkcs11.so, samo 32bit) ali čini mi se da ga niko nije isprobao.
http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice,
prezentacije, legalno bez troškova licenciranja
 
Odgovor na temu

Mister Big Time
The Consigliere
enterparadajz
Belgrade

Član broj: 15306
Poruke: 4747

Sajt: www.go2bed.net


+43 Profil

icon Re: Linux i kvalifikovani sertifikati27.03.2016. u 23:22 - pre 46 meseci
Upravo probao. Ne radi (ocekivano). Video je citac i registrovao ga uredno u FF, ali dalje od toga ni da makne. Status: not present.

EDIT: ako je kartica u citacu, a FF ugasen, prilikom pokretanja FF puca momentalno.

Code:
Inside iCryptoki::GetFunctionList()
Cryptoki::Initialize
Cryptoki::Initialize
Cryptoki::Initialize2
Cryptoki::Initialize3
Cryptoki::Initialize4
Cryptoki::Initialize5
Cryptoki::Initialize7
terminate called after throwing an instance of 'MWShared::MWException'
Redirecting call to abort() to mozalloc_abort


Kontam da je dobro sto ga makar 'okine' tj. nesto se desava kada je kratica u citacu pri pokretanju FF. Ali i dalje mrka kapa.

Sve u svemu tuzna prica oko GNU i "pametnih" kartica. Za sve je kriv Oracle... xD


[Ovu poruku je menjao Mister Big Time dana 28.03.2016. u 02:09 GMT+1]
 
Odgovor na temu

Goran Rakić
Beograd

Član broj: 999
Poruke: 3766

Sajt: blog.goranrakic.com


+125 Profil

icon Re: Linux i kvalifikovani sertifikati28.03.2016. u 17:35 - pre 46 meseci
Ne razumem poslednji red.

Veza čitača i pametne kartice radi kroz PC/SC, a pcscd je kvalitetna i adekvatna implementacija. Za pojedine čitače potreban je pcscd drajver. Većina novih čitača radi kao CCID uređaj uz libccid drajver, a slično je i sa tokenima koji kombinuju čitač i karticu u „jednom pakovanju“.

Midlver dolazi kao naredni sloj kako bi ostalim programima isporučio PKCS#11 interfejs za kriptografske operacije pametne kartice. Tužno je što sertifikaciona tela ne obezbeđuju kartice koje bi imale dostupan midlver za GNU/Linux. Tu npr. AET SafeSign (uz Poštine kartice) radi sasvim pristojno. Midlver koristi pcscd da „priča“ sa karticom.

Java apleti, jsignpdf, Libreofis, Thunderbird, Firefox, Evolution i drugi softver koriste PKCS#11 interfejs midlvera za kriptografske operacije, npr. za potpisivanje.

Kod naših servisa e-uprave pojedini apleti ili klijentski programi su pisani tako da ne podržavaju GNU/Linux i PKCS#11 midlvere, pa iz ovih ili onih razloga, ne rade čak ni sa Poštinim karticama. Ipak korisnici mogu da koriste sve druge postojeće programe bez problema.
http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice,
prezentacije, legalno bez troškova licenciranja
 
Odgovor na temu

Thetaworld
General Partner
RCD usluge

Član broj: 2317
Poruke: 520

Sajt: www.rcdusluge.com


+60 Profil

icon Re: Linux i kvalifikovani sertifikati28.03.2016. u 18:33 - pre 46 meseci
Vjerujem da se tu radi o meni poznatim čitačima iz drugih država, jer nisam u Srbiji.

Ali, bilo kakvo korištenje netransparentnog softvera je nesigurno za korisnike, posebno ako taj netransparentni, neslobodan softver, izdaju države ili državne organizacije. Takvom softveru nije za vjerovati. Već je poznato da baš SVAKA država iskorištava ljude i krši njihovu privatnost.

GNU operativni sistem http://www.gnu.org je napravljen sa idejom da ljudi mogu da imaju svoje podatke pod svojom kontrolom. Pošto to ne može da kontroliše svaka osoba za sebe, onda tu kontrolu može svako da ispunjava, jer je softver transparentan, slobodan, svako ima pravo da ga mijenja, poboljšava, nema šta da se krije. Komande koje se izvršavaju na tuđem računaru nisu sakrivene. Zašto jedna država kao Srbija koristi neslobodan, netransparentan softver? Šta to država želi da sakrije?

Naivno je postupanje da se slijepo vjeruje Java apletima koji možda nisu slobodan softver, pa ni Javascriptu, a pogotov državnim drajverima ili softveru koji dolazi na raznim državnim uređajima ili od firmi koje država podržava. Svaki softver koji nije transparentan je sumnjiv, jer sakriva koje komande želi autor ili naručilac softvera da izvršava na računaru korisnika.

Prema tome, samo je slijedeće preporučljivo za sigurnost korisnika:

- zahtjevajte od države da bude transparentna, ako država izdaje neslobodan softver, to je u najmanju ruku čudno, ali direktno utiče na privatnost korisnika.

- zahtijevajte da se država drži otvorenih transparentnih standarda, jer SSL sigurnost kao i certifikati su otvoren i transparentan standard. Nema baš nikakvog razloga da neki softver ne radi na GNU/Linuxu ili na bilo kojem poznatom operativnom sistemu,

- odbijte da koristite netransparentan softver na svom računaru kao bolje riješenje

- ako baš morate da koristite takav softver, onda koristite odvojen računar bez ikakvih podataka preko kojeg ćete pristupiti tim "sigurnosnim stranicama", jer tu sigurnost nema nikakve veze s vezom, to je samo iluzija sigurnosti. Možda neko drugi ne može da čita vezu, ali šta osigurava da softver ne čini nešto loše sa podacima korisnika?
 
Odgovor na temu

Mister Big Time
The Consigliere
enterparadajz
Belgrade

Član broj: 15306
Poruke: 4747

Sajt: www.go2bed.net


+43 Profil

icon Re: Linux i kvalifikovani sertifikati12.04.2016. u 00:20 - pre 46 meseci
Pa, nas dragi GNU nema prodju cak ni u USA ili drugim zemljama sveta "gde cveta demokratija i dobrobit svakog gradjanina"... prema tome ne mozemo ocekivati da ce nasa drzava i korov koji je vodi raditi nesto na tom polju.
Sve u svemu token (RSA) je zakon, kakvi usb citaci, smart kartice i gluposti...
 
Odgovor na temu

[es] :: Linux :: Linux i kvalifikovani sertifikati

[ Pregleda: 2779 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.