Hrvaška javna uprava je začela prehod na odprokodne rešitve

MrStein je 21. jan 2014 ob 22:18 izjavil:

Torej lahko shranim neko spletno stran, in pozneje dokazujem: glejte, to je od njih, ima digitalen podpis?

Strežniški certifikat ni isto kot osebni certifikat.

RTFM ...

johnnyyy je 21. jan 2014 ob 21:49 izjavil:

Kako pa je s tehnično možnostjo, da se ti podtakne drug dokument v podpis?
Npr.: bereš en dokument, podpisuješ pa tistega v backgroundu?

Pri teh podpisnih komponentah dejansko ne moreš vedeti. Lahko samo upaš, da je tisto, kar ti kaže brskalnik dejansko tudi tisto, kar podpisuješ.

MrStein je 22. jan 2014 ob 00:41 izjavil:

Invuctus je zatrdil, da je promet podpisan.

SSL/TLS protokol je zaščiten na dva načina: prvič, strežnik se predstavi s certifikatom, ki potrjuje, da je to res strežnik, katerega naslov je vpisan v naslovni vrstici (če ni, dobiš opozorilo). Drugič, ob preverjanju identitete generirajo se generirajo zaščitni ključi s katerimi strežnik in brskalnik zagotovita, da prometa ne more nihče prestrezati.
Če se ob povezovanju na strežnik predstaviš tudi s svojim certifikatom, lahko strežnik tudi ve, kdo podaja zahtevke, vendar pa trenutno še ni standardiziranega protokola za podpisovanje datotek preko brskalnika (torej nekaj, kar bi lahko strežnik shranil, in bi lahko kasneje preveril, da ima datoteka tvoj podpis), zaradi česar trenutno obstaja malo morje podpisnih komponent. Strežnik torej s pomočjo tvojega certifikata lahko preveri, do česa imaš dostop, ne more pa (brez podpisne komponente) trajno shraniti nekega dokumenta s tvojim podpisom.

MrStein je 22. jan 2014 ob 00:41 izjavil:

Invictus je 21. jan 2014 ob 23:28 izjavil:

MrStein je 21. jan 2014 ob 22:18 izjavil:

Torej lahko shranim neko spletno stran, in pozneje dokazujem: glejte, to je od njih, ima digitalen podpis?

Strežniški certifikat ni isto kot osebni certifikat.

RTFM ...

Vem kaj so certifikati.

Kaj če bi odgovoril na vprašanje?
Če ne veš odgovora, pa si lahko tiho in počakaš, da se kdo pametnejši oglasi.

Očitno ne veš če ne ločiš med osebnimi in strežniškimi certifikati. To je bil tudi odgovor na moje vprašanje ... Če bi kaj o stvari vedel, bi vedel da je odgovor NE. Pa ne solil pameti kdo je pametnejši. Osnove, fant ...

Točno tako, ampak upravljalec strežnika ne igra tukaj nobene vloge. S podpisom se zaščiti podpisnika dokumenta in naslovnika.

Brez podpisa je nekako tako, kot da bi pogodbo sklenil pri notarju, obe strani bi si segli v roko, ne bi pa papirnate pogodbe dejansko nihče podpisal.

Tehnično so isti, vsebinsko ne. Če bi prebral celo temo, bi vedel v čem je point.

Maestral je 21. jan 2014 ob 10:42 izjavil:

potipoti je 20. jan 2014 ob 22:28 izjavil:

italija tut: http://www.linuxzasve.com/umbrija-prela...

No, evo. Korajžni naprej. Pa me res zanima, koliko imate iskušenj z raznimi "office" programi?

LibreOffice je zastonj paket, ki ponuja praktično vse, kar nudi MicroSoftova pisarna, za plačilo.

LibreOffice praktično ni kompatibilen z podjetjem, ki uporablja Excel kot analitično orodje (kar je samo po sebi zgrešeno ampak ni stvar debate).

Ne razumem, zakaj je skozi vse to dopisovanje govora o certifikatu, kot sredstvu za podpisovanje ali šifriranje. Certifikat je le na javni ključ vezan dokument z identifikacijskimi podatki (ki pa po ustavi RS ne smejo biti enoznačni - NLB CA, ko vtika emšo v certifikat tule hudo krši naši ustavo ;) ),veljavnostjo pa če čim, podpisan z za obe strani zaupanja vrednim podpisnikom.
Podpisovanje se izvaja z privatnim ključem, šifriranje pa z javnim (za preverjanje podpisa in odšifriranje pa ravno obratno). Sam certifikat tukaj nima veze.

SSL: uporabljen izključno za varovanje povezave z pomočjo šifriranja. Pri prvi vzpostavitvi se uporabi strežniški javni ključ za vzpostavitev povezave, kjer takoj odjemalec generira sejni ključ, ki pa je simetrični ter ga pošlje strežniku. Nato pa se nadaljnji promet znotraj te seje ščiti z tem ključem. Na ta ključ se preklopi predvsem zaradi počasnosti asimetrične enkripcije.

Podpis: zagotovitev istovetnosti pošiljatelja in pristnosti vsebine. V resnici se skozi dokument spusti hash funkcijo(ki je mnogo manjša kot sam dokument) in to zašifrira z privatnim ključem in pošlje skupaj z nešifriranim dokumentom (v nekaterih sistemih, kot je mail pa običjano tudi z javim ključem in certifikatom). Prejemnik to pač preveri na način, da skozi originalni dokument še enkrat spusti isto hash funkcijo, tvojo zakodirano odkodira z tvojim javnim ključem (s tem ve da si ga ti zakodiral, saj imaš le ti privatnega) in če se ujema, dokument ni bil spremenjen.

Seveda je vse malo poenostavljeno napisano, saj za obe funkcije običajno potrebujemo imeti delujoč PKI.

Drugače pa pohvalno za sosede, da so prešaltal na opensource. No saj tudi naša JU ni tako zadaj. Kup stvari mamo na raznih jboss-ih, na strežniškem delu pa je dejansko ogromno Linuxa ipd. (bi kar rekel, da večina distribuiranega sveta). Na možnosti zamenjave OS-a na desktopih v JU sem pred leti celo nekaj sodeloval, pa se je na koncu ugotovilo, da je dejansko še preveč legacy aplikacij v uporabi, da bi se to sploh dalo izvesti.

Je pa res, da baze zadaj, pa kaj drugega kot zaprtokodne na tem nivoju resnosti niti nimamo za zbirat.

Mavrik je 22. jan 2014 ob 18:21 izjavil:

vključuje tudi dodeljen javni in privatni ključ?

Kako je pa dodeljen key lahko zaseben?

Poldi112 je 22. jan 2014 ob 15:31 izjavil:

Kaj če bi nehal napihovati svoj ego in dejansko povedal, kako misliš da je. Ker zadnjih postov od tebe ni drugega kot "rtfm", "če bi prebral", ...

Nauči se uporabljati Google ... In brati dokumentacijo. Če tega nisi sposoben, tudi mojega prispevka ne boš razumel.

Sicer pa nisem tu v vlogi zastonj predavatelja.

alexa-lol je 21. jan 2014 ob 17:07 izjavil:

Recimo da si se s certifikatom prijavil in obstaja med strežnikom in tabo neka seja. Kdo drug bi lahko podpisal ta obrazec kot ti?

Lahko ti ugrabijo sejo ampak isto ti lahko ukradejo cert in si na istem.

Ne ne morejo.
Za kaj takega je potreben vdor v tvoj racunalnik.
Ce si ti dokument podpisal s svojim certifikatom imas privatni kljuc samo ti in fertik. Tud postopek "podpisovanja" se dogaja na tvoji strani.
Ce se ti povezes na nek streznik preko https-ja lahko seveda izvedejo MITM napad in pac gledajo/spreminjajo promet med tabo in in streznikom. Sama https povezava tle pac ni neka 100% varnost.
Je pa zato dokument, ki ga ti posljes na streznik 100% varen(zaenkrat dokler nekdo ne objavi novice, da jim uspeva razbijanje 2048+ bitnih kljucev hitreje kot povprecen lenuh napise vprasanje brez, da bi prebral dokumentacijo).
Dokumenta ti ne morejo spremeniti in se enkrat podpisati. RAZEN CE ne vdrejo v tvoj racunalnik/instalirajo malware in se polastijo tvojega zasebnega kljuca.
Vidim, da par ljudi misli, da ko se logirate na recimo klik.nlb.si in od vas zahteva "osebni certifikat", da potem vas browser strezniku poslje certifikat in da vam ga lahko magicno spizdijo.
No to se pac ne dogaja, ker bi bilo identicno temu, da bi si na vrata namontirali kljucavnico, ki bi zahtevala vas prstni odtis...vi pa bi si vsakic odrezali prst in ga metali cez dvorisce.
Vas privatni kljuc je med to avtentikacijo varen. Spizdijo vam lahko kvecjemu SEJO. Pa se to se naredi tako, da se pocaka, da se vi prijavite na streznik...potem pa gremo nazaj na klasicen MITM. Vas podpisani dokument bi bil kljub temu se zmeraj vazen pred spreminjanjem vsebine...dokler kreten na drugi strani preverja podpis seveda. Ce ga ne preverja potem podpisovanje samo po sebi nima nobenega smisla.

Mavrik je 22. jan 2014 ob 15:48 izjavil:

Če rabiš analogijo - SSL podpis je tako, kot da bi ti mel 15 strani pogodbe, te strani potalal v 6 kuvert, na njih dal pečat in podpis in jih poslal na DURS. Tam bi v sprejemnici to poštar vzel, preveril a je podpis pravi in da pečat ni zlomljen, vrgel kuverte v koš ter nazaj sestavljeno pogodbo dostavil posameznemu oddelku. Kaj točno ti je podpis na kuverti koristil in kaj je dokazoval ko boš čez pol leta šel gledat veljavnost pogodbe? Nič.

Kaj pa če sem poštar jaz in nič ne vržem v koš?

neo81 je 22. jan 2014 ob 18:16 izjavil:

Ne razumem, zakaj je skozi vse to dopisovanje govora o certifikatu, kot sredstvu za podpisovanje ali šifriranje. Certifikat je le na javni ključ vezan dokument z identifikacijskimi podatki (ki pa po ustavi RS ne smejo biti enoznačni - NLB CA, ko vtika emšo v certifikat tule hudo krši naši ustavo ;) )

Ne vtika EMŠO-ta. (razen če so nedavno prakso spremenili)
Vtika pa DŠ.
Pa ni edini CA ki to počne.

Poldi112 je 22. jan 2014 ob 20:17 izjavil:

Bluziš torej - kot ponavadi. Glede na to, da te nihče tu ne razume pa očitno nisi kompetenten za predavatelja.

Funkcionalno nepismenim ne predavam ... In ljudem ki ne znajo iskati na Googlu ...

*Ampak da se pa veliki open source troll jype, z vso svojo moralno superiornostjo spravi cenzurirati drugace mislece je pa nekaj prelomnega. Pogresal bom tvoj pokoncno drzo, saj ne da si imel samo prav ampak vsaj argumentov ti ni zmanjkalo in se nisi zatekel k nasilju. Ker ce zbrisete imate pa bolj prav.*
** jype cenzurira drugace mislece ze v drugo **

>> Kot poročajo, so pred tem uporabljali zaprt sistem iz leta 2006, ki jih je stal 14x več (odprtokodni sistem jih stane 10.000EUR letno) in imel
>> dnevno omejitev (1800 zahtevkov) vnosa podatkov, kar je pomenilo, da je večina uporabnikov morala spremembe zahtevati s pomočjo navadnih obrazcev.

Lool, pozabili ste samo se povedati, da bo pomagal pri preprecevanju pedofilije na internetu. Kako cool, ne mores verjeti, samo zaprte source naredis odprte (tudi ce pustis isto kodo), pa so ze *puf* reseni vsi problemi, performance postanejo fantasticne (no ja no :P) pa se scalable postanejo.

Bravo slotech prevajalci, prekosili ste sami sebe, na eni trivialni aplikaciji ste napletli celo sago, tega novinarskega (ups, prevajalskega sem mislil) senzacionalizma bi bila pa se Lady vesela, ste razmisljali kaj o karieri tam?

(heh, eden redkih clankov brez podpisa prevajalca, verjetno se pod tak BS nihce ni hotel podpisati s polnim imenom, lobiranje, press)

super ! :) Sem že glasoval.