» »

Digitalni podpis

Digitalni podpis

Valuk1 ::

Zdravo,

na iMacu uporabljam digitalni podpis mdSig Java, dela kot se mu zazdi.
Včeraj sem za en podpis na xx strani moral inštalirat SETCCE pro XSign. Zadeva sploh ne dela, se pravi nisem mogel podpisat dokumenta.

Certifikat, ki ga uporabljam je Sigenca, torej bi moralo delat vse.

Zanima me kakšne so vaše izkušnje s podpisovanjem dokumentov in ali kdo uporablja digitalni podpis ma iOS-u.

Hvala vnaprej

Karen ::

Mogoče ti bi prav prišlo malce osnov (bom poenostavil):
1. ljudje mislijo da če imajo (nameščen) certifikat da lahko z njim prek spleta nekaj podpišejo... wrong: podpis je mogoče samo če je poleg certifikata nameščena še posebna aplikacija. Tu so možne različne variante, pri vseh pa je značilno, da se podpisovanje "zgodi" na tvoji strani, torej na tvojem računalniku. Lahko je to aplikacija ki jo namestiš, mogoče kaka java ali celo "standalone" aplikacija za podpisovanje (recimo Acrobat reader).
Bottomline: poleg certifikata rabiš še nek "programček" - ali laufa posebej, ali znotraj brskalnika (ni važno), da lahko sploh karkoli podpišeš. Zato si moral namestiti proXsign, to je namreč ta programček.
2. problem teh stvari pod točko 1 je torej, da si vsaka programska hiša "izpiše" svoj programček za online podpisovanje, zato ti "certifikat" ne podpisuje vendo in povsod, saj moraš za vsako spletno stran ki uporablja podpis imeti programček ki ga predvideva spletna stran (zato ti "podpisovanje" ponekod dela, drugje ne). Da ne omenjam tega da mora biti ta "programček za podpisovanje" napisan za te in one wndowse, za te in one brskalnike (IE, FF, Chrome, Safari...), kar je razlog da kakšni eDavki nekje delajo, drugje ne.
3. Alternativa tem "zmedam" je recimo si.pass/si.ces sistem (državni) - prednost tega sistema je, da podpisovanje "laufa" na strežniku (torej aplikacija za podpisovanje dokumenta je na serverju) in posledično dela (vsaj teoretično) tudi iz telefona. Problem tega je, da če hočeš podpisat s svojim certifikatom, bi moral svoj "zasebni ključ" poslat na strežnik, zato je zadeva narejena drugače: ti se strežniku "predstaviš" s svojim certifikatom, tam prvič "zgeneriraš" nov par ključev (javni in zasebni) za podpisovanje in ta par se polinka s tvojim certifikatom (tako da sistem ve da ta par ključev pripada tvojemu certifikatu) - vsakič ko kaj podpišeš uporabiš svoj certifikat za identifikacijo, sistem pa potegne tvoj ključ ki je na stežniku v eni varni "shrambi" in ta ključ podpiše tvoj dokument - tako da ker se ve da je to tvoj ključ je enolično povezan s teboj. Po domače: država hrani tvojo "podpisovalno rokco" v eni omarici in do te omarice lahko prideš samo ti s svojim certifikatom in ukažeš podpis... če seveda "zaupaš" državici da hrani tvoj podpis pri sebi (to je vsaj teoretično) slabost tega sistema.
Malce sem poskušal poenostaviti/povedati v prispodobah... ni vse čisto "tehnično korektno" - da mi ne bo kdo očital (bolj konstruktivno je da namesto kritike raje napiše bolj tehnično korektno, pa tako da bodo tudi nepoznavalci razumeli - kar ni vedno ravno enostavno), upam da pa ti bo bolj razumljivo (ob predpostavki da veš kaj je javni in zasebni ključ - to kako sicer poteka podpisovanje imaš pa več člankov na netu, mal pobrskaj).

OracleDev ::

Tale sipass je v teoriji dobra ideja, v praksi pa se vecji krep od proXsign-a.

secops ::

Krep je že to, da za fizične osebe država izda tebi zasebni ključ, kar je že v začetku skregano z logiko, da imaš samo TI zasebnega. Edina res varna varianta bi bila, da bi vsak pri sebi zgeneriral zasebni ključ in CSR poslal državi.

techfreak :) ::

@secops: Tudi to, da moras pri vecini storitev namestiti neko 'drzavno' komponento, za katero nimas na voljo kode, je ze dovolj velik problem.

Miha 333 ::

secops je izjavil:

Krep je že to, da za fizične osebe država izda tebi zasebni ključ, kar je že v začetku skregano z logiko, da imaš samo TI zasebnega. Edina res varna varianta bi bila, da bi vsak pri sebi zgeneriral zasebni ključ in CSR poslal državi.

Ali ni tako, da se zasebni ključ ob prevzemu certifikata zgenerira v brskalniku?

Karen ::

Vse to drži fanta, se strinjam z vama. Ampak poglejmo življenjsko: certifikati kot taki so recimo zunaj tam od leta 2000 (tam enkrat je Sigen-ca nastala +/-)... potem mine praktično 15 let, pa še vedno nobene "pametne" implementacije elektronskega podpisovanja. Seveda je EU rabila samo 15 let da je to pogruntala, zato pa so z EIDAS "uzakonili" server-side certificate.
"Poenostavitev" je bil torej logičen korak, kljub "malenkosti" kot je da podpisa nimaš "pod svojo kontrolo" - še več: to da imaš pri sebi certifikat so "uspeli" oblatiti da je to slabo ker je polno malware-a ki bi ga lahko zlorabilo, zato certifikat na računalniku naenkrat ni več varen (bolj je varen v hrambi države), kar je svojevrsten absurd - je pa varenna pametnih karticah.
>Ali ni tako, da se zasebni ključ ob prevzemu certifikata zgenerira v brskalniku?
V bistvu ja pa ne: ti dobiš en konec nečesa po mailu, drug konec po pošti, ko daš skupaj ti sistem zgenerira par ključev (javnega in zasebnega), par metapodatkov zraven in voila: to je tvoj certifikat.
Trik si.pass-a je da s tem tvojim certifikatom na državnem serverju ob tem ko registriraš si.pass zgeneriraš tak par ključev ki so vedno na strežniku (v varnem HW-ju)... dokler zaupaš temu HW sefu. Ko ga bo enkrat nekdo zlomil bo teoretično imel vse "lastnoročne" podpise vseh uporabnikov si.pass-a. O tem fantje zgoraj pišejo (da ne govorim o teorijah zarote da ti država preko kakih backdoor-ov to sama zlorabi).

secops ::

Miha 333 je izjavil:

secops je izjavil:

Krep je že to, da za fizične osebe država izda tebi zasebni ključ, kar je že v začetku skregano z logiko, da imaš samo TI zasebnega. Edina res varna varianta bi bila, da bi vsak pri sebi zgeneriral zasebni ključ in CSR poslal državi.

Ali ni tako, da se zasebni ključ ob prevzemu certifikata zgenerira v brskalniku?


Sem šel pogledat JavaScript, ki se izvaja ob prevzemu. Dejansko ti s knjižnico forge v browserju zgenerirajo key pair, csr, ki ga nato na serverju podpišejo.

Ubistvu sem kar navdušen 8-) Samo še security audit knjižnice manjka :)

Valuk1 ::

Hvala za napisano, to je bila teorija.

Država nam trenutno priporoča uporabo Sipass.

Mene zanima predvsem kako je na telefonu ali iPadu, kako je rešeno to tam, glede na to, da predvidevam ni neke aplikacije za podpisovanje.
Ali je?

Zgodovina sprememb…

  • spremenilo: Valuk1 ()

techfreak :) ::

Kolikor gledam SI-PASS spletno strani, se mi zdi da lahko dokument nalozis na SI-PASS, in oni ga na strezniku podpisejo, ter vrnejo. To bi moralo delovati tudi na iOS/Android preko brskalnika.

Zal pa nimam nobenega primera kjer bi rabil podpisovanje, tako da tezko preverim.

starfotr ::

p7b dobiš nazaj. Sem podpisal en dokument za test.

Valuk1 ::

p7b je potem izvoz certifikata, ali je to v bistvu podpisan dokument?
S čem ga lahko potem odpreš, oziroma tisti, ki mu je namenjen?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Halcom ena za vse kako z njo podpisovati pošto v Thunderbirdu in drugje

Oddelek: Informacijska varnost
151066 (463) mat xxl
»

Certifikat !

Oddelek: Informacijska varnost
277209 (2013) SeMiNeSanja
»

Prevzemanje digitalnega potrdila

Oddelek: Informacijska varnost
71009 (725) metalc
»

Preverjanje digitalnega podpisa

Oddelek: Informacijska varnost
337116 (5268) neki4

Več podobnih tem