Embed Size (px)
DESCRIPTION
Elektronski potpis
Citation preview
(UPDATE) Šta je to elektronski potpis, kako se koristi i kako instalirati to čudoby zverko · januar 11, 2015
Svi, manje više, želimo da Srbija bude moderna zemlja. Zar ne? I želimo da pratimo moderne trendove, kako života tako i poslovanja. Zar ne? A kako da očekujemo da budemo moderna, napredna zemlja kada je jedan „obican“ čovek Slobodan Marković napisao bolje i korisnije uputstvo za instalaciju softvera i svih pratećih stvari za funkcionisanje elektronskog potpisa od firme Pošte, umesto njih koji se bavi prodajom upravo tih sertifikata?
Pritom ta ista firma ima najgori call centar ikada, gde je potrebno 10 minuta da bi se uopšte dobila podrška. A uz paket koji ti stigne na kućnu adresu ne daju nikakvo uputstvo već su uputstvo implementirali u sam govorni automat u call centru, koji ničemu ne služi btw. Čudno, u najmanju ruku? Da bude sve smešnije, Pošta je jedina u Srbiji koja ima podršku za Apple računare (odnosno OS X), kada su u pitanju digitalni potpisi i elektronski sertifikati. Kako sam ja „laik“ za elektronske sertifikate, ali kompjuterski pismena osoba koja prati trendove, ovim blogpostom želim da pomognem svim Apple korisnicima da kupe, instaliraju i koriste naprednu tehnologiju digitalnog potpisivanja. Jer, kao što rekoh, ako sam ja, koji sam kompjuterski pismen, imao problem da sve podesim (3 dana maltretiranja i dopisivanja sa Poštom) koristeći uputstvo „nekog tamo X lika“, kako je tek onima koji nisu možda toliko kompjuterski pismeni? Zato želim ovim blogpostom da prenesem svoja iskustva, i pružim detaljno uputstvo za instalaciju kako bih pomognao svima koji žele da digitalno potpisuju fakture, PDF-ove, ugovore, da koriste e-servise, prijavljuju poreze…. ali i da sa jedne stručnije strane objasnimo šta su zapravo to sertifikati.
p.s. obavezno pročitati zaključak na kraju teksta
1. Šta je to elektronski potpis
Prvo pitanje je: šta je elektronski potpis? Ako pogledamo stranicu „najvažnije“ institucije u zemlji, MUP, videćemo gomilu „bla-bla-wtf?!“ teksta.
Digitalni potpis (eng. Digital Signature) je skup podataka u elektronskom obliku koji su dodati ili logički pridruženi elektronskim porukama ili dokumentima i služe kao metod za identifikaciju potpisnika. Svrha digitalnog potpisa je da potvrdi autentičnost sadržaja poruke (dokaz da poruka nije promenjena na putu od pošiljaoca do primaoca), kao i da obezbedi garantovanje identiteta pošiljaoca poruke.
Osnovu digitalnog potpisa čini sadržaj same poruke. Pošiljalac primenom kriptografskih algoritama prvo od svoje poruke koja je proizvoljne dužine stvara zapis fiksne dužine (pr. 512 ili 1024 bita) koji u potpunosti oslikava sadržaj poruke. To znači da svaka promena u sadržaju poruke dovodi do promene potpisa. Dakle, pošiljalac kreira digitalni potpis na osnovu poruke koju želi da pošalje. Šifruje ga svojim tajnim ključem i šalje zajedno sa porukom. Primalac po prijemu poruke dešifruje potpis pošiljaoca njegovim javnim ključem. Zatim kreira potpis na osnovu poruke koju je primio i upoređuje ga sa primljenim potpisom. Ako su potpisi identični, može biti siguran da je poruku zaista poslao pravi pošiljaoc (jer je njegovim javnim ključem uspešno dešifrovao potpis) i da je ona stigla nepromenjena (jer je utvrđeno da su potpisi identični).
Dakle, digitalni potpis je elektronska zamena rukom pisanog potpisa, a ne digitalna slika ručnog potpisa. Digitalni potis omogućava identifikaciju učesnika u komunikaciji i integritet podataka. Za proveru identiteta i integriteta koristi se javni ključ sadržan u digitalnom sertifikatu.
Sem zadnje rečenice koja je osnova svih osnova. Dakle, digitalni, elektronski potpis je 100% zamena za svojeručni offline potpis i potpuno je priznat na sudu. Dakle, to je vaš online svojeručni potpis. I to je jedino što treba da vas interesuje.
2. Gde nabaviti (kupiti) taj online svojeručni potpis?
Drugo pitanje je dosta lakše ako koristite Windows računare. Jer, Srbija je monopolska zemlja, u mnogim stvarima pa što ne bi bila i u softveru. MUP besplatno izdaje digitalni potpis direktno na ličnoj karti (ugrađuje se u čip) ali radi isključivo na windows računarima. Tako da to ne važi za nas Apple korisnike. Jednostavno midleware i arhitektura im je takva da se ti elektronski potpisi (sertifikati) mogu jedino i isključivo koristiti na Microsoft Windows računarima. Da li je to zbog monopolskog ugovora države Srbije sa Microsoftom, ili prosto običnim javašlukom, neznanjem i kitoboljom MUPa, za sada nije poznato. Ali je tako.
Pa šta da rade Apple korisnici onda? Pa, odu u Poštu i plate za digitalni potpis. Dakle, Pošta je jedino sertifikaciono telo koje izdaje digitalne potpise za fizička lica koja se mogu koristiti gotovo na svim plaftormama (Windows, OS X, Linux). Što je zaista sjajno, a i nije toliko skupo. Za 4 godine trajanja sertifikata plaćate 4.110,00 dinara, a uz to dobijete i usb smart čitač kartice na kojoj se nalazi sertifikat.
Prvo, odete na sajt radne jedinice za Elektronsko poslovanje Pošte i skinete zahtev za dobijanje sertifikata. Možda će vas zbuniti sve to „elektronsko poslovanje“ ali ne postoji način da se online plati za sertifikat, potpiše nekako online i da se sve završi online. Žalosno, ali tako je. Nego vi lepo odštampate taj zahtev i odete u najbližu poštu da ga predate radniku. Tu ćete i popuniti uplatnicu i platiti.
No, da apsurdu ne bude kraj, kada plaćate Pošti za njihove usluge sve ide kroz objedinjeni platni promet
pa plaćate i proviziju za platni promet Znači, zamislite da odete u radnju da kupite stolicu koja košta 2.000,00 din, vi izvadite tih dve iljade dinara a oni vam kažu „još 38 dinara za proviziju“
Kako da čovek ne obožava Poštu. Elem, kada ste to popunili, platili i sve završili… čekate. Sad taj zahtev ide u RJ za elektronsko poslovanje i čekate da vam sve završe. Meni je sve to stiglo relativno brzo, za par dana, na kućnu adresu. Zapamtite, morate lično vi da primite ugovor i da ga potpišete.
E sada kreće veselje
3. Uputstvo za instalaciju svega što je potrebno kako bi digitalni potpis funkcionisaoKako sam već napomenuo da je ovo monopolska zemlja, neću objašnjavati proces instalacije za Windows korisnike jer oni već dobiju kompletno uputstvo za instalaciju svega. Za njih nema većih problema. Problem je za nas Apple korisnike. Stoga za njih sada ide uputstvo.
Uputstvo za podešavanje i korišćenje kvalifikovanog elektronskog potpisa na OS X Yosemite (10.10):
Uvod
Kvalifikovani elektronski potpis na elektronskom dokumentu (PDF, ODF itd) ima zakonsku snagu svojeručnog potpisa dokumenta na papiru, saglasno Zakonu o elektronskom potpisu i Zakonu o elektronskom dokumentu. Kako biste mogli da „stavljate“ kvalifikovane elektronske potpise na elektronske dokumente, neophodno je da posedujete kvalifikovani elektronski sertifikat (pored potpisivanja dokumenata, ovaj sertifikat može se upotrebiti za korišćenje portala eUprava (https://euprava.gov.rs/), portala ePorezi (https://eporezi.poreskauprava.gov.rs/) i drugih servisa e-uprave).
Kvalifikovane elektronske sertifikate izdaju sertifikaciona tela, koja su popisana u registru Ministarstva trgovine, turizma i telekomunikacija (http://epotpis.mtt.gov.rs/elektronski-potpis/#регистар).
Pošta Srbije jedino je sertifikaciono telo koje izdaje kvalifikovane elektronske sertifikate sa podrškom za OS X. Više informacija o pribavljanju Poštinog kvalifikovanog elektronskog sertifikata na smart kartici, možete naći ovde: http://www.ca.posta.rs/
Napomena: Ostala sertifikaciona tela izdaju kvalifikovane elektronske sertifikate koji se mogu koristiti samo u Microsoft Windows okruženju. Naravno, Windows se može instalirati u okviru virtuelne mašine pod OS X, ali takva upotreba kvalifikovanih elektronskih sertifikata izlazi izvan okvira ovog uputstva.
*** Osnovna podešavanja
Procedura za instalaciju i korišćenje Poštinog kvalifikovanog elektronskog sertifikata za OS X Yosemite (10.10):
1. Zatražite od Pošte najnoviju verziju sistemskog softvera A.E.T. SafeSign za OS X, na adresi http://www.ca.posta.rs/preuzimanje_softvera.htm (napomenite u poruci da vam treba poslednja verzija aplikacije za OS X Yosemite). Ovaj paket sadrži sistemski softver za rad sa Poštinom smart karticom i aplikaciju tokenadmin.app, koja služi za pregled sadržaja kartice i eventualnu promenu PIN-a.
2. Instalirajte poslednju verziju Smart Card Services za Yosemite sa adrese https://smartcardservices.macosforge.org/files/installers/SCS-10.10-Current.zip
3. Instalirajte A.E.T. SafeSign (koji ste dobili od Pošte u prvom koraku). Nakon instalacije, biće potrebno da se odjavite (Log Out) i ponovo prijavite u vaš korisnički nalog.
4. Priključite USB čitač smart kartica i stavite u njega vašu karticu sa kvalifikovanim elektronskim sertifikatom. Pokrenite tokenadmin.app. Trebalo bi da vidite vaše ime i prezime i broj sertifikata, a duplim klikom na njega više detalja o sadržaju kartice.
*** Podešavanje Firefoxa za korišćenje portala eUprava.gov.rs
Preuzeti sertifikate domaćih sertifikacionih tela
Poštahttp://www.ca.posta.rs/ca-sertifikati/PostaCARoot.derhttp://www.ca.posta.rs/ca-sertifikati/PostaCA1.der
MUPhttp://ca.mup.gov.rs/MUPCARoot.crthttp://ca.mup.gov.rs/MUPCARoot3.crthttp://ca.mup.gov.rs/MUPCAGradjani.crthttp://ca.mup.gov.rs/MUPCAGradjani2.crthttp://ca.mup.gov.rs/MUPCAGradjani3.crt
PKShttp://ca.pks.rs/certs/PKSCARoot.crthttp://ca.pks.rs/certs/PKSCAClass1.crthttp://ca.pks.rs/certs/PKSCAClass2.crt
Halcomhttp://www.halcom.rs/UserFiles/File/HalcomBGCARoot.crthttp://www.halcom.rs/UserFiles/File/HalcomBGCAPLIntermediate.crthttp://www.halcom.rs/UserFiles/File/HalcomBGCAFLIntermediate.crt
E-Smart Systemshttp://qca.e-smartsys.com/repo/ESS%20RQCA.cerhttp://qca.e-smartsys.com/repo/ESS%20IQCA1(1).cer
Nakon što ste preuzeli sertifikate:
1. Odaberite u meniju Firefox -> Preferences… pa Advanced -> Certificates -> Security Devices
2. Kliknite na dugme Load i unesite za Module name „SafeSign PKCS#11 Module“, a za Module filename „/usr/local/lib/libaetpkss.dylib“ (sve bez znakova navoda) i pritisnite OK. Trebalo bi da vam se na spisku sa leve strane pojavi sertifikat sa vašim imenom i prezimenom, što znači da FireFox može da pristupi sertifikatu. Kliknite na dugme Log In i unesite vaš PIN za kvalifikovani sertifikat (dobili ste ga od u koverti sa karticom, kada ste je preuzimali u Pošti). Ako sve bude OK, status sa desne strane trebalo bi da se promeni u Logged In (Napomena: ako dobijete poruku o neuspešnom logovanju, probajte da izvadite karticu iz čitača, ponovo je stavite i onda ponovite Log In).
3. Na istom panelu (Firefox -> Preferences… pa Advanced -> Certificates) kliknite dugme View Certificates, pa odaberite Authorities.
4. Kliknite dugme Import… i ubacite sledeće sertifikate: PostaCARoot.der i PostaCA1.der (za ovaj sertifikat odaberite opciju „Trust this CA to identify websites“).
5. Sada pristupite portalu eUprava na https://www.euprava.gov.rs/ i odaberite u gornjem desnom uglu
„Prijava“, a zatim „Prijavite se elektronskim sertifikatom“. Unesite vaš PIN za kvalifikovani sertifikat, ako je neophodno. Izaberite sertifikat sa spiska i kliknite OK. Trebalo bi da ste se uspešno ulogovali i sada možete koristiti elektronske usluge na portalu. Ako dobijete poruku o neuspešnom logovanju, probajte da izvadite karticu iz čitača, ponovo je stavite i onda ponovite prijavu.
*** Kako da podesite besplatan Adobe Acrobat Reader da digitalno potpisuje (Pisao Zverko): Iako u početku nije htelo da radi, nekako sam uspeo da podesim Adobe Reader da potpisuje. Dobijao sam neku grešku sve vreme. Kao da ne postoji sertifikat. Logično, da potpišete dokument kliknete na veliku opciju „Fill & Sign“ pa kliknete na „Sign with Certificate“ pa mišem obeležite polje gde hoćete da vam se nađe potpis (mouse drag) i onda vam se otvori mali prozor gde vam traži sertifikat (jer ga niste još ubacili). Kada pokušam da ubacim kaže da ne postoji?
Onda sam pokušao da uradim isto kao sa FireFoxom i dodam onaj module „“SafeSign PKCS#11 Module“, a za Module filename „/usr/local/lib/libaetpkss.dylib““
Nakon što sam uspeo da dodam module i tokene, potpisivanje ide kao podmazano. Opet isti proces: Fill&Sign pa obeležite u PDF dokumentu pa će vam se pojaviti prozorčić sa vašim imenom i prezimenom i poljem za šifru (pin koji ste dobili od Pošte) i samo klikente „sign“ i to je to.UPDATE: Ukoliko želite da očitate vašu ličnu kartu potrebno je da skinete besplatan program JFreeSteel program i pokrenete ga. Automatski će videti ličnu kartu i dobićete opciju „save to
pdf“. U tri klika i 10 sekundi, gotovo. Nema na čemu
ZAKLJUČAKSrbija je još uvek banana država, kao i u svemu, pa tako i u oblasti digitalnog potpisivanja. Dok druge zemlje imaju integraciju i podršku za sve operativne sisteme, uputstva za sve operativne sisteme, gde javne službe ne krše zakon o sprečavanju monopola i gde nastoje da pomognu građanima, ovde u Srbistanu to nije slučaj. Jedini razlog zbog kojeg sam uopšte uzeo sertifikat jeste što me je knjigovođa naterala, jer zbog novih procedura nikako drugačije nije moguće potpisati završen račune. Da se razumemo, podržavam tu novinu gde nema više potpisivanja i pečatirana sto miliona papira koje mi da knjigovođa, već jednim klikom online se sve završava. Za sve ostalo nema neku upotrebnu vrednost. Šta mislite, da možete potpisati neki ugovor sa tim? Pa ko će „shvatiti“ da je to uopšte moguće? Zamislite da digitalno potpišete ugovor o kupoprodaji automobila? Prvo, zamislite da postoji kupac/prodavac koji bi to razumeo/shvatio. Drugo, zamislite da overite taj ugovor u opštini. Dakle, nemoguće. Stoga, ako ne morate, nemojte se zamlaćivati sa sertifikatima jer mi smo još uvek zemlja iz 16. veka i dugo ćemo tu i biti.
Lako do dizajna preko online dizajn konkursa
UPDATE: Od sada, putem programa TokenLounge možete raditi sve direktno iz Safarija! Skinite ovaj program, instalirajte ga i u svom KeyChainu ćete videti svoje ime. Ako ne vidite, izlogujte se pa ponovo ulogujte. Onda možete sve raditi što biste radili iz Mozille.(UPDATE 04.10.2015.) Nakon što je izašao novi operativni sistem El Capitan može se desiti da potpisivanje više ne radi! Zato je potrebno uraditi sledeće, kako nalaže moj prijatelj Sloba:Poštin kvalifikovani e-potpis radi na OS X El Capitan. Treba da se instaliraju novi SmartCardServices i ponovo TokenLoungeMinimal. Ko ima problema sa instalacijom SafeSign na OS X El Capitan, dok ne izdaju novu verziju, može da pomogne http://hackintoshosx.com/files/file/4573-siputilityapp-for-el-capitan/ (program pomoću koga privremeno može da se onemogući System Integrity Protection u novom OS X – dovoljno je da se označi druga opcija – nesmetan pristup fajl sistemu, pa posle instalacije može da se vrati na stara podešavanja tj. da sve bude prazno).Možete uraditi to, ili sačekati nove verzije programa koji će se prilagoditi novom OS Xu. Srećno!
