[ dooksy @ 21.09.2012. 09:05 ] @
Pozdrav svima, unapred se izvinjavam ako sam slucajno duplirao neku temu. Interesuje me da li neko moze da mi objasni (ukratko) nacin uvodjenja digitalnog potpisa kao i sta je potrebno od opreme (hardver i softver - sa nekom preporukom sta izabrati). Radi se o pravnim licima, pa bih voleo da znam kakva je procedura i sta je potrebno. Hvala svima unapred.
[ twiddle @ 21.09.2012. 09:30 ] @
Za koje potrebe ti je potreban? Podnošenje PDV prijava? Potpisivanje dokumenata u internoj/spoljnoj komunikaciji?

U principu, obično ti je potreban neki "token" kao npr. USB stik, smart kartica itd. sa sertifikatom na njemu i eventualno čitač kartica + naravno softver za potpisivanje i verifikaciju potpisanih dokumenata (MS Office, OpenOffice, Adobe Acrobat itd.)

Pozdrav,
Sloba

[ dooksy @ 21.09.2012. 10:34 ] @
Pozdrav, potreban je za razmenu raznih dokumenata u elektronskom obliku na nivou teritorije cele drzave (da bi se ubrzalo poslovanje i izbegla papirologija). Znaci ako sam dobro razumeo potrebna je samo smart kartica sa sertifikatom u njoj, MS Office je vec instaliran na svim racunarima. Da li je potrebno jos nesto ili je to sve?
[ twiddle @ 21.09.2012. 15:56 ] @
Dobro si razumeo. Evo još par detalja:

Uprošćeno govoreći imaš 2 vrste e-potpisa, po Zakonu o elektronskom potpisu: nekvalifikovani i kvalifikovani. Osnovna razlika je, pojednostavljeno, u tome što se upotreba prvog uređuje ugovorom između dve strane, dok drugi po samom zakonu ima snagu ekvivalentnu svojeručnom potpisu na papiru i zakonom je detaljno propisana procedura za njegovo izdavanje.

Nekvalifikovani sertifikat za elektronsko potpisivanje izdaju recimo banke na CD ili USB stikovima, kada potpišeš ugovor za e-banking. U tom ugovoru je uređeno izdavanje i upotreba tog sertifikata za potpisivanje dokumenata (npr. platnih naloga) u okviru vašeg poslovnog odnosa.

Kvalifikovane sertifikate za elektronsko potpisivanje izdaju:

JP Pošta Srbije
http://www.ca.posta.rs/
Cene su ovde http://www.ca.posta.rs/cenovnik.htm (gledaš npr. red #3 u prvoj tabeli "Kvalifikovani elektronski sertifikat na smart kartici")
Obrati pažnju da trenutno jedino sertifikat Pošte ima podršku za ne-Microsoft operativne sisteme (Linux, OS X)

MUP Srbije
http://ca.mup.gov.rs/
Sertifikate dele potpuno besplatno svima i smeštaju ih na novu ličnu kartu sa čipom. Evo procedure za dobijanje http://www.euprava.gov.rs/eusl...kata-MUP-(na-li%C4%8Dnoj-karti)

Privredna komora Srbije
http://pks.rs/Usluge.aspx?IDUsluge=4
Cena je 10 evra na period od godinu dana (kompletan cenovnik se nalazi u sekciji "Procedura izdavanja")

Halcom a.d.
http://www.halcom.rs/index.php?section=80#Q
Cena je oko 58 evra na period od 3 godine (znači nešto manje od 20 evra godišnje)

Sertifikati svih izdavalaca mogu ravnopravno da se koriste za e-potpisivanje dokumenata i autorizaciju prilikom korišćenja usluga e-uprave (koriste se već sada recimo za prijavu PDV na https://eporezi.poreskauprava.gov.rs ili za druge usluge na http://www.euprava.gov.rs).

Pozdrav,
Sloba

[ Predrag Supurovic @ 21.09.2012. 16:40 ] @
Pre debelo više od godinu dana su iz Digitalne agende obećali da će uskoro (čim se njihov dobro plaćeni savetnik Slobodan Marković vrati sa odmora) na svom sajtu objaviti kompletne informacije o primeni digitalnog potpisa, a koje će omogućiti lakši razvoj aplikacija koje primenjuju digitalni poptis ali od toga nije bilo ništa.

Informacije koje su sada dostupne su tako suvoparne i šture da je bolje da odustaneš od toga. Jedino praktično što možeš da radiš to je da koristiš onaj bagljavi program za potpisivanje dokumenata.
[ twiddle @ 21.09.2012. 16:58 ] @
Ne znam otkud sada ovaj besmisleni izliv hejta?!? Prvo, teza da sam dobro plaćen za ono što radim je smešna i ne bih se dalje upuštao u debatu o na tu temu. Drugo, ideja o sačinjavanju nekog zvaničnog uputstva za e-potpis pomenuta je u neformalnoj diskusiji na Fejsbuku. I dalje mislim da je to dobra ideja, a da li će DA izdati neko zvanično uputstvo i da li ću ja biti zadužen za njegovo pisanje - ne bih znao reći, jer odluka o tome ne zavisi od mene. Sa druge strane, mogu ovde na forumu da ti direktno pružim odgovore na pitanja koja te zanimaju, pa od toga možemo odmah da napravimo neko (za početak) nezvanično uputstvo. Treće, podrška za e-potpis radi bez ikakvih problema u svim najčešće korišćenim softverima (MS Office, OpenOffice, Adobe Reader, Chrome, IE, Safari, Firefox itd). Uopšte ne moraš da koristiš neke posebne programe za potpisivanje dokumenata...

Pozdrav,
Sloba

[ dooksy @ 25.09.2012. 07:37 ] @
Hvala puno na objasnjenju kao i na linkovima. Pozdrav
[ Dadoaprile @ 30.09.2012. 19:38 ] @
Zdravo, treba mi pomoć oko digitalnog potpisa.
Koristim onaj jednostavni u Adobe Acrobat-u 7. Kada se formira on daje opciju da vaše ime bude otkucano ili da ubacite sliku, skeniran vas originalni potpis. Sad, ja sam napravila ovaj sa otkucanim imenom i vrlo je jednostavna cela procedura. Medjutim, htela sam i jedan sa grafikom, ali... odem na add signature, dodam grafiku, ali kad opet upišem isto ime i prezime, kaže - to ime već postoji, hoćete li da zamenite postojeći potpis. Dakle, ne može novi sa istim imenom, nego samo da se zameni prethodni. U stvari, možda može a neko od vas zna kako Hvala na pomoći.
[ Predrag Supurovic @ 30.09.2012. 22:40 ] @
Ne znam s kim si i ta pričao na Fejsbuku. Ja tu sigurno nisam učestvovao. Ja sam komunicirao sa Digitalnom agendom i napisao sam tačno onako kako su mi rekli A NISU URADILI. Tvoj je problem što kada neko napiše da nešto nisi uradio što je obećano smatraš hejtom i to što neko obećava u tvoje ime.

Ne interesuje mene potpisivanje dokumenata iz tih programa koje pominješ. Ja sam od Digitalne Agende tražio da sačine upotrebljivu dokumentaciju za one koji razvijaju razne sopstvene softvere i potrebno im je da implementiraju potpisivanje dokumenata u tim svojim softverima.

Ne razumem kako uopšte imaš obraza da se tako brecaš? Da ste vi to sa digitalnim potpisom uradili kako treba to gbi do sada lep zaživelo. Nalazimo se u paradokslanoj situaciji: vi tvrdite da ste obezbedili sve što i treba za elektronski poptis, nama veoma teba da implementiramo digitalno potpisivanje ali to ne funkcioniše. Zašto? Zato što se vi zadovoljavatee formom. Eto može da se potpiše iz Offisa i onda vi to proglašavate rešenim problemom.

Sve što radite radi te na isti način, samo zadovoljavate formu a to što to u praksi ne funkcioniše - nije bitno. Uvek odlično razradite one segmente koji omogućavaju da neko uzima pare, a ostalo samo odradite koliko da izgleda urađeno. Važno je da ste uzeli pare i da ste ostavili prostora da i dalje uzimate pare za iste stvari.

A kas se tek setim kaok si nas godinama lagao oko situacije sa pejpalom... ne znam ko tebi više uopšte može da veruje.
[ Goran Rakić @ 30.09.2012. 23:33 ] @
Svi potrebni ETSI standardi su slobodno dostupni na vebu. Samo tehničko rešenje jeste složeno i ima puno ako-onda. Ali to nije nikakav lokalni problem, potpuno je ista situacija širom EU jer su propisi usklađeni i koristi se isto tehničko rešenje. Mislim da je nemoguće da bilo ko izda dokument sa preporukama, to je pre materijal za knjigu, a i to bi bilo opet samo za neko specifično okruženje i saveti bi bili pogrešni za bilo šta drugo.

Potpisivanje implementiraš u XAdES formatu za XML (ima puno varijanti), CAdES formatu za binarni sadržaj (ovo se koristi u S/MIME na primer) ili PAdES (za PDF, primenjeno na PDF/A format). Ako te zanimaju tzv. "Long-Term Validation" potpisi, onda imaš još potrebu da dodaješ vremenski žig prema RFC 3161 dokumentu. Dobra vest je što postoji puno gotovog koda koji možeš da koristiš poput crne kutije u svom softveru.

Nešto teže je ako želiš da prihvataš i proveravaš potpise, jer moraš da podržavaš razne formate (nije samo potpis problem već i container dokumenta, npr. .docx iz OOXML koristi XAdES ali onda to ubaci u ZIP i ti moraš da znaš gde je šta tu). Skoro da je nemoguće u jednom softveru podržati sve varijante. Zato svi u svojim softverima podržavaju samo neku varijantu i onda nalažu drugima da dokument prirede i potpišu onako kako softver za proveru to podržava. EU na primer ima dokument (2011/130/EU) gde naglašava određene varijante koje treba da podržavaju sva IT rešenja za cross-border services, ali taj dokument nije savršen. Nisu mogli da se dogovore, jer tehnologija jeste neizbežno komplikovana.

Pri validaciji treba i detaljno da ispratiš policy, a to je možda i najkomplikovanije od svega. Da ne govorimo o propisnom arhiviranju. E sada šta će od toga biti važno zavisi od samog projekta i čemu je softver namenjen.

Jedna moguća varijanta jeste da se koristi gotov servis za potpisivanje, prijem i proveru potpisa. Kako su oblaci i veb popularni, na tržištu je dostupno nekoliko rešenja za integraciju u veb aplikacije. Na nivou EU postoji open-source projekat Digital Signature Service. Belgija od ranije ima eid-dss koji je takođe open-source, a tu su i komercijalna vlasnička rešenja poput Ascertia ADSS. Ovo nije loša prezentacija na temu arhitekture DSS, naravno pojedina rešenja se razlikuju. Ono što bi Digitalna agenda mogla da uradi jeste da zapakuje i reklamira EU DSS softver, ali nisam siguran da bi to zadovoljilo očekivanja domaćih programera. Uostalom ovaj softver jeste open-source, a ne može se baš očekivati od Uprave za digitalnu agendu da školuje programere. Elektronski potpis jeste strateški bitan, ali domaće programerske firme već imaju softver koji to implementira uspešno. Dakle, moguće je i bez da te država podučava tvom poslu. Na kraju ovo svakako nije pravo rešenje za "male" desktop aplikacije jer implementacija zahteva specifičnu infrastrukturu. Belgija ima i javno podignut eid-dss, ali pre svega kao demonstraciju bez ikakvih garancija na rad servisa. Naša država bi i to mogla da uradi, mada mi se to ne čini kao posebno korisno u praksi jer bi dokumente morao da šalješ na taj "državni server" radi validacije potpisa. Čitajući dopisnu listu eid-dss projekta, većina programera uopšte ne zna kako to da koristi.


Na blogu sam napisao uvod o el. potpisu koji je pre svega iz ugla korisnika gotovog softvera. Tu su i škrti slajdovi sa prezentacije u Zagrebu. Pošta CA na sajtu ima odlične dokumente kako koristiti elektronski potpis u popularnim programima.



Peđa, šta tebe tačno zanima, koja upotreba, koja tehnologija i okruženje? Potrudi se da budeš što precizniji.

Ono što ti ovde pitaš je nalik na "kako da učitam .docx dokument u mojoj aplikaciji". Teško da bilo ko može da sastavi "dokument" koji bi tako nešto objasnio. Mogu da ti kažu eno ga Libreofis ako ti to odgovara, ima i nekih gotovih biblioteka, a evo ti i standard OOXML od 6000 stranica koji opisuje strukturu dokumenta ako hoćeš sve sam.

Ja ovako sa strane mogu da pomognem svojom dobrom voljom. Tebi nije strana open-source zajednica, pa ako bi to o čemu pričamo bilo objavljeno pod nekom slobodnom licencom, eto meni motivacije i da se više uključim.



Dadoaprile, Adobe Acrobat ima taj potpis slikom bez dodatnih elemenata. To je zapravo "faksimil potpisa", i nije potpis prema Zakonu o elektronskom potpisu. Starije verzije imaju i neku svoju tehnologiju koju su u međuvremenu izbacili. "Pravi" elektronski potpis u Adobe Acrobat dodaješ u PAdES formatu. Na sajtu Pošta CA postoji odlično uputstvo. Dokumenti su "Potpisivanje i sertifikovanje PDF dokumenata korišćenjem aplikacije Adobe Acrobat" i "Konfigurisanje aplikacije Adobe Acrobat i Reader za kvalifikovano elektronsko potpisivanje prema tehničkoj specifikaciji ETSI TS 102 778 (PAdES) Part 2". Ako ti koncepti i pojmovi iz dokumenta nisu jasni, najbolje je da zatražiš konsultantsku podršku. Kada se isplanira sistem i tok dokumenata, kasnija upotreba nije komplikovana. Postoje i druge jednostavnije aplikacije u kojima se može potpisati PDF i gde treba napraviti manje podešavanja (moj favorit je http://jsignpdf.sourceforge.net). Ako želite da ovo primenjujete između većeg broja korisnika, sa netipskim dokumentima možda nije loše rešenje da napravite namensku aplikaciju ili integrišete potpisivanje sa sistemom za upravljanje dokumentima. Ovako svako ko potpisuje mora imati Adobe Acrobat licencu ili imati dokument koji je pripremljen kao "predviđen za potpisivanje" što se onda radi Adobe Readrom. Ali to je politika kompanije Adobe, drugi proizvođači mogu tehničko rešenje da implementiraju drugačije.



I na kraju, kada Sloba kaže kako je sve odrađeno, treba pomenuti da nije uvedena lokalna TSL. Ovo bi se moglo uraditi i ad-hoc, a najbolje kada bi se izmenili pravilnici o vođenju registra i evidencije izdavaoca sertifikata. Sve dok Srbija ne bude deo EU ovo je pre nelagodnost nego praktična prepreka. TSL nije neophodan, a ako se koristi neki gotov softver koji zahteva TSL svako može i samostalno da napravi listu. Za neupućene, TSL je način za distribuciju korenskih sertifikata i informacija o politici i datom ovlašćenju izdavalaca elektronskih sertifikata (CA kao trust service provider).



[Ovu poruku je menjao Goran Rakić dana 01.10.2012. u 02:06 GMT+1]