|
|
[ niceness @ 16.03.2014. 20:37 ] @
|
| Nedavno sam probao PTT-ov sertifikat na Linux-u. Pogotovo me je interesovalo radi li sajt eporezi (https://eporezi.poreskauprava.gov.rs/).
Što se tiče samog sertifikata, čitača kartica i middleware-a sve radi na Linux-u.
Čitač (Gemalto PC USB-SL) je CCID kompatibilan i radi bez problema, a A.E.T. SafeSign middleware je u verziju 3.0.93 (isto kao za windows) i dobiju se paketi za Debian 6, RHEL 6 i Ubuntu 12.04 (mora se tražiti putem maila, nema direktan download).
Pošto sam testirao na Fedora 19 ni jedan od tih mi nije odgovarao, ali sam uspeo iskoristiti ovaj za RHEL (ne može se instalirati direktno - fale zavisnosti).
Takođe našao sam na netu stariju verziju SafeSign-a, 3.0.44 za Fedora 13 (ne mogu sad naći link), koja se instalira bez problema na 19-ici, ali sam ipak koristio ovu noviju verziju.
Podešavanje firefox-a su ista kao na windows-u, dodaje se novi security device i u path se stavi putanja da libaetpkss.so.
Nakon toga firefox vidi sertifikat, radi provera na https://www.ca.posta.rs/test/provera_ispravnosti.asp, kao i logovanje putem sertifikata na www.euprava.gov.rs.
To sve radi, ali portal eporezi - ne radi.
Tačnije java applet na sajtu se pokreće i pronalazi čitač kartica, detektuje kad se ubaci/izvuče kartica, ispisuje ko izdaje sertifikat na kartici i daje polje za unos PIN-a (znači isto kao na windows-u).
Samo kada se unese PIN i klikne "Prijavite se" ne desi se ništa sa korisničke strane i samo tako stoji, ali ispiše sledeće na java konzoli:
Code:
java version "1.7.0_51"
OpenJDK Runtime Environment (fedora-2.4.4.1.fc19-x86_64 u51-b02)
OpenJDK 64-Bit Server VM (build 24.45-b08, mixed mode)
Connected!
PTT
3B:FA:18:00:FF:81:31:FE:45:4A:43:4F:50:32:31:56:32:33:31:65
SunPKCS11-SmartBox
OS: Linux A: x64
Exception in thread "AWT-EventQueue-1" java.util.MissingResourceException: Can't find resource for bundle java.util.PropertyResourceBundle, key regkey_PTT_Linux_amd64
at java.util.ResourceBundle.getObject(ResourceBundle.java:395)
at java.util.ResourceBundle.getString(ResourceBundle.java:355)
at com.sw4i.smartbox.logic.SmartCardLogic.findDLLPath(SmartCardLogic.java:81)
at com.sw4i.smartbox.logic.SmartCardLogic.getPKCS11Config(SmartCardLogic.java:65)
at com.sw4i.smartbox.model.PTTCard.loadKeyStore(PTTCard.java:44)
at com.sw4i.smartbox.gui.LoginJApplet.checkPIN(LoginJApplet.java:544)
at com.sw4i.smartbox.gui.LoginJApplet.jButton1ActionPerformed(LoginJApplet.java:327)
at com.sw4i.smartbox.gui.LoginJApplet.access$200(LoginJApplet.java:43)
at com.sw4i.smartbox.gui.LoginJApplet$3.actionPerformed(LoginJApplet.java:179)
at javax.swing.AbstractButton.fireActionPerformed(AbstractButton.java:2018)
at javax.swing.AbstractButton$Handler.actionPerformed(AbstractButton.java:2341)
at javax.swing.DefaultButtonModel.fireActionPerformed(DefaultButtonModel.java:402)
at javax.swing.DefaultButtonModel.setPressed(DefaultButtonModel.java:259)
at javax.swing.plaf.basic.BasicButtonListener.mouseReleased(BasicButtonListener.java:252)
at java.awt.Component.processMouseEvent(Component.java:6505)
at javax.swing.JComponent.processMouseEvent(JComponent.java:3311)
at java.awt.Component.processEvent(Component.java:6270)
at java.awt.Container.processEvent(Container.java:2229)
at java.awt.Component.dispatchEventImpl(Component.java:4861)
at java.awt.Container.dispatchEventImpl(Container.java:2287)
at java.awt.Component.dispatchEvent(Component.java:4687)
at java.awt.LightweightDispatcher.retargetMouseEvent(Container.java:4832)
at java.awt.LightweightDispatcher.processMouseEvent(Container.java:4492)
at java.awt.LightweightDispatcher.dispatchEvent(Container.java:4422)
at java.awt.Container.dispatchEventImpl(Container.java:2273)
at java.awt.Component.dispatchEvent(Component.java:4687)
at java.awt.EventQueue.dispatchEventImpl(EventQueue.java:735)
at java.awt.EventQueue.access$200(EventQueue.java:103)
at java.awt.EventQueue$3.run(EventQueue.java:694)
at java.awt.EventQueue$3.run(EventQueue.java:692)
at java.security.AccessController.doPrivileged(Native Method)
at java.security.ProtectionDomain$1.doIntersectionPrivilege(ProtectionDomain.java:76)
at java.security.ProtectionDomain$1.doIntersectionPrivilege(ProtectionDomain.java:87)
at java.awt.EventQueue$4.run(EventQueue.java:708)
at java.awt.EventQueue$4.run(EventQueue.java:706)
at java.security.AccessController.doPrivileged(Native Method)
at java.security.ProtectionDomain$1.doIntersectionPrivilege(ProtectionDomain.java:76)
at java.awt.EventQueue.dispatchEvent(EventQueue.java:705)
at java.awt.EventDispatchThread.pumpOneEventForFilters(EventDispatchThread.java:242)
at java.awt.EventDispatchThread.pumpEventsForFilter(EventDispatchThread.java:161)
at java.awt.EventDispatchThread.pumpEventsForHierarchy(EventDispatchThread.java:150)
at java.awt.EventDispatchThread.pumpEvents(EventDispatchThread.java:146)
at java.awt.EventDispatchThread.pumpEvents(EventDispatchThread.java:138)
at java.awt.EventDispatchThread.run(EventDispatchThread.java:91)
Neko nije mislio na Linux... ili možda jeste :)
Naravno isto je i sa Oracle Java-om (napomena: oracle java ne može skontati čitač kartice ako ne postoji lib sa nazivom libpcsclite.so, za detalje https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=500762)
Kako stvari stoje trenutno ništa od eporeza na linux-u. Ko hoće da se zanima može skinuti smartbox.jar sa sajta pa pogledati šta ima unutra. |
[ agvozden @ 17.03.2014. 08:55 ] @
ja sam im postavio pitanje, a oni kazu da je njihov sistem nezavistan od klijenta...
[ niceness @ 17.03.2014. 19:11 ] @
Ostatak sistem možda jeste nezavistan, ali ovaj java applet baš i nije. Čini mi se kako ga niko nije ni probao na linux.
Sadržaj PKCS11.properties iz smartbox.jar:
Code:
name=SmartBox
library_xxx=C:\\WINDOWS\\system32\\opensc-pkcs11.dll
library=C:\\Users\\schmee\\local\\pkcs11wrapper.dll
# PTT
library_PTT_Windows_x86=C:\\Windows\\System32\\aetpkss1.dll
library_PTT_Windows_x64=C:\\Windows\\System32\\aetpkss1.dll
regkey_PTT_Windows_x86=SOFTWARE\\A.E.T. Europe B.V.\\SafeSign\\2.0\\Files
regvalname_PTT_Windows_x86=aetpkss1.dll
regkey_PTT_Windows_x64=SOFTWARE\\A.E.T. Europe B.V.\\SafeSign\\2.0\\Files
regvalname_PTT_Windows_x64=aetpkss1.dll
# PKS
library_PKS_Windows_x86=C:\\Program Files\\NetSeT\\TrustEdgeID PKS\\netsetpkcs11_x86.dll
library_PKS_Windows_x64=C:\\Program Files\\NetSeT\\TrustEdgeID PKS\\netsetpkcs11_x64.dll
regkey_PKS_Windows_x86=SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Installer\\UserData\\S-1-5-18\\Components\\45BE0EDBDEE905749BBED1A90BAAE5FB
regvalname_PKS_Windows_x86=D263F37A66AE946479C8AEE94FB940B9
regkey_PKS_Windows_x64=SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Installer\\UserData\\S-1-5-18\\Components\\6725FDCEA3CACFF4384C64028FAD2E0C
regvalname_PKS_Windows_x64=D263F37A66AE946479C8AEE94FB940B9
# PKS Old
library_PKSOld_Windows_x86=C:\\Program Files\\NetSeT\\NSTSign CSP\\nstsigncsp.dll
library_PKSOld_Windows_x64=C:\\Program Files\\NetSeT\\NSTSign CSP\\nstsigncsp.dll
regkey_PKSOld_Windows_x86=SOFTWARE\\Microsoft\\Cryptography\\Defaults\\Provider\\NSTSign CSP
regvalname_PKSOld_Windows_x86=Image Path
regkey_PKSOld_Windows_x64=SOFTWARE\\Microsoft\\Cryptography\\Defaults\\Provider\\NSTSign CSP
regvalname_PKSOld_Windows_x64=Image Path
# MUP
library_MUP_Windows_x86=C:\\Program Files\\MUP RS\\Republic of Serbia ID Card Middleware\\rsidp11_x86.dll
library_MUP_Windows_x64=C:\\Program Files\\MUP RS\\Republic of Serbia ID Card Middleware\\rsidp11_x64.dll
regkey_MUP_Windows_x86=SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Installer\\UserData\\S-1-5-18\\Components\\BAD4D94275C2BF6408000A5FF856A215
regvalname_MUP_Windows_x86=0765A688DD4560F4A906F03F0F771C0B
regkey_MUP_Windows_x64=SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Installer\\UserData\\S-1-5-18\\Components\\BAD4D94275C2BF6408000A5FF856A215
regvalname_MUP_Windows_x64=0765A688DD4560F4A906F03F0F771C0B
# HALCOM
library_HALCOM_Windows_x86=C:\\Program Files\\Personal\\bin\\personal.dll
library_HALCOM_Windows_x64=C:\\Program Files (x86)\\Personal\\bin\\personal.dll
regkey_HALCOM_Windows_x86=SOFTWARE\\Microsoft\\Cryptography\\Defaults\\Provider\\Personal CSP
regvalname_HALCOM_Windows_x86=Image Path
regkey_HALCOM_Windows_x64=SOFTWARE\\Wow6432Node\\Microsoft\\Cryptography\\Defaults\\Provider\\Personal CSP
regvalname_HALCOM_Windows_x64=Image Path [ agvozden @ 17.03.2014. 19:33 ] @
hoces da kazes da su me poreznici lagali?
[ niceness @ 17.03.2014. 20:11 ] @
Lagali je možda malo jako, ali možda su pogrešno obavešteni. Ne verujem da puno firmi u Srbiji koriste linux (za knjigovodstvo, prijavu poreza).
Kad sam isprobavao ovo, našao sam samo jednu (i po) temu o eporezima i linux-u na domaćim forumima.
Sad, ne bavim se java-om, niti sam ovo nešto detaljno zagledao, ali meni izgleda kako ovo neće raditi na linux-u.
Možda se javi još neko sa malo više saznanja.
[ agvozden @ 17.03.2014. 20:43 ] @
ukoliko neko da neproverenu informaciju to je laganje.
da su rekli, ne znamo, provericemo, nismo sigurni, to bi bilo drugacije. Ovako su krivicu jednostavno prebacili na izdavace sertifikata.
[ Djetvan @ 12.04.2014. 06:21 ] @
Izgleda da u poreskoj upravi nema sposobnih ljudi da otklone problem tj. ne umeju da se dosete da treba da kontaktiraju programere koji su kreirali dotični program i da im skrenu pažnju da korisnici Linuxa nemaju pristup ePorezi-ma !
[ newtesla @ 15.04.2014. 10:41 ] @
Koliko ja vidim - ovo neće raditi ni onima koji Program Files drže na D: (ili već).
[ niceness @ 15.04.2014. 20:26 ] @
Mislim da prvo pokušava otvoriti u registry (regkey_* i regvalname_*) putanju do odgovarajuće biblioteke, a ako ne nađe onda proba fiksnu putanju iz library_*.
Samo na Linuxu (a sudeći po tom resource fajlu i bilo kom drugom ne-windows os-u) ne dođemo ni do toga.
[ jjovanovic @ 16.04.2014. 07:39 ] @
Na stranici za prijavu Poreske uprave postoji informacija da pristup nije moguc ako je na racunaru sa kojeg se pristupa instaliran jos neki kvalifikovani sertifikat. To su, recimo, kartice banaka za e-banking....
[ niceness @ 16.04.2014. 21:45 ] @
Sad vidim na ubuntu-rs forumima ima tema oko ovoga:
http://forum.ubuntu-rs.org/Thread-digitalni-sertifikati
ne znam dokle se stiglo sa tim.
@jjovanovic
da ogradili su se oko toga, ali to nema baš veze sa ovim problemom. [ Goran Rakić @ 17.04.2014. 02:37 ] @
Njihov java aplet koji se koristi za pristup pametnoj kartici/tokenu u većem delu jeste nezavisan od platforme, ali je podrška za učitavanje PKCS#11 modula odrađena samo za Windows.
Kako mi kao korisnici aplikacije ne možemo da prepravimo njihov aplet, jedino što možemo da uradimo je da prepravimo JRE koji ga pokreće i tako "zavaramo" aplet da konfiguriše PKCS#11 modul iz AET SafeSign midlvera koji koristi Pošta.
ePorezi (testno okruženje), prijava na aplikaciju iz GNU/Linuxa Poštinim kvalifikovanim sertifikatom
Distribucija: Lubuntu 13.10 32bit
Pregledač: Firefox 24
Java: OpenJDK 7 sa zakrpom u java/util/ResourceBundle.java metoda getString:
Treba još testirati potpisivanje u aplikaciji. Ja ću biti u prilici kroz nekoliko dana kada dođem do odgovarajućeg kvalifikovanog sertifikata.
Code:
public final String getString(String key) {
/* ---- */
// Workaround for ePorezi on Linux
if (key.startsWith("regkey_PTT_Linux_"))
throw new IllegalArgumentException();
if (key.startsWith("library_PTT_Linux_"))
return "/usr/lib/libaetpkss.so.3";
/* ---- */
return (String) getObject(key);
}
Kako se i 32bitni i 64bitni midlver AET SafeSign midlver instaliraju na istu putanju, a os.arch inače daje nekonzistentne rezultate možemo da u ova dva izuzetka podržimo sve arhitekture. Slična prepravka bi omogućila i rad na Macu.
Nije realno očekivati da korisnici sami prepravljaju JRE ili da instaliraju "Goranov JRE" umesto Oracle Jave ili OpenJDK-a, zato bi oni trebalo da preprave svoj aplet tako da:
(1) U smartbox/logic/SmartCardLogic.java u funkciji findDLLPath() čitanje
ključeva iz Windows registra treba da se radi samo ako je vrednost osFamily
"Windows".
(2) U PKCS11.properties treba dodati unos:
library_PTT_Linux=/usr/lib/libaetpkss.so.3
(3) U smartbox/logic/SmartCardLogic.java u funkciji findDLLPath() treba dodati poseban
kod koji će u slučaju da u PKCS11.properties ne postoji vrednost za
"library_[vendor]_[osFamily]_[jvmArch]" pokušati da pročita vrednost za
"library_[vendor]_[osFamily]".
Alternativno umesto ove tri prepravke, aplet bi mogao da na Linuxu i Macu prepusti korisnicima da sami konfigurišu odgovarajući keystore provajder (SunPKCS11-SmartBox) u postavkama za Javu koji oni onda mogu da koriste iz apleta.
[Ovu poruku je menjao Goran Rakić dana 17.04.2014. u 04:01 GMT+1][ urosg3 @ 17.04.2014. 08:43 ] @
Hvala Gorane na trudu, mislim se nešto, ma spavaš li ti nekad :)
Imamo dobru priliku da na marginama skupa u Privrednoj komori, danas u 14 http://www.kombeg.org.rs/aktivnosti/c_info/Detaljnije.aspx?veza=12332 dogovorimo strategiju kako da poteramo stvari sa mrtve tačke, Dragan je takođe najavio dolazak, pa mislim da iskoristimo... [ zoranix @ 17.04.2014. 14:47 ] @
Slična diskusija se vodi(la) i na OpenSource Srbija forumu. Vidi link na OpenSource forumu.
I ovde su iznešena neka zapažanja, međutim bez rešenja. Forum je izgleda okrenut nekim drugim stvarima (studentsko-srednjoškolskog tipa), tako da nema pravih diskutanata koji bi nešto više napisali o ovoj temi. I tamo smo pominjali g. Rakića, jer po mom mišljenju on jedini ima iskustva sa čitačima kartica i sa digitalnim sertifikatima. No, ostalo je sve na mestu odakle se i krenulo.
Ja lično sam bio zaluđenik u pronalaženju rešenja za ePorezi i CRSO, ali bez uspeha. Inače moj OmniKey 3021 USB čitač funkcioniše bez prepreka na openSUSE 13.1 sa instaliranim pcsc-lite paketom. Pristup sajtu ePorezi i CRSO je OK, odnosno dolazi se do login forme pisane u Javi i nakon ukucavanja PIN-a (pomenuta forma detektuje čitač ispravno!) ništa se ne događa. Inače imam digitalni sertifikat Privredne komore Srbije i na raznim savetovanjima u njihovoj režiji mi je uvek odgovarano da na Linuxu sve funkcioniše. Inače glavni vođa projekta oko digitalnih sertifikata u PKS je g. Dušan Berdić, skojim sam stupio u kontakt i koji mi tvrdi da je za primenu na Linuksu dovoljan samo jedan fajl:
libnstpkcs11.so
Pomenuti fajl treba u FireFoxu dodati u PKS grani na način opisan u uputstvu na PKS sajtu, po tvrđenju g. Berdića. Problem nastaje na 64-bitnim platformama, jer je .so biblioteka 32-bitna. Nisam, na žalost, imao vremena da ovo isprobam na 32-bitnim Linuxima, jer bi to značilo da moram korak u nazad, a usput i svi oni kojima bih takvo rešenje predložio. Iz tog razloga sam odustao od probe.
Više puta sam pokušao da kontaktiram g. Berdića za rešenje preko e-maila nakon toga, ali se on nije odazivao. Usput ako neko zna dotičnog g Berdića, mislim da je korisno sarađivati s njim oko rešenja problema, s obzirom da je on vođa tima u PKS. [ Goran Rakić @ 17.04.2014. 17:30 ] @
Ja nisam ranije čuo da oni imaju 32bitni PKCS#11 modul (ovaj pomenuti .so) za Linux. To je zaista zgodno pod uslovom da ovaj modul radi. Na prvi pogled, modul je dinamički ulinkovan sa OpenSSL 0.9.8 pa treba instalirati i tu verziju biblioteke.
Može i na 64bitnom Linuxu da se potera 32bitni Firefox i pcsc-lite (i java/icedtea, za ePoreze). Nekada smo to tako radili zbog Adobe Flasha, a eto sada vlasnici novih sertifikata Privredne komore Srbije to mogu da rade zbog ovog midlvera.
Osim g. Berdića, možete da kontaktirate i g. Savića u NetSet-u.
Za portal ePorezi ne koristi se konfiguracija iz Firefoxa, već oni konfiguraciju postavljaju iz java apleta, a to imaju implementirano samo za Windows. Moguće je na isti način kao gore napisano za Poštu da se izmenom u JRE apletu "podmetne" putanja do odgovarajućeg PKCS#11 modula. Trajno i logično rešenje je da Poreska uprava i njihov vendor izmene aplet. Iz Pošte su im poslali dopis jutros pozivajući se i na ovu temu. Mogli bi i iz PKS da im se obrate.
[Ovu poruku je menjao Goran Rakić dana 17.04.2014. u 18:50 GMT+1]
[ niceness @ 17.04.2014. 18:02 ] @
Gorane,
hvala na informacijama i uloženom vremenu.
Citat: (1) U smartbox/logic/SmartCardLogic.java u funkciji findDLLPath() čitanje
ključeva iz Windows registra treba da se radi samo ako je vrednost osFamily
"Windows".
(2) U PKCS11.properties treba dodati unos:
library_PTT_Linux=/usr/lib/libaetpkss.so.3
(3) U smartbox/logic/SmartCardLogic.java u funkciji findDLLPath() treba dodati poseban
kod koji će u slučaju da u PKCS11.properties ne postoji vrednost za
"library_[vendor]_[osFamily]_[jvmArch]" pokušati da pročita vrednost za
"library_[vendor]_[osFamily]".
Alternativno umesto ove tri prepravke, aplet bi mogao da na Linuxu i Macu prepusti korisnicima da sami konfigurišu odgovarajući keystore provajder (SunPKCS11-SmartBox) u postavkama za Javu koji oni onda mogu da koriste iz apleta.
Meni se čak više sviđa ova druga opcija, to bi bilo bolje rešenje po meni. Već sam to bio namestio dok sam inicijalno pokušava poterati applet, mislio sam da je tako nešto možda već implementirano.
Ali ova prva varijanta je verovatno lakša za implementaciju... videćemo šta će biti.
@Uroš
Kako je prošao skup? Ima li kakvih novosti, odnosno jeste li se dotakli teme ePorezi (na linuxu) i kakvo je interesovanje po tom pitanju? [ minikola @ 19.04.2014. 09:00 ] @
[ urosg3 @ 21.04.2014. 22:32 ] @
Citat: niceness:
@Uroš
Kako je prošao skup? Ima li kakvih novosti, odnosno jeste li se dotakli teme ePorezi (na linuxu) i kakvo je interesovanje po tom pitanju?
Ne nismo suštinski, osim jednog ili jednog i po pitanja nismo. Dragan, na žalost nije uspeo da dođe. Zauzvrat postigli sm mnogo veći uspeh dopisivanjem mejlom, pa izvestiću o napretku, perspektive su mnogo svetlije nego ranije :) [ maksvel @ 22.04.2014. 09:56 ] @
Topujem ovo, vrlo je aktuelno, neka bude preglednije.
[ zoranix @ 22.04.2014. 10:07 ] @
I treba, hvala @maksvel!
Voleo bih, ako neko ima 32-bitni Linux, ili ima vremena, da isproba slučaj sa libnstpkcs11.so. Iz razvojnog tima Privredne komore Srbije tvrde da sve radi, ako se pomenuti fajl inkoporira u FireFox, na opisani način (vidi prethodni moj post!).
Ja sam probao i bez uspeha, doduše na 64-bitnom Linuxu...
Ako neko ima digitalni sertifikat Privredne komore Srbije, može da isproba....
[ urosg3 @ 22.04.2014. 17:03 ] @
Goran Rakić je uspeo sa 32 bitnim Ffox i dokumentovao sa svojim patchoom. Dakle radi sa "goranovim JRE"
[ minikola @ 24.04.2014. 13:41 ] @
Mnogo je lakše da oni to lepo isprave da radi, mesto da se mi ovde bavimo manipuilsanjem binarnim datotekama, jer je njihovo rešenje isporučeno neispravno naručiocu.
Pomoglo bi da se zna i javno kaže kako se zove firma isporučilac, koja je za državni organ isporučila tako falično, neispravno i anti-Linux rešenje.
[ niceness @ 24.04.2014. 17:16 ] @
@zoranix
Ako te interesuje da li uopšte radi libnstpkcs11.so najlakše je instalirati 32-bitni linux u neku virtualnu mašinu, pa proslediti čitač kartica u taj VM i tako probati.
@minikola
Naravno da je to najbolje i zapravo jedino pravo rešenje, to je i Goran rekao u njegovoj poruci.
[ zoranix @ 25.04.2014. 07:55 ] @
@niceness za to bi trebalo da odvojim neko vreme koga nemam dovoljno na raspolaganju, a na kraju mi se smučilo da "idem na vetrenjače".
K`o što reče @minikola neka isprave kood i neka objave to. Ovako pojedinačno mnogo rasipamo energiju, dok bi neki programer mogao za par 10-tina minuta da reši problem. Pa čak i da je problem mnogo teže rešiti, trebalol je voditi projekat tako da se sve isproba na sve tri platforme (MAC OS X, Linux i Windows) i da se onda posao proglasi urađenim. Moj lični utisak je da se neko namerno ignorantski odnosi prema ostalim platformama, kao da one ne postoje. Opravdanje da Linux i MAC OS X čine zanemarljiv % udela na tržištu nije opravdan, kada se radi o državnom poslu. Nije na njima da prave diskriminaciju, već da se bore protiv nje i to treba da pokažu na delu, a ne kada samo neko napiše nešto protiv neke socijalne ili nacionalne kategorije stanovništva.
[ Dragan Dragan @ 19.05.2014. 07:25 ] @
Info: U petak 16.5.2014. Narodna banka Srbije (NBS) je organizovala savetovanje "Uvođenje softvera otvorenog koda u korisničko okruženje - iskustva i izazovi". Mnogo toga korisnog moglo je da se čuje i vidi. Sve pohvale za zaposlene iz NBS koji rade na implementaciji pomenutog projekta, kao i na njihovoj spremnosti da svoja iskustava podele sa predstavnicima banaka i osiguravajućih društava.
[ Dragan Dragan @ 21.05.2014. 14:38 ] @
[ nikolic.dragoslav.kg @ 23.05.2014. 07:37 ] @
Kod mene je sledeća situacija: Ubuntu 14.04LTS 64-bit, GemPlus čitač kartica, PTT sertifikat.
Instalirao sam samo SafeSign, koji sam dobio od gospode iz tehničke podrške PTT-a za koje imam samo reči hvale!
E sad, Firefox sam podesio prema uputstvu, koristi libaetpkss.so.3 datoteku.
Nakon toga, na isti način sam konfigurisao Thunderbird i krenuo da isprobavam redom.
Rezultati su sledeći:
1. Poreska Uprava - Učita se aplet, izbaci poruku da čiač kartica nije pronađen.
2. CROSO - ista situacija kao sa poreskom upravom, učita aplet i kartica nije pronađena.
3. e-uprava - Uloguje se bez ikakvih problema
4. Thunderbird, potpisivanje e-pošte radi besprekorno
5. Čak i Libre Office ima opciju za potpisivanje dokumenata i to radi bez problema.
Inače, mislim da je rešenje i java aplet radio ComTrade. Negde sam to čuo, ali ne znam gde..
(nadam se da će ga prilagoditi i nama) pa da stvarno to bude jedna lepa priča koja bi služila za primer.
A dok se ne nađe ršenje, VBox!
Pozdrav!
[ twiddle @ 27.05.2014. 15:27 ] @
Ja koristim OS X (Mavericks). Prvo, jedino je cert Pošte upotrebljiv (dolazi sa SafeSign softverom za Mac). Drugo, pod Mavericksom jedino pomaže FireFox (Preferences-Advanced-Certificates-Security Devices, pa se doda /usr/local/lib/libaetpkss.3.dylib). Sa tom konfiguracijom mogu da se ulogujem samo na portal eUprava. Portalu ePorezi i CROSO ne mogu ni da prismrdim, stvarno ne znam šta su tu petljali i kako su od gotovog napravili veresiju :) Takođe, na portalu eUprava ne funkcioniše modul za čitanje podataka sa lične karte (npr. kod servisa za zamenu vozačke dozvole). Ako neko ima neki savet, molio bi da ga podeli sa mnom :)
Pozdrav,
Sloba
[Ovu poruku je menjao twiddle dana 27.05.2014. u 20:00 GMT+1]
[ Dragan Dragan @ 28.05.2014. 10:10 ] @
Citat: nikolic.dragoslav.kg: Inače, mislim da je rešenje i java aplet radio ComTrade. Negde sam to čuo, ali ne znam gde..
Ko je autor java apleta na Portalu PU ( https://eporezi.poreskauprava.gov.rs) ili CROSO ( https://portal.croso.gov.rs/criscr) vidi se na formi koja se pojavljuje prilikom startovanja apleta ( Do you want to run this application? polje Publisher). Detaljniji podaci o autoru java apleta mogu da se očitaju kada se na pomenutoj formi pritisne na: More Information -> View Certificate Details -> izabere polje Subject sertifikata kojim je elektronski potpisan java aplet.
[ agvozden @ 28.05.2014. 10:18 ] @
mislim da za sve ovakve probleme treba maksimalno smarati drzavne organe.
Ljudi razmislite, ako vama ne radi sistem, sledi vam kazna. Kada poreskoj ne radi sistem nikom nista. Ja sam pausalac, pa me ovo ne obavezuje, ali da moram zahtevao bih eksplicitno uputsto o koriscenju setrifikata na softveru otvorenog koda.
Znam da je ovaj forum, pre svega, da pomogne ljudima da rese problem, ali kada citam vase postove, jezim se...
[ Mister Big Time @ 28.05.2014. 22:43 ] @
Takodje sam se mucio i mucio po ovom pitanju, ali uvek se nesto izkundacilo da bi radilo kako treba. Jednom sam samo uspeo da se ulogujem na CRSO portal, ali prilikom podnosenja prijave ponovo je zveknuo applet (Ubuntu/OracleJRE kao i openJDK).
Odgovori dobijeni i od jednih i od drugih vezano za ovu problematiku ++ neka zapazanja iz prakse:
- sve firme u Srbistanu koriste Windows okruzenje (?! komentar nije potreban)
- zvanicno PURS kaze da NEMAJU podrsku ni za sta drugo sem za Windows, na pitanje kako poslodavci sa 100+ zaposlenih i ni jednim jedinim vindozom u svom vlasnisrtvu da izvrse svoje zakonske obaveze (pojedinacna poreska prijava) odgovor je - ako frima ima toliko zaposlenih moze sebi da priusti i makar jednu licencu windowsa (no comment -> za preki sud! xD)
- ekipa koja radi softver i jednima i drugima nikada nije cula za postojanje openJDK-a npr. prema tome ne mozemo ocekivati nikakav napredak po pitanju Linux podrske (citaj dalje)
- dodatni otezavajuci realni faktor komtrejdu, sagi, aseku i ostalim enterparadajz profesionalcima u ovom pogledu jeste cinjenica u sta se oraklova vizija Jave pretvorila = shitware zbog cega kada izadje nova verzija JRE-a a izlazila je kao pecurke posle kise neretko domaci softverasi cesto nisu u stanju ni za Windows da brzo isprave da applet-i f-nisu, a nekmoli za nekakav GNU/Linux...
- EUROBANK (ex EFG) je na svojoj ebank aplikaciji zbog Oraklovih fazona sa JRE morala da ukine podrsku za sve sto nije Windows i IE (sem najnovijeg IE 11 koji nije podrzan :D), cak su sada omogucili da bez dig. potpisivanja tj. applet-a radi placanje kredita, kartica, kupovina deviza i prenos sredstava u okviru racuna kod iste ove banke... jer su im klijenti je**li sve po spisku sto ne mogu da placaju svoje kredite od kuce / iz kancelarije...
Zakljucak - tako je to kada padnete u ruke velikog crvenog dzina i koju tehnologiju nam drzava bira i upucava milione ojra zahvaljujuci svojim expertima, savetnicima i ostaloj bulumenti.. ali to je neka druga tema.
Jedino resenje je VirtualBox -> Window$e i vozi kada ti treba prijava i kod jednih i drugih.. xD
[ zoranix @ 29.05.2014. 14:55 ] @
Da sve firme u Srbistanu nemaju Windows pokazuje istraživanje Republičkog Zavoda za statistiku.
Naime u 2013. godini, po izvorima pomenutog RZZS i istraživanja koje su radili 2013. godine u martu i (mislim) aprilu, stoji da 19.2% firmi u srbiji koristi Linux. Ovo se naravno ne odnosi na % primene računara sa Linux OS, već samo da 19.2% firmi uopšte koristi Linux OS.
Na sreću je tačna tvoja tvrdnja @"Mister Big Time" za one firme sa 100 Linux računara u Srbiji. Moje partnerske firme zaista imaju jako veliki % Linux računara u svojim LAN-ovima i svi odreda imaju problem koji ti pominješ.
Na nesreću, jako malo se spolja predstavljaju sa Linux-om, jer su za to onemogućeni softverima koji ne rade na Linux-u. To može biti varka u očima onih koji to posmatraju i gledaju pomoću kojih OS-eva se pristupa Vladinim organima. Ipak ovo istraživanje RZZS je veoma bitno, a već u 2014. godini garantovano da je % veći nego u 2013. Taj trend rasta će se sigurno nastaviti, pa ga samo treba pospešivati.
Još 2013. je najavljivana podrška za Linux u drugoj polovini 2014. godine na forumima koji su održavani od strane e-uprave, ili firmi koje su zainteresovane (Paragraf Lex, Privredni savetnik, Računovodstvena praksa, CEKOS...). Tada je bilo reči da se nema vremena za disperziju na više OS, već se insistira na stabilizaciji rada i poboljšanju servisa e-uprave, a onda će se tobože podržati, najpre MAC OS, a zatim i Linux.
Videćemo...
U svakom slučaju treba ih bombardovati zahtevima, pa oni kada izrade podršku za Linux, izrade...
[ Mister Big Time @ 29.05.2014. 21:48 ] @
Tako nekako.
Znate li sta je najveci biser, tragedija apsurda ove price? To sto su to
web aplikacije, koje su po pravilu platform-independent. Cela ova
zahebancija je zbog krpeza od oraklove dzave koja ima jedinu f-ju koju
browseri nemaju - da procita sertifikat sa citaca kartica/kartice, proveri
lozinku privatnog kljuca i izracuna hash dig. potpisa....
Zato je pametnije resenje bilo ili ne-hardverski x509 privatni sertifikat
koji se instalira u browserski/sistemski key store ili nezavisni token
uredjaj..
Tako ljudima ni citaci kartica ne bi trebali...
Ali hajde da vidimo zasto ne moze ovo postojece da radi sa GNU okruzenja...
[ Dragan Dragan @ 30.05.2014. 08:46 ] @
Kao pozitivan primer, barem što se tiče mogućnosti prijave sa kvalifikovanim sertifikatom, treba istaći Portal eUprave ( http://www.euprava.gov.rs), jer na taj Portal mogu da se prijave sertifikatom korisnici sa Windows, Linux i MAC računara.
Na Web strani "Tehnicki uslovi" ( http://www.euprava.gov.rs/pomoc/tehnicki_uslovi), navedeno je sledeće: "Korišćenje Portala eUprava na Linux (Debian platformi) trenutno je moguće samo preko Firefox pretraživača.", što znači da su aplikativci i administratori Portala eUprave uspešno testirali Debian prijavu na Portal, pre nego što su tu rečenicu napisali na sajtu.
Citat: Mister Big Time:Zato je pametnije resenje bilo ili ne-hardverski x509 privatni sertifikat koji se instalira u browserski/sistemski key store ili nezavisni token uredjaj..
Korišćenje softverskih (ne-hardverskih) sertifikata u formatu PKCS#12 datoteke (.p12 ili .pfx), trebalo bi izbegavati iz najmanje 2 razloga:
1. Elektronski potpis takvim sertifikatom ne može da bude kvalifikovani potpis.
2. Mogućnost krađe elektronskog identiteta je mnogo veća nego kada se sertifikat nalazi na PKI smart kartici ili PKI smart tokenu. Ako neko napravi kopiju vašeg softverskog sertifikata (.p12 ili .pfx) vi niste ni svesni da vam je ukraden elektronski identitet, ali ako vam nestane smart kartica/USB token vi ste toga svesni, i podnećete sertifikacionom telu zahtev za opoziv sertifikata.
Međutim, u praksi se nekad pokaže da korišćenje sertifikata na smart kartici/USB tokenu nije primenljivo. Na primer, nije moguće primeniti masovno elektronsko potpisivanje (više od 2 potpisa u sekundi), zbog male procesorske snage smart kartice/USB tokena. U tom slučaju, najčešće se dozvoljava korišćenje softverskih sertifikata (.p12 ili .pfx).
Zanimljivo je da je na Portal eUprave moguća prijava softverskim sertifikatom (.p12 ili .pfx) koji po profilu odgovara kvalifikovanom sertifikatu, sa Android telefona ili tableta. Izdavanje takvih sertifikata nije dozvoljeno, ali ako se nekada bude dozvolilo, pomenuti Portal je spreman.
Softverski sertifikati se masovno koriste u Hrvatskoj za potrebe fiskalizacije ( http://www.fina.hr/fiskalizacija). Kako se kod njih preuzima softverski sertifikat pročitati u PDF uputstvu: "Radna uputa za preuzimanje certifikata za fiskalizaciju" ( http://www.fina.hr/lgs.axd?t=16&id=13596). Ako ovo uputstvo preuzmete bez ekstenzije, manuelno dodajte .pdf. [ Mister Big Time @ 01.06.2014. 22:19 ] @
Prakticno svi Debian derivati bi trebalo da rade na eUpravi, sto naravno pozdravljamo.
Tacno je da takav potpis na ne-hardverskom nosacu podataka nije kvalifikovani, ali avaj - zasto moja banka npr. dozvoljava upravo takvu upotrebu kao jedini vid pristupa za ficika lica?! Znaci neko moze da ti mazne sertifikat iz brauzera i da prebaci lovu na svoj racun.... dok je npr. moja prethodna banka koristila sertfifikat na mini cd-u sto je takodje glupost i igranje 'kvalifikovanih sertifikata i potpisa'.
Token je najelegantnije resenje, ali avaj i to je provaljeno kao i sve.. http://bits.blogs.nytimes.com/...=true&_type=blogs&_r=0
Citat: Dragan Dragan:
Međutim, u praksi se nekad pokaže da korišćenje sertifikata na smart kartici/USB tokenu nije primenljivo. Na primer, nije moguće primeniti masovno elektronsko potpisivanje (više od 2 potpisa u sekundi), zbog male procesorske snage smart kartice/USB tokena. U tom slučaju, najčešće se dozvoljava korišćenje softverskih sertifikata (.p12 ili .pfx).
Tako nekako, mada ima slucajeva u praksi gde se radila i masovna obrada sa smart karticom (jer baza i tako nije mogla da primi vise od 1 seta podataka u sekundi :D).
Hvala za linkove i ostale informacije!
[ niceness @ 04.06.2014. 19:26 ] @
Juče sam napokon zaseo i izmenio OpenJDK na osnovu Goranove poruke ( http://www.elitesecurity.org/p3434393).
Pošto sam i dalje na fedori najjednostavnije mi je bilo skinuti openjdk src rpm, raspakovati ga, napraviti potrebne izmeniti i pokrenuti build. Posle sam samo instalirao nove pakete umesto postojećih openjdk paketa.
Ima dosta uputstava na netu kako uraditi rebuild rpm-a za redhat/rpm bazirane distribucije, ali ako nekom treba mogu napisati malo detaljnije.
Probao sam logovanje na eporezi sa izmenjenim openjdk i radi. Nisam još probao podnošenje neke prijave tj. potpisivanje.
Nevezano za ovo gore, primetio sam jednu stvar oko java aplet login forme (na linuxu) još od ranije:
Prilikom prvog otvaranja eporezi stranice aplet se učita normalno i pojavi sa login forma koja traži pin (naravno ukoliko je kartica u čitaču).
Ako se stranica jednostavno refresh-uje ili ukoliko se uloguje na portal pa se posle izloguje (što sam sada probao - u suštinu u oba slučaja se aplet ponovo pokreće) na mestu login forme ostane samo sivi pravougaonik.
Kada se to desi ponekad pomaže vađenje kartice (nakon čega se pojavi poruka "Ubacite Vašu kartice...") i ponovno vraćanje kartice, ali ni to ne pomaže uvek.
Kao da se aplet "zaglupi".
Problem nije vezan za gore navedene izmene, dešava se i sa ne-modifikovanim openjdk, a koliko se sećam od ranije i sa oracle java (nisam sada probao).
Ovako nešto nisam primetio na windowsu. Možda je samo do sistema na kom sam testirao: Fedora 19, Firefox 29 (pre je bila neka starija verzija), OpenJDK 1.7 u55 (pre je bilo u51).
Jel se još nekom ovako nešto dešavalo dok je pokušavao poterati eporezi na linuxu? [ niceness @ 04.06.2014. 22:27 ] @
Zaboravio sam pitati nešto.
Jel možda bio neko juče na Infotechu? Kako sam saznao direktor poreske uprave je imao prezentaciju pa me interesuje o čemu se pričalo.
[ Dragan Dragan @ 05.06.2014. 08:22 ] @
INFOTECH 2014 Satnica ( http://www.infotech.org.rs/rs/satnica.html):
Utorak, 03.06.2014.
...
11:20 MINISTARSTVO FINANSIJA - PORESKA UPRAVA
"Projekat Objedinjene naplate poreza i doprinosa"
Saša Dulić, pomoćnik direktora PU
...
18:40 Seminar Privredne komore Srbije:
"Web Servisi – kvalifikovan sertifikat – elektronski potpis"
Moderator Dušan Berdić, Privredna komora Srbije [ niceness @ 04.08.2014. 10:34 ] @
Probao sam potpisivanje prijave na linux, još pre dve nedelje (PDV), ali sam potpuno zaboravio napisati ovde.
Sertifikat je trenutno ovlašten za dve firme pa su bile dve prijave PDV-a. Prva prijava/potpisivanje je prošla bez problema, sve isto kao na windowsu.
Druga prijava (koja je usledila malo kasnije) nije baš prošla kako treba, odnosno nije nikako. Prilikom samog potpisivanja java aplet bi se zaglupeo ili tačnije kao da je čekao na nešto. Pokušano nekoliko puta, ali svaki put je bilo isto, pa je na kraju potpisivanje završeno na windowsu. Jedna možda bitna stavka, tom prilikom je primećeno dosta duže vreme logovanje na portal i na windowsu i na linuxu. Možda je jednostavno trebalo sačekati malo duže.
Eto, nedovoljno za bilo kakav zaključak, ali ako hoćete probati funkioniše li kod vas - slobodno probajte, ne škodi ništa.
[ Goran Rakić @ 02.10.2014. 20:42 ] @
Naišao sam na novu PTT karticu (ATR 3b 7d 96 00 00 80 31 80 65 b0 83 11 d0 a9 83 00 90 00) koju aplet ne prepoznaje kao "PTT karticu". Njihov aplet tada na login formi ne ispisuje "Sertifikaciono telo PTT" i nema polja za unos PIN-a. Problem je što tada aplet umesto kroz PKCS#11 pokušava učitavanje kroz Microsoft CAPI čak i na Linuxu/Macu :(
Za tu karticu morao sam da instaliram vsmartcard (btw, ovo je sjajan projekat!) i napravim virtuelnu "proxy" karticu koja će umesto stvarnog podvaliti ATR koji će njihov aplet prepoznati... :(
Ako neko od programera apleta povremeno čita ovo, smilujte se na nas sirote Linux/Mac korisnike i dodajte ovaj kod u vaš aplet:
Code:
com.sw4i.smartbox.logic.SmartCardFactory
public SmartCard getSmartCard(Card card)
{
SmartCard ret = null;
String osName = System.getProperty("os.name");
if (!osName.contains("Windows"))
{
ret = new AnyCard();
ret.setCard(card);
ret.setChannel(card.getBasicChannel());
System.out.println("ANY");
return ret;
}
... continue ...
}
com.sw4i.smartbox.model.AnyCard
public KeyStore loadKeyStore(char[] pin)
throws IOException, NoSuchAlgorithmException, CertificateException,
KeyStoreException, NoSuchProviderException
{
String osName = System.getProperty("os.name");
if (osName.contains("Windows")) {
// On Windows, default to MS CAPI
System.out.println("SunMSCAPI");
Provider provider = Security.getProvider("SunMSCAPI");
KeyStore store = KeyStore.getInstance("Windows-MY", provider);
store.load(null, pin);
SmartCardLogic._fixAliases(store);
return store;
} else {
// On all other default to preconfigured PKCS11
System.out.println("SunPKCS11 name=SmartBox");
Provider provider = getProvider("SunPKCS11-SmartBox");
KeyStore store = KeyStore.getInstance("PKCS11", provider);
if (keyStore != null) {
store.load(null, pin);
System.out.print("KEYSTORE LOADED. PIN OK ;)");
return store;
}
}
}
[ Mister Big Time @ 03.10.2014. 09:54 ] @
Gorane, ko da doda taj kod? Izvodjaci koji rade /slash/ radili su ovaj projekat za Poresku?  Lepo je biti optimista, ali mislim da je to samo bajka za ocekivati :)
A i Vlada se obavezala da ce negovati brak sa M$-om, zato i gradjani treba da imaju iskljucivo M$ sisteme.... kakav MAC, GNU i ostali bakraci... :)
[ Goran Rakić @ 03.10.2014. 11:49 ] @
Citat: twiddle:
Takođe, na portalu eUprava ne funkcioniše modul za čitanje podataka sa lične karte (npr. kod servisa za zamenu vozačke dozvole). Ako neko ima neki savet, molio bi da ga podeli sa mnom :)
Tek sada vidim ovu poruku, ali problem je još uvek aktuelan. Pogledaj napomenu za Mac OS X u odeljku eUprava na http://jfreesteel.devbase.net/applet/
Jedno pratkično rešenje je da instaliraš Oracle Java JDK 8u20 umesto Oracle Java JRE 7u67 koja je standardno dostupna sa java.com. U pitanju je razvojni paket, ali dolazi sa novijom verzijom Jave. [ Mister Big Time @ 03.10.2014. 12:32 ] @
Kazes sa JRE/JDK serije 8 radi, a sa 7-icom ne radi? Hm... obicno bi bilo za ocekivati obratno od Orakla...
[ Goran Rakić @ 03.10.2014. 12:58 ] @
:)
[ Dragan Dragan @ 17.10.2014. 08:58 ] @
Danas u Privrednoj komori Beograda treba da se održi skup na temu "Kvalitet softvera":
http://www.kombeg.org.rs/aktivnosti/udr_informatike/Detaljnije.aspx?veza=13940
Cilj skupa je razmatranje predloga mera i standardizovanih procedura za tržište Srbije u oblasti utvrdjivanja kvaliteta softvera metodom profesionalnog testiranja softvera.
Što se tiče testiranja softvera, predlažem vam da isprobate sledeću DEMO aplikaciju "Signature applet" za elektronsko potpisivanje:
http://dgmarkt-dss.arhs-developments.com/dss-demo-webapp/home
Pristup sertifikatu na smart kartici/tokenu, može da se sprovede u zavisnosti od operativnog sistema:
1. Windows: preko MS CAPI ili PKCS#11 (aetpkss1.dll). Za korisnika je jednostavniji pristup preko MS CAPI.
2. Linux: preko PKCS#11 (libaetpkss.so.3).
3. MAC OS X: preko PKCS#11 (libaetpkss.dylib).
Dva ograničenja kod postojeće verzije (4.2.0-RC) te aplikacije:
1. Ako na računaru korisnika postoje 2 ili više čitača kartica, korisnik može da radi e-potpisivanje samo ako je smart kartica u čitaču koji je prvi u nizu. Redosled čitača može da se pregleda sa A.E.T. SafeSign Token Administration Utility ili Mozilla Firefox Security Devices. Menadžer aplikacije je upoznat sa ovim ograničenjem, i dao je obaveštenje da će ispravka biti uključena u road map za sledeću godinu.
2. Ne može da se koristi Internet Explorer 11.
Joinup link za pomenutu aplikaciju (Digital Signature Service):
https://joinup.ec.europa.eu/asset/sd-dss/home
Srećno kod testiranja. [ Dragan Dragan @ 07.11.2014. 13:37 ] @
Ova tema je posvećena pre svega Linux korisnicima i problemima koje imaju prilikom korišćenja sertifikata u radu sa pojedinim elektronskim servisima. Slične probleme imaju i MAC OS X korisnici. Windows korisnici su boljoj poziciji, ali i oni se susreću sa raznim ograničenjima i problemima.
Možda je rešenje mnogih postojećih problema u radu sa elektronskim sertifikatim i servisima, uvođenje "Kvalifikovanog elektronskog sertifikata/potpisa u oblaku". Naime, usvajanjem nove eIDAS EU Uredbe (REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC), omogućeno je da se sredstva za kreiranje elektronskog potpisa daju na čuvanje trećoj strani, kao i korišćenje udaljenog elektronskog potpisa. Pogledajte u uvodnom delu Uredbe tačke (51) i (52).
Uredba može da se preuzme sa sledeće adrese (ako je nekome teško da čita na engleskom, ima na HR):
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2014.257.01.0073.01.ENG
Uredba će 1.7.2016. staviti van snage EU Direktivu 1999/93/EC o elektronskom potpisu.
Koncept "Kvalifikovanog elektronskog sertifikata/potpisa u oblaku" je da se tajni (privatni) ključ korisnika ne nalazi na PKI smart kartici (tokenu) koja je u fizičkom posedu korisnika, već da se nalazi u HSM (Hardware Security Module) uređaju koji je lociran u sertifikacionom telu (ili nekoj trećoj strani), i da se u HSM uređaju vrši potpisivanje. U HSM uređaju bi se nalazili tajni (privatni) ključevi svih korisnika kojima su izdati sertifikati, u okviru tzv. virtuelnih kartica. Prednosti takvog koncepta su:
1. Generisanje ključeva i sertifikata korisnika u virtuelnim karticama HSM uređaja je mnogo brže i jednostavnije, u odnosu na korišćenje fizičkih smart kartica (tokena).
2. Nema kupovine i distribucije smart kartica (tokena) korisnicima.
3. Nema blokiranja smart kartica (tokena).
4. Nema gubitka ili oštećenja smart kartica (tokena).
5. Nema instalacije čitača smart kartica (tokena).
Kod tog koncepta potrebno je obezbediti:
1. Da je HSM uređaj, koji sadrži virtuelne kartice korisnika, priznat kao SSCD (Secure Signature Creation Device).
2. Da samo korisnik ima pristup svojoj virtuelnoj kartici tj. svom tajnom (privatnom) ključu, uz odgovarajuću autentifikaciju prilikom pristupa/korišćenja tajnog ključa.
3. Da postoji klijentski softver koji je potrebno instalisati na računaru korisnika, a koji omogućava korišćenje elektronskih sertifikata iz virtuelnih kartica.
Evropski institut za standarde iz oblasti telekomunikacija (ETSI) je 14.3.2013. održao Workshop na temu "Signatures in the Cloud":
http://docbox.etsi.org/Workshop/2013/201303_SIGNATURES_IN_CLOUD/
Obratite pažnju na prezentaciju: "1c-Izenpe-SafeLayer-Signing-in-the-cloud.pdf".
Neke kompanije već sada proizvode takve HSM uređaje za koje tvrde da su u saglasnosti sa postojećom EU Direktivom za e-potpis i novom eIDAS EU Uredbom, i da su njihovi HSM uređaji za "sertifikat/potpis u oblaku" priznati u nekim EU državama kao SSCD. [ Dragan Dragan @ 09.12.2014. 08:04 ] @
[ Dragan Dragan @ 03.04.2015. 12:27 ] @
Zdravo
Pretpostavljam da je neko od učesnika na ovom forumu imao prilike da koristi APR FI aplikaciju za predaju finansijskih izveštaja ( http://www.apr.gov.rs/portals/0/gfi%202015/tehnickadokumentacija/tehnicko%20uputstvo.pdf).
Pitanje: Da li je neko uspeo sa Windows računara koji Internetu pristupa preko proxy servera, da elektronski potpiše finansijski izveštaj kroz APR FI aplikaciju? [ drvlada75 @ 03.04.2015. 13:56 ] @
Uspeli smo.
Pristupali smo preko proxy servera  [ Dragan Dragan @ 03.04.2015. 14:12 ] @
Ja sam od jednog kolege danas dobio mail u vezi APR FI aplikacije: "Uspeli smo da elektrnoski potpišemo zahtev, tek kada smo se prijavili sa računara koji ne izlazi na internet preko proxy servera.".
[ drvlada75 @ 03.04.2015. 14:14 ] @
Zavisi kako su namesteni portovi na proksiju, koji se saobracaj propusta a koji ne.
[ kafka1325 @ 18.08.2015. 07:32 ] @
Pozdrav,
trenutno imam problem sa Portal eUprava...koristim Xubuntu, i nemam problema sa prijavom sertifikatom, ali mi se problem javlja kada pokušavam da pokrenem neku elektronsku uslugu:
Napominjem da sam uspeo da instaliram stariju verziju Reader-a ( http://ubuntuhandbook.org/inde...all-adobe-reader-ubuntu-14-10/). Podesio sam da sve enable na samom Portalu:
Pre je sa ovim podešavanjima uspevalo da pokrene uslugu, posle par F5, ali sada neće ni da mrdne. Izvođači koliko sam razumeo ne žele da "olabave" preduslove u vezi pdf a ekvivaletni pdf čitač zapravo i ne postoji... [ anon142305 @ 03.09.2015. 12:57 ] @
Na kompjuteru (WIN 7, 64 bit) napravio sam problem, pa ako neko moze da mi pomogne.
Mozilla FF je dosta kocila, pa sam obrisao par add-onsa, i nekih zaostalih programa u Windowsu.
Bilo je instalirano i mnogo verzija Jave, pa sam i to pobrisao i instalirao poslednju verziju, odavde:
http://www.filehippo.com/download_jre_64/
Otad, ne moze se ulogovati na sajt Poreske uprave, daje ovu gresku:
Instalirao sam Javu odavde: http://www.oracle.com/technetw...ds/jdk8-downloads-2133151.html
ali opet nista.
Moze li mi neko pomoci, sta da radim u ovom slucaju?
Palo mi je na pamet da u brisanju iz Control Panela, nisam nesto pogresno uradio...?
[ anon142305 @ 03.09.2015. 13:03 ] @
Ups, pogresan podforum, izvinjavam se!
Kopiracu poruku u odgovarajuci, a ova se onda moze brisati.
[ minikola @ 03.09.2015. 23:09 ] @
Za 64-bitni pregledač treba 64-bitna Java, za 32-bitni treba 32-bitna.
Proveri redosled instalacije (mislim da je prvo 32 pa 64) na stranama za preuzimanje.
[ DragoljubBozic @ 01.04.2016. 23:05 ] @
Da li je možda od poslednjih poruka o potpisivanju el. sertifikatom u e-porezima, APR i CROSO sa Linux sistema nešto rešeno dosad? Imam sertifikat MUP-a pa me interesuje da li je moguće potpisivanje sa bilo kog Linux sistema.
[ Dragan Dragan @ 08.04.2016. 12:52 ] @
@DragoljubBozic
Da li sa svojim MUP sertifikatom sa svog Linux sistema možeš da se prijaviš na Portal e-Uprave ( http://www.euprava.gov.rs/prijava)? [ Paxy @ 13.10.2016. 17:34 ] @
Malo ozivljavam staru temu, ali kako je problem raspolozivosti PKCS#11 biblioteke za Linux idalje aktuelan ..... tema i treba dalje da zivi.
I moje je pitanje da li je ko, i bilo kako, uspeo koristiti MUP sertifikate pod Linuxom.
Osim projekta PKCS11-proxy koji ustvari koristi PKCS11 iz windowsa pa preko mreze salje komunikaciju u Linux, drugo neko resenje jos nisam nasao ( https://github.com/SUNET/pkcs11-proxy).
Idalje je najprakticnije resenje VM sa Windowsom gde se obavljaju poslovi sa El. potpisom.
Postoje svedocenja da libaetpkss.so.3 radi sa PTT karticama, ali ista bilioteka ne vidi sertifikate na MUPovoj kartici.
Izgleda da je opet potrebno vrsiti pritisak na MUP i NetSet da objave PKCS11 bibiloteke ali ovaj put za Linux. [ drvlada75 @ 26.05.2017. 13:16 ] @
Juče se pojavila nova aplikacija za podnošenje poreskih prijava na sajtu poreske uprave:
http://www.poreskauprava.gov.r...sniji-rad-portala-eporezi.html
Iako na sajtu Poreske uprave pise da je tehnički uslov za korišćenje aplikacije Windows XP SP3 ili noviji, nisam uspeo da na Windows XP SP 3 sistemu uspešno pokrenem aplikaciju tj. čitač kartice i kartica su prepoznati međutim, povezivanje sa sajtom Poreske uprave nije uspelo.
Što se tiče sertifikata, na Windows 7 računarima na kojima je instalirano elektronsko plaćanje i imaju Halcom sertifikat, potrebno je na početku isključiti elektronsko plaćanje, isključiti program Nexus personal a zatim instalirati program Eporezi.
Što se tiče PTT sertifikata, na Windows 7 nije bilo problema.
MUP sertifikat koji je do sada bez problema radio na Windows 7 računaru u aplikaciji ne radi kako treba. Po usmenom uputstvu iz Poreske uprave, potrebno je obrisati sve MUP sertifikate iz računara, preuzeti aplikacije iz plavog polja na sajtu sa MUP softverom pod rednim brojevima 2,4 i 5 i ponovo instalirati aplikacije i sertifikate.
Da li je neko uspeo da podnese prijavu iz Windows XP sistema ?
[ .LoG @ 29.05.2017. 20:41 ] @
Danas sam ja potpisao sa Windows XP SP3 sistema ali nisam siguran čija je bila kartica.
Pošto je, nakon "podnesi prijavu", Internet explorer samo stajao sa praznim prozor, sa Connecting, pozvao sam poresku.
Žena iz podrške mi reče da prebacim na Firefox kao default pretraživač i sve prođe normalno.
[ Goran Rakić @ 29.05.2017. 20:56 ] @
Sa novom klijentskom aplikacijom dostupno je i novo alternativno rešenje za Linux korisnike
https://gist.github.com/grakic/32af1e15ec626cae1e5e17e3c146c486
[ drvlada75 @ 31.05.2017. 07:49 ] @
Resio sam problem sa Windows XP-om i sertifikatima. Pojavilo se uputstvo na sajtu Poreske uprave http://www.purs.gov.rs/sw4i/download/files/cms/attach?id=750 gde se navodi da treba obrisati sve do tada ubacene sertifikate iz racunara sa kojim se radi na elektronskoj predaji poreskih prijava. Obrisao sve, ubacio ovaj jedan - sve proslo bez problema. [ Branimir Maksimovic @ 26.08.2017. 08:47 ] @
Kako je ovaj bot prosao registraciju?
[ ademare @ 26.08.2017. 12:09 ] @
Kupuj Plasticni Rolex dok ima
Verovatno ima Kvalifikovani sertifikat Pošte 
[ maksvel @ 26.08.2017. 15:45 ] @
Ubi čovjek, valjda će ga eliminisati.
[ Texas Instruments @ 16.10.2019. 15:49 ] @
Taman nateram čitač (Gemalto) da radi preko VirtualBox-a u Windows 10 i Čelik radi bez problema, kad ono aplikacija ePorezi zbog koje ovo sve i radim ovako izgleda.
Da li je neko imao ovakav problem, monitor je 4K rezolucija, a nisam windows koristio od verzije 7? Pokušavao sam da pokrenem u compatibility mode, ali i dalje ovako izgleda. [ Texas Instruments @ 18.10.2019. 00:05 ] @
U principu, ovo mi i nije toliko bitno jer se pojavi popup prozor gde treba da unesem PIN sa lične karte i to je to. Ali i dalje me čudi zašto se ovako prikazuje.
[ vorkosign @ 27.12.2023. 23:27 ] @
to je zato jer koristis
emulator VM na windows.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|
