Novi zapisi iz iste kategorije:
Mart 2011.Elektronski potpis, pogled na propise

U nastavku, zapis iz januara 2009. godine:

U februaru 2005. godine nije me mrzelo da odem na predavanje u Centar za razvoj IT-a Beogradske otvorene škole pod nazivom „Čemu služi i kako se koristi elektronski potpis“. Na predavanju je bilo reči o infrastrukturi zasnovanoj na paru javnog i tajnog ključa, standarnoj priči o Alisi, Bobu i Iv (nakon wiki članka pogledajte i ovu duhovitu epizodu XKCD stripa), i neophodnosti usvajanja podzakonskih akata. Zaključak je bio da ćemo do kraja godine imati nove lične karte i onda će organi državne uprave jurnuti da prezentuju servise na kojima će privreda i građani koristiti elektronski potpis. O svemu tome pisao sam na blogu u zapisu „Čemu služi i kako se koristi elektronski potpis“.

Slika olovke u ruci, nule i jedinice u pozadiniDanas taj zapis ima ubedljivo najveći broj dolaznih klikova sa gugla u odnosu na sve druge zapise na ovom blogu, što je i očekivano imajući u vidu privlačan naslov. Međutim, ni pretpostavljao nisam da ću četiri godine kasnije zaključak moći da skoro potpuno prepišem.

Premotavamo na 2009. godinu. Društvo za informatiku Srbije i Privredna komora Srbije danas su organizovali okrugli sto o primeni elektronskog potpisa. U potpuno ispunjenu salu sam stigao par minuta posle 11h, Jelena Jovanović iz PKS je već započela uvodnu reč.

U decembru je Pošta krenula sa izdavanjem kvalifikovanih sertifikata, a akreditaciju bi voleli da dobiju Privredna komora Srbije i MUP. Đuro Vojnović iz PKS rekao je (na žalost ne mogu da proverim njegovu tačnu funkciju jer sajt komore zabranjuje korišćenje Fajerfoksa što je čudno i pomalo sramotno jer upravo su se iz PKS danas pozivali na interoperabilnost) kako je cilj Komore da svim članicama (a to su koliko mi je poznato još uvek po automatizmu svi privredni subjekti) besplatno dodeli PKI sertifikate. Ostalo je nejasno ko će u preduzećima dobiti sertifikate, sa kojim rokom važenja, i na koji način će Komora prikupiti novac za obavezno osiguranje.

Posmatrano sa strane, naročito ako se izbaci uslov obaveznog osiguranja i podzakonskih akata, izgleda mi da bi takva akcija direktno ugrožava poslovne interese CePP-a Pošte, iako sam svestan da u poslu izdavanja sertifikata mora postojati zdrava konkurencija. Dragan Spasić iz PTT-a se na to nije osvrtao i u izlaganju je ukratko protrčao kroz proces izdavanja sertifikata.

U decembru prošle godine Mreža za slobodni softver Srbije se dopisom obratila sertifikacionom telu Pošte povodom korišćenja kvalifikovanih sertifikata na GNU/Linuksu i u slobodnom kancelarijskom paketu OpenOffice.org. Meni je bila novost kada sam saznao, a Dragan je i danas na skupu ponovio, da kvalifikovani sertifikat nije dovoljan da bi i potpis isto to bio. Postoji pravilnik MTID-a o tehničko-tehnološkim uslovima koje mora da ispuni softver za izradu kvalifikovanog elektronskog potpisa (član 9, 10 i 11), iako je potpuno nejasno u čijoj nadležnosti (MTID, sertifikaciono telo, kreatori servisa ili krajnji korisnici) je da proveri da li je softver u skladu sa pravilnikom.

Za sada potpis napravljen popularnim programima (OpenOffice.org, Microsoft Office, Adobe Reader, Gnome Evolution, Microsoft Outlook...) nije kvalifikovan čak i ako se koristi kvalifikovani sertifikat. GNU/Linuks korisnici mogu od Pošte dobiti AET SafeSign ID midlver klijent za GNU/Linuks koji se integriše u Moziline preglednike i sve programe koji ga koriste, mada u Mreži za slobodni softver Srbije nismo imali priliku da isti testiramo.

Potpuno sam uveren da će taj podzakonski akt biti izmenjen jer je nemoguće očekivati razmenu elektronskih dokumenata ako svako sertifikaciono telo koristi specifičan softver za izradu potpisa. Pri tome proces priznavanja bi morao da omogući jednak tretman kako za vlasnička rešenja tako i za rešenja slobodnog softvera bilo da su autori velike softverske kompanije, nezavisni proizvođači ili zajednice korisnika. Ne znam kako je problem rešen u inostranstvu. U svakom slučaju mi smo u OpenOffice.org zajednici inicirali proceduru dorade kako bi bili ispunjeni uslovi iz člana 11 pravilnika tako da ćemo na vreme imati rešenje za naše korisnike.

Na galeriji smo imali priliku i da na kratko navijamo u raspravi Zorana Savića (NetSet Global Solutions) i Dragana iz Pošte o organizaciji sertifikacionih tela, a u čemu se prirodno, ali veoma uzdržano našao i Sloba Marković (savetnik Ministarke za telekomunikacije i informaciono društvo). Zoran je imao odlično i veoma informativno izlaganje na temu provere verodostojnosti el. potpisa i infrastrukture javnih ključeva (PKI), ali je do neslaganje došlo kada je ponovo izneo zahtev za postojanje korenskog državnog sertifikacionog tela.

PKI je hijerarhijska stvar. U praksi Pošta kao sertifikaciono telo ima svoj par javnog i tajnog ključa čiji tajni deo vredi „suvo zlato“ (negde pročitah duhovitu opasku da formalno govoreći vredi po gramu daleko više!). Svako ko želi da koristi ili proveri sertifikat koji je Pošta izdala mora da uveze javni deo sertifikata. Pošta sebi pravi podsertifikat i koristi ga da potpisuje zahteve. Zavisno od organizacije između krajnjeg sertifikata i poštinog korenskog sertfikata može biti veliko stablo. Pri proveri validnosti sertifikata potrebno je proveriti da li je bilo koji u hijerarhiji možda opozvan.

Problem nastaje kada treba proveriti sertifikat koji je izdalo drugo sertifikaciono telo. Ukoliko ne postoji međusertifikacija njihovih potpisa, posao je krajnjeg korisnika da uveze korenske sertifikate svih sertifikacionih tela, a u slučaju dinamičke provere (a ne preko liste opozvanih sertifikata) i da proveri validnost preko softvera različitih sertifikacionih tela. Zato Zoran predlaže formiranje državnog korenskog sertifikacionog tela kome bi sva druga bila podređena.

Ono što mene brine jeste sigurnost takvog sistema. U decembru je na Chaos Communication Congress u Berlinu (ja sam bio sprečen ove godine, bio sam prošle i preporučujem svima da odu makar jednom!) grupa istraživača predstavila metod za izradu lažnog privatnog dela ključa koji odgovara javnom ključu sertifikacionog tela i može se koristiti za izdavanje lažnih sertifikata koje se ni po čemu ne razlikuju od onih koje izdaje sertifikaciono telo (pogledajte šematski prikaz). Ovo funkcioniše samo u slučaju da sertifikaciono telo koristi stariji MD5 algoritam heširanja koji se od pre oko godinu dana smatra nedovoljno sigurnim.

U slučaju da postoji jedno korensko sertifikaciono telo to znači da se svi ikada izdati sertifikati moraju opozvati, da ne govorim o šteti od mogućih zloupotreba. Za bojažljive, treba istaći da je lakše zloupotrebiti klasičan potpis, a u svakom slučaju reč je o krivičnom delu falsifikovanja.

SHA-1 algoritam koji se daleko češće koristi je predmet višegodišnjeg istraživanja grupe kineskih naučnika koji od 2005. godine beleže sve upotrebljivije rezultate. Nema nikakvih garancija da se slično vremenom neće dogoditi i za SHA-2 ili šta god NSA već vremenom smisli.

Distribucijom sertifikacionih tela koji koriste različitu (ali interoperabilnu) tehnologiju smanjuje se rizik da sigurnost celokupnog sistema bude kompromitovana odjednom. Uloga Ministarstva može biti na donošenju pravilnika za obaveznu međusertifikaciju sertifikacionih tela (gde se međusertifikati u svakom trenutku mogu opozvati), što može biti korisno krajnjim korisnicima, ali verujem da dalje ne treba ići. Nikola Marković iz Društva za informatiku je ostavio mogućnost organizovanja novog skupa sa ovom tematikom, Dragan je insistirao da je to završena priča i da je Pošta već formirala infrastrukturu. Ja bih se složio sa Draganom.

 

 

Isečci snimka ekrana sajtova epractice.eu, ec.europa.eu/idabc i osor.eu

Iskustva e-uprave iz EU: epractice.eu, ec.europa.eu/idabc i osor.eu
Čemu elektronski potpis služi ako nema servisa?

 

I tako dođosmo do ni za četiri godine neodgovorenog pitanja: „Čemu to služi?“. Saša Pivalica (savetnik za IT u Ministarstvu za državnu upravu i lokalnu samoupravu) iako najavljen, nije bio na skupu, i naravno ispao je on kriv što ne postoje servisi e-uprave gde bi se koristio el. potpis. Šalu na stranu, nepostojanje servisa jeste realnost.

Elektronsko poslovanje neosporno ubrzava poslovanje i donosi uštede, a neosporno postoji zainteresovanost i privrede i javnosti. Dovoljno je pogledati kako je elektronsko bankarstvo brzo zaživelo, da ne pominjem još raniju primenu elektronskih telnet servisa u okviru Službe društvenog knjigovodstva/Zavoda za platni promet. Žarko Vukadinović iz BankaIntesa istakao je da imaju 50.000 aktivnih elektronskih sertifikata (nekvalifikovanih, ugovorima između banke i klijenta je regulisana primena u toj zatvorenoj grupi).

Iako je bilo reči o NBS, na skupu nije rečeno da od ove godine NBS prikuplja godišnje izveštaje elektronski, ali zbog ne priznavanja el. potpisa i dalje traži i dostavljanje na papiru. (Ponovo program ne radi na GNU/Linuks platformi! Od korisnika smo dobili šablon OpenOffice.org Račun/Calc tablice za pripremu bilansa i grupisanje po AOP brojevima, ali za samo slanje mora se koristiti Microsoft Windows. Šteta, jer je jasna dobra namera NBS, ali izgleda da moramo biti aktivniji u formiranju svesti o značaju interoperabilnosti).

Kako to obično biva, a ne daleko od šale koju pre par rečenica „sklonih na stranu“ glavna diskusija je odlutala na potpuno nekonstruktivno traženje krivca. Ko je kriv za nisku IT pismenost, ko je kriv za nepostojanje Zakona o elektronskom dokumentu (moglo se čuti da MTID radi na ovome, očekuju ulazak u skupštinsku proceduru u prvoj polovini ove godine), ko je kriv što se program elektronske sednice Vlade ne sprovodi brže, ko je kriv za nepostojanje servisa... Znak Ministarstva finansija Republike Srbije

Ostalo je nerazjašnjeno da li uprave u sastavu Ministarstva finansija (poreska, uprava carina,...) priznaju elektronski potpisane dokumente bez Zakona o elektronskom dokumentu. Ako je kojim slučajem odgovor odrečan uprkos odredbi o jednakoj pravosnažnosti elektronskog i običnog potpisa, moje je mišljenje da do naredne godine nema ništa od primene potpisa u poslovanju i jedino elektronskoj razmeni sa državnim organima možemo da se nadamo.

 

Dakle ostajemo čekajući „korak treći“...

 

Maca gleda kroz prozor

 

Ako želite da se u međuvremenu poigrate, CAcert.org je organizacija koja potpuno besplatno izdaje (nekvalifikovane po našem Zakonu) X.509 sertifikate. Dovoljno je proći kroz proces autentifikacije (obavezna je fizička provera dokumenata). Uskoro će se njihovi korenski sertifikati naći i u Mozilinom Fajerfoksu i Microsoft Internet Exploreru pa nema nikakvog opravdanja da koristite samopotpisane sertifikate koji ne doprinose sigurnosti i zbunjuju korisnike.

Raniji zapisi na blogu iz iste kategorije:
Februar 2005.Čemu služi i kako se koristi elektronski potpis