Informacioni sistem APR-a za dostavljanje finansijskih izveštaja ove godine dolazi sa novom klijentskom aplikacijom NexU-APR koja se koristi za pristup kriptografskom uređaju za formiranje potpisa (token ili pametna kartica). Kako autori opisuju:

Ovo je aplikacija za formiranje elektronski potpisanih dokumenata iz internet pregledača, na klijentskoj strani. Rešenje je bazirano na DSS radnom okviru i NexU aplikaciji, čiji je naručilac Evropska komisija, a implementator kompanija Nowina Solutions.

Evropski Digital Signature Service je projekat slobodnog softvera koji nudi sveobuhvatno rešenje za izradu, proveru i čuvanje elektronskih potpisa u različitim formatima. Poseban akcenat projekta je priprema potpisanih dokumenata za dugoročno arhiviranje.

Klijentska aplikacija NexU izvorno podržava Microsoft Windows, GNU/Linux i macOS, ali je u domaćoj verziji aplikacija zvanično podržana samo na Windowsu, i to verzijama od Windows 7.

Ipak, programeri su ostavili konfiguraciju za učitavanje midlvera Pošte na GNU/Linuxu. Sertifikaciono telo Pošte je jedino domaće sertifikaciono telo koje izdaje kvalifikovane sertifikate za elektronski potpis (KES) sa midlverom koji radi na macOS-u i GNU/Linuxu.

To znači da je informacioni sistem APR-a i potpisivanje dokumenata preko aplikacije moguće koristiti i na GNU/Linuxu. Bez ikakvih izmena prepakovao sam aplikaciju NexU-APR i priredio instalacioni paket za Debian/Ubuntu koji sadrži i zgodnu skripticu za pokretanje. Dostupna je i obična .tar.gz arhiva za ostale distribucije. Moguće bi bilo napraviti i macOS instalaciju, ali nemam hardver na kome bih to učinio.

SafeSign midlver

Za korišćenje aplikacije je neophodno da instalirate AET SafeSign midlver koji tražite od Pošte. Alternativno instalaciju midlvera možete naći i na internetu, najčešće na brazilskim sajtovima gde je državno korišćenje GNU/Linuxa daleko veće nego kod nas.

Poslednja verzija midlvera koju ja imam je dosta stara 3.0.97 i na novijim Ubuntu distribucijama potrebno je instalirati stare libtiff4, libwxbase2.8 i libwxgtk2.8 pakete. Oni se takođe lako pronalaze na pomenutim sajtovima. Pokrenite tokenadmin da proverite instalaciju čitača i midlvera, te da li vidite sertifikat u listi.

NexU APR klijentska aplikacija

NexUApr (1.0)

Instalacioni paket za Ubuntu/Debian

Za druge distribucije dostupna je obična arhiva NexUApr-1.0.tar.gz koju preporučujem da raspakujete u /opt kako ne bi morali da menjate putanje u skripti za pokretanje. Program zahteva java-jre i zenity, a midlver traži još i pcscd.

Nakon instalacije pokrenite NexUApr prečicu. Aplikacija pri prvom pokretanju generiše par ključeva i samopotpisani localhost sertifikat koji je potrebno da dodate u veb pregledaču. Alternativno možete dodati sigurnosni izuzetak bez instalacije sertifikata.

Korišćenje samopotpisanog sertifikata i klijentske aplikacije je postalo uobičajno rešenje umesto ranije korišćenih Java apleta. Sertifikat je neophodan kako bi se ostvarila komunikacija između veb aplikacije na HTTPS protokolu i lokalnog servera koji time mora takođe da implementira HTTPS protokol. Par ključeva i sertifikat mogu biti generisani unapred (zajednički za sve korisnike) što olakšava instalaciju (kod nas primer je CROSO) ili kao u slučaju NexU aplikacije da se generišu pri prvom pokretanju. Aplikacija bi teorijski mogla da sertifikat/izuzetak postavi samostalno, bez potrebe za intervencijom korisnika, ali u praksi postoji prevelika raznolikost odgovarajućih skladišta, putanja instalacije, profila i verzija veb pregledača.

Rešenja zasnovana na Native Messaging tehnologiji ne traže dodavanje izuzetaka, ali umesto jedne komponente (klijentska aplikacija) dolaze u dva dela (aplikacija i ekstenzija za veb pregledač) pa je potrebno posebno pakovanje za Chrome, Firefox, Edge (ako postane podržan).

Vratimo se APR aplikaciji, pri pokretanju skripta će prikazati sledeće prozorče:

Bezbednosno obe opcije su jednake i u ovom slučaju ne predstavljaju rizik. Ako odaberete opciju da dodate izuzetak prikazaće se localhost link koji treba da otvorite u veb pregledaču. Mozilla Firefox nudi opciju dodavanja izuzetka nakon što kliknete na dugme Advanced pa Add Exception, dok Google Chrome traži da „na slepo“ ukucate badidea.

Nakon što dodate izuzetak umesto upozorenja, prikazaće se ikonica aplikacije. To je potvrda da je komunikacija omogućena.

Ukoliko se opredelite da instalirate sertifikat, sačuvajte datoteku i zatim iz terminala programom certutil dodajte sertifikat u odgovrajuće skladište za Google Chrome, odnosno Mozilla Firefox. Skoro sigurno će biti lakše dodati izuzetak, a u Firefoxu između dva i ne postoji razlika pošto dodavanje izuzetka zapravo upravo dodaje sertifikat aplikacije.

Kada ste završili instalaciju možete da pristupite APR aplikaciji za elektronsko potpisivanje dokumenata. Otvorite stranicu aplikacije i klikom na Pokreni potpisivanje možete da odaberete PDF ili XML datoteku sa računara.

U prozoru za izbor tokena trebalo bi da već bude prepoznato sertifikaciono telo Pošte, zajedno sa parametrima za pristup midlveru (/usr/lib/libaetpkss.so.3).

Unesite PIN, izaberite sertifikat i sačuvajte potpisani dokument. Detaljnu proveru potpisa možete da obavite preko demo instalacije aplikacije za validaciju iz pomenutog evropskog DSS ili na Windowsu u programu Adobe Reader.

Slobodan softver uglavnom podržava proveru i zanavljanje potpisa na strani servera, ili su u pitanju rešenja namenjena drugim programerima. Gotovi programi namenjeni korisnicima su malobrojni. Za izradu potpisanog PDF-a mogu da se koriste programi LibreOffice i jSignPdf.

Program pdfsig iz projekta poppler ima osnovnu PAdES implementaciju. Ukoliko bi se podrška unapredila, potpis bi mogao da bude prikazivan i validiran direktno u popularnim programima za prikaz PDF dokumenata kao što su evince ili kpdf. Nešto bolja podrška od nedavno postoji u LibreOfficu, ali ni on nije u mogućnosti da validira potpis iz APR-a.

Neobično je što dokument potpisan na ovaj način nema ugrađen vremenski žig što bi APR svakako bio u mogućnosti da obezbedi u okviru postojeće državne infrastrukture, za razliku od korisnika koji tu uslugu moraju dodatno da plate. Na taj način bi se izbegla situacija da potpis prestaje da važi istekom ili opozivom sertifikata što se kod nekih drugih e-servisa (Fond PIO) već javljalo kao problem iz prakse. Potpis se dodaje kao „nevidljivi“ potpis i odnosi se na ceo dokument.

✎ Dodaj komentar

8 komentara

14 feb 2017 Anonymous

Kao veliki ljubitelj Linuxa, za ovo skidam kapu.

18 feb 2017 Blazo

Nemam poštin sertifikat ali zar on po "defaultu" ne radi na Linuxu? Ili radi, a ne može se potpisati dokument??? Može malo objašnjenje. Hvala.

19 feb 2017 Goran Rakić

Sertifikat „radi“. Kada instalirate SafeSign midlver možete npr. da potpisujete dokumente u Libreofisu ili programčetom jSignpdf. Kao što vidite sertifikat nije dovoljan, morate imati i program u kome vršite potpisivanje.

Agencija za privredne registre u svom informacionom sistemu (veb aplikaciji) za predaju finansijskih izveštaja potpisivanje realizuje preko pomoćne aplikacije NexU-APR. Kroz ovu aplikaciju možete da potpisujete PDF dokumente (što možete i drugim programima), ali je aplikacija neophodna za potpisivanje konačnog XML dokumenta za podnošenje izveštaja.

APR ovu aplikaciju izvorno distribuira samo za Windows, iako u sebi sadrži i podršku za Linux. Ovim paketom sam prilagodio aplikaciju kako bi i na Linuxu mogla da se instalira i koristi.

21 feb 2017 Željko

Pitanje:Da li aplikacija DEFINITIVNO ne može da radi na XP-u?

22 feb 2017 Goran Rakić

Željko, znam da su mnogi uspešno potpisali i koristeći Windows XP.

22 feb 2017 EXYU

Hvala puno! Svaka čast na trudu!

3 mar 2017 peca

Pozdrav i hvala na trudu. Imam jedno pitanje. Pokusao sam da instaliram DEB na KUbuntu 14.04 64bit lepo se raspakovao u /opt ali ...



java -jar nexu-apr.jar 

Exception in thread "main" java.lang.UnsupportedClassVersionError: lu/nowina/nexu/NexuLauncher : Unsupported major.minor version 52.0

        at java.lang.ClassLoader.defineClass1(Native Method)

        at java.lang.ClassLoader.defineClass(ClassLoader.java:803)

...



java -version

java version "1.7.0_121"

OpenJDK Runtime Environment (IcedTea 2.6.8) (7u121-2.6.8-1ubuntu0.14.04.3)

OpenJDK 64-Bit Server VM (build 24.121-b00, mixed mode)

Jel NexU radi sa Java 7 ? ili mora 8 ?

5 mar 2017 Goran Rakić

@peca Neophodna je Java 8, tako su kompajlirali. Propustio sam da to naznačim u paketu. Ako budu objavili novu verziju napraviću novi paket.