Informacioni sistem APR-a za dostavljanje finansijskih izveštaja ove godine dolazi sa novom klijentskom aplikacijom NexU-APR koja se koristi za pristup kriptografskom uređaju za formiranje potpisa (token ili pametna kartica). Kako autori opisuju:

Ovo je aplikacija za formiranje elektronski potpisanih dokumenata iz internet pregledača, na klijentskoj strani. Rešenje je bazirano na DSS radnom okviru i NexU aplikaciji, čiji je naručilac Evropska komisija, a implementator kompanija Nowina Solutions.

Evropski Digital Signature Service je projekat slobodnog softvera koji nudi sveobuhvatno rešenje za izradu, proveru i čuvanje elektronskih potpisa u različitim formatima. Poseban akcenat projekta je priprema potpisanih dokumenata za dugoročno arhiviranje.

Klijentska aplikacija NexU izvorno podržava Microsoft Windows, GNU/Linux i macOS, ali je u domaćoj verziji aplikacija zvanično podržana samo na Windowsu, i to verzijama nakon XP-a.

Ipak, programeri su ostavili konfiguraciju za učitavanje midlvera Pošte na GNU/Linuxu. Sertifikaciono telo Pošte je jedino domaće sertifikaciono telo koje izdaje kvalifikovane sertifikate za elektronski potpis (KES) sa midlverom koji radi na macOS-u i GNU/Linuxu.

To znači da je informacioni sistem APR-a i potpisivanje dokumenata preko aplikacije moguće koristiti i na GNU/Linuxu. Bez ikakvih izmena prepakovao sam aplikaciju NexU-APR i priredio instalacioni paket za Debian/Ubuntu koji sadrži i zgodnu skripticu za pokretanje. Dostupna je i obična .tar.gz arhiva za ostale distribucije. Moguće bi bilo napraviti i macOS instalaciju, ali nemam hardver na kome bi to učinio.

SafeSign midlver

Za korišćenje aplikacije je neophodno da instalirate AET SafeSign midlver koji tražite od Pošte. Alternativno instalaciju midlvera možete naći i na internetu, najčešće na brazilskim sajtovima gde je državno korišćenje GNU/Linuxa daleko veće nego kod nas.

Poslednja verzija midlvera koju ja imam je dosta stara 3.0.97 i na novijim Ubuntu distribucijama potrebno je instalirati stare libtiff4, libwxbase2.8 i libwxgtk2.8 pakete. Oni se takođe lako pronalaze na pomenutim sajtovima. Pokrenite tokenadmin da proverite instalaciju čitača i midlvera, te da li vidite sertifikat u listi.

NexU APR klijentska aplikacija

NexUApr (1.0)

Instalacioni paket za Ubuntu/Debian

Za druge distribucije dostupna je obična arhiva NexUApr-1.0.tar.gz koju preporučujem da raspakujete u /opt kako ne bi morali da menjate putanje u skripti za pokretanje. Program zahteva java-jre i zenity, a midlver traži još i pcscd.

Nakon instalacije pokrenite NexUApr prečicu. Aplikacija pri prvom pokretanju generiše par ključeva i samopotpisani localhost sertifikat koji je potrebno da dodate u veb pregledaču. Alternativno možete dodati sigurnosni izuzetak bez instalacije sertifikata.

Korišćenje samopotpisanog sertifikata i klijentske aplikacije je postalo uobičajno rešenje umesto ranije korišćenih Java apleta. Sertifikat je neophodan kako bi se ostvarila komunikacija između veb aplikacije na HTTPS protokolu i lokalnog servera koji time mora takođe da implementira HTTPS protokol. Par ključeva i sertifikat mogu biti generisani unapred (zajednički za sve korisnike) što olakšava instalaciju (kod nas primer je CROSO) ili kao u slučaju NexU aplikacije da se generišu pri prvom pokretanju. Aplikacija bi teorijski mogla da sertifikat/izuzetak postavi samostalno, bez potrebe za intervencijom korisnika, ali u praksi postoji prevelika raznolikost odgovarajućih skladišta, putanja instalacije, profila i verzija veb pregledača.

Rešenja zasnovana na Native Messaging tehnologiji ne traže dodavanje izuzetaka, ali umesto jedne komponente (klijentska aplikacija) dolaze u dva dela (aplikacija i ekstenzija za veb pregledač) pa je potrebno posebno pakovanje za Chrome, Firefox, Edge (ako postane podržan).

Vratimo se APR aplikaciji, pri pokretanju skripta će prikazati sledeće prozorče:

Bezbednosno obe opcije su jednake i u ovom slučaju ne predstavljaju rizik. Ako odaberete opciju da dodate izuzetak prikazaće se localhost link koji treba da otvorite u veb pregledaču. Mozilla Firefox nudi opciju dodavanja izuzetka nakon što kliknete na dugme Advanced pa Add Exception, dok Google Chrome traži da „na slepo“ ukucate badidea.

Nakon što dodate izuzetak umesto upozorenja, prikazaće se ikonica aplikacije. To je potvrda da je komunikacija omogućena.

Ukoliko se opredelite da instalirate sertifikat, sačuvajte datoteku i zatim iz terminala programom certutil dodajte sertifikat u odgovrajuće skladište za Google Chrome, odnosno Mozilla Firefox. Skoro sigurno će biti lakše dodati izuzetak, a u Firefoxu između dva i ne postoji razlika pošto dodavanje izuzetka zapravo upravo dodaje sertifikat aplikacije.

Kada ste završili instalaciju možete da pristupite APR aplikaciji za elektronsko potpisivanje dokumenata. Otvorite stranicu aplikacije i klikom na Pokreni potpisivanje možete da odaberete PDF ili XML datoteku sa računara.

U prozoru za izbor tokena trebalo bi da već bude prepoznato sertifikaciono telo Pošte, zajedno sa parametrima za pristup midlveru (/usr/lib/libaetpkss.so.3).

Unesite PIN, izaberite sertifikat i sačuvajte potpisani dokument. Detaljnu proveru potpisa možete da obavite preko demo instalacije aplikacije za validaciju iz pomenutog evropskog DSS ili na Windowsu u programu Adobe Reader.

Slobodan softver uglavnom podržava proveru i zanavljanje potpisa na strani servera, ili su u pitanju rešenja namenjena drugim programerima. Gotovi programi namenjeni korisnicima su malobrojni. Za izradu potpisanog PDF-a mogu da se koriste programi LibreOffice i jSignPdf.

Program pdfsig iz projekta poppler ima osnovnu PAdES implementaciju. Ukoliko bi se podrška unapredila, potpis bi mogao da bude prikazivan i validiran direktno u popularnim programima za prikaz PDF dokumenata kao što su evince ili kpdf. Nešto bolja podrška od nedavno postoji u LibreOfficu, ali ni on nije u mogućnosti da validira potpis iz APR-a.

Neobično je što dokument potpisan na ovaj način nema ugrađen vremenski žig što bi APR svakako bio u mogućnosti da obezbedi u okviru postojeće državne infrastrukture, za razliku od korisnika koji tu uslugu moraju dodatno da plate. Na taj način bi se izbegla situacija da potpis prestaje da važi istekom ili opozivom sertifikata što se kod nekih drugih e-servisa (Fond PIO) već javljalo kao problem iz prakse. Potpisani dokument sadrži lanac sertifikata i podatke za proveru, u slučaju Pošte kao OCSP odgovor. Potpis se dodaje kao „nevidljivi“ potpis i odnosi se na ceo dokument.