Goran Rakić

"Čemu služi i kako se koristi elektronski potpis"

Thu, 24 Feb 2005 20:15:50 +0100

Novi zapisi na blogu iz iste kategorije:

Mart 2011.	„Elektronski potpis, pogled na propise“
Januar 2009.	„Čemu služi i kako se koristi elektronski potpis, korak drugi“

U nastavku, zapis iz februara 2005. godine:

Centar za razvoj informacionih tehnologija Beogradske otvorene škole (url) je danas priredio predavanje na temu primene i upotrebe elektronskog potpisa. Predavači Slaviša Mijušković (pomoćnik ministra nauke i zaštite životne sredine iz sektora za informaciono društvo) i Milan Marković iz Delta banke su se uspešno uzajamno dopunili i predstavili kako zakonske odredbe usvojenog zakona o elektronskom potpisu tako i tehničke detalje implementacije.

Elektronski potpis, ili metod za nedvosmisleno i neporecivo vezivanje sadržaja poruke sa njenim potpisnikom je zapravo kombinacija dva kriptografska metoda - hash funkcije koja se koristi za utvrđivanje integriteta poruke i asimetričnog algoritma enkripcije (poput poznatog RSA algoritma) kojom se najpre izračunava hash vrednost poruke (MD5, SHA1…), a zatim ta vrednost šifruje tajnim ključem potpisnika. Zajedno sa sertifikatom autentičnosti koji je izdat od kvalifikovanog agenta se koristi za utvrđivanje verodostojnosti potpisa. Primalac je potrebno da javnim ključem potpisnika dešifruje hash i zatim ga uporedi sa primljenom porukom. Naravno ako bilo koji element potpisa ili poruke “ne paše” doći će do detekcije problema. (Dobro, moguće je zameniti porukom porukom koja ima istu hash vrednost, ali je neverovatno mala verovatnoća da će ta nova poruka biti bilo šta što nije samo gomila bitova i ništa više od toga…).

Pre upotrebe zakona, neophodno je usvajanje podzakonskih akata koja će regulisati proceduru za davanje dozvole registrima za izdavanje sertifikata autentičnosti, osnivanje Nacionalnog Root Registra (hajde neka neko kaže da istovremeno nije poželjno reformisati i katastrofalni YuNic?) kao i sertifikaciju uređaja koji su u stanju kreirati kvalifikovani elektronski potpis. Zakonom je dozvoljeno korišćenje isključivo sertifikovanih uređaja koji imaju mogućnost potpisivanja poruke (tj. šifrovanje hash vrednosti koja se predaje uređaju) unutar samog uređaja koji je opremljen hardverskom jedinicom za RSA enkripciju.

Interesantno je da zakon o elektronskom potpisu uopšte ne propisuje upotrebu elektronskog potpisa u e-banking operacijama što je pomalo neobično i nije mi jasan pravi razlog za takvu odluku. Ipak nadam se da ćemo kao što se moglo čuti na izlaganju do kraja ove godine imati inovirane putne i lične isprave, a da će državni organi polako početi da svoje prisustvo na internetu proširuju i uvođenjem različitih servisa u kojima ćemo online elektronski, kvalifikovanim elektronskim potpisom, potpisivati gomilu dokumenata :).

Čemu služi i kako se koristi elektronski potpis, korak drugi

Fri, 30 Jan 2009 02:05:19 +0100

Novi zapisi iz iste kategorije:

Mart 2011.

„Elektronski potpis, pogled na propise“

U nastavku, zapis iz januara 2009. godine:

U februaru 2005. godine nije me mrzelo da odem na predavanje u Centar za razvoj IT-a Beogradske otvorene škole pod nazivom „Čemu služi i kako se koristi elektronski potpis“. Na predavanju je bilo reči o infrastrukturi zasnovanoj na paru javnog i tajnog ključa, standarnoj priči o Alisi, Bobu i Iv (nakon wiki članka pogledajte i ovu duhovitu epizodu XKCD stripa), i neophodnosti usvajanja podzakonskih akata. Zaključak je bio da ćemo do kraja godine imati nove lične karte i onda će organi državne uprave jurnuti da prezentuju servise na kojima će privreda i građani koristiti elektronski potpis. O svemu tome pisao sam na blogu u zapisu „Čemu služi i kako se koristi elektronski potpis“.

Danas taj zapis ima ubedljivo najveći broj dolaznih klikova sa gugla u odnosu na sve druge zapise na ovom blogu, što je i očekivano imajući u vidu privlačan naslov. Međutim, ni pretpostavljao nisam da ću četiri godine kasnije zaključak moći da skoro potpuno prepišem.

Premotavamo na 2009. godinu. Društvo za informatiku Srbije i Privredna komora Srbije danas su organizovali okrugli sto o primeni elektronskog potpisa. U potpuno ispunjenu salu sam stigao par minuta posle 11h, Jelena Jovanović iz PKS je već započela uvodnu reč.

U decembru je Pošta krenula sa izdavanjem kvalifikovanih sertifikata, a akreditaciju bi voleli da dobiju Privredna komora Srbije i MUP. Đuro Vojnović iz PKS rekao je (na žalost ne mogu da proverim njegovu tačnu funkciju jer sajt komore zabranjuje korišćenje Fajerfoksa što je čudno i pomalo sramotno jer upravo su se iz PKS danas pozivali na interoperabilnost) kako je cilj Komore da svim članicama (a to su koliko mi je poznato još uvek po automatizmu svi privredni subjekti) besplatno dodeli PKI sertifikate. Ostalo je nejasno ko će u preduzećima dobiti sertifikate, sa kojim rokom važenja, i na koji način će Komora prikupiti novac za obavezno osiguranje.

Posmatrano sa strane, naročito ako se izbaci uslov obaveznog osiguranja i podzakonskih akata, izgleda mi da bi takva akcija direktno ugrožava poslovne interese CePP-a Pošte, iako sam svestan da u poslu izdavanja sertifikata mora postojati zdrava konkurencija. Dragan Spasić iz PTT-a se na to nije osvrtao i u izlaganju je ukratko protrčao kroz proces izdavanja sertifikata.

U decembru prošle godine Mreža za slobodni softver Srbije se dopisom obratila sertifikacionom telu Pošte povodom korišćenja kvalifikovanih sertifikata na GNU/Linuksu i u slobodnom kancelarijskom paketu OpenOffice.org. Meni je bila novost kada sam saznao, a Dragan je i danas na skupu ponovio, da kvalifikovani sertifikat nije dovoljan da bi i potpis isto to bio. Postoji pravilnik MTID-a o tehničko-tehnološkim uslovima koje mora da ispuni softver za izradu kvalifikovanog elektronskog potpisa (član 9, 10 i 11), iako je potpuno nejasno u čijoj nadležnosti (MTID, sertifikaciono telo, kreatori servisa ili krajnji korisnici) je da proveri da li je softver u skladu sa pravilnikom.

Za sada potpis napravljen popularnim programima (OpenOffice.org, Microsoft Office, Adobe Reader, Gnome Evolution, Microsoft Outlook...) nije kvalifikovan čak i ako se koristi kvalifikovani sertifikat. GNU/Linuks korisnici mogu od Pošte dobiti AET SafeSign ID midlver klijent za GNU/Linuks koji se integriše u Moziline preglednike i sve programe koji ga koriste, mada u Mreži za slobodni softver Srbije nismo imali priliku da isti testiramo.

Potpuno sam uveren da će taj podzakonski akt biti izmenjen jer je nemoguće očekivati razmenu elektronskih dokumenata ako svako sertifikaciono telo koristi specifičan softver za izradu potpisa. Pri tome proces priznavanja bi morao da omogući jednak tretman kako za vlasnička rešenja tako i za rešenja slobodnog softvera bilo da su autori velike softverske kompanije, nezavisni proizvođači ili zajednice korisnika. Ne znam kako je problem rešen u inostranstvu. U svakom slučaju mi smo u OpenOffice.org zajednici inicirali proceduru dorade kako bi bili ispunjeni uslovi iz člana 11 pravilnika tako da ćemo na vreme imati rešenje za naše korisnike.

Na galeriji smo imali priliku i da na kratko navijamo u raspravi Zorana Savića (NetSet Global Solutions) i Dragana iz Pošte o organizaciji sertifikacionih tela, a u čemu se prirodno, ali veoma uzdržano našao i Sloba Marković (savetnik Ministarke za telekomunikacije i informaciono društvo). Zoran je imao odlično i veoma informativno izlaganje na temu provere verodostojnosti el. potpisa i infrastrukture javnih ključeva (PKI), ali je do neslaganje došlo kada je ponovo izneo zahtev za postojanje korenskog državnog sertifikacionog tela.

PKI je hijerarhijska stvar. U praksi Pošta kao sertifikaciono telo ima svoj par javnog i tajnog ključa čiji tajni deo vredi „suvo zlato“ (negde pročitah duhovitu opasku da formalno govoreći vredi po gramu daleko više!). Svako ko želi da koristi ili proveri sertifikat koji je Pošta izdala mora da uveze javni deo sertifikata. Pošta sebi pravi podsertifikat i koristi ga da potpisuje zahteve. Zavisno od organizacije između krajnjeg sertifikata i poštinog korenskog sertfikata može biti veliko stablo. Pri proveri validnosti sertifikata potrebno je proveriti da li je bilo koji u hijerarhiji možda opozvan.

Problem nastaje kada treba proveriti sertifikat koji je izdalo drugo sertifikaciono telo. Ukoliko ne postoji međusertifikacija njihovih potpisa, posao je krajnjeg korisnika da uveze korenske sertifikate svih sertifikacionih tela, a u slučaju dinamičke provere (a ne preko liste opozvanih sertifikata) i da proveri validnost preko softvera različitih sertifikacionih tela. Zato Zoran predlaže formiranje državnog korenskog sertifikacionog tela kome bi sva druga bila podređena.

Ono što mene brine jeste sigurnost takvog sistema. U decembru je na Chaos Communication Congress u Berlinu (ja sam bio sprečen ove godine, bio sam prošle i preporučujem svima da odu makar jednom!) grupa istraživača predstavila metod za izradu lažnog privatnog dela ključa koji odgovara javnom ključu sertifikacionog tela i može se koristiti za izdavanje lažnih sertifikata koje se ni po čemu ne razlikuju od onih koje izdaje sertifikaciono telo (pogledajte šematski prikaz). Ovo funkcioniše samo u slučaju da sertifikaciono telo koristi stariji MD5 algoritam heširanja koji se od pre oko godinu dana smatra nedovoljno sigurnim.

U slučaju da postoji jedno korensko sertifikaciono telo to znači da se svi ikada izdati sertifikati moraju opozvati, da ne govorim o šteti od mogućih zloupotreba. Za bojažljive, treba istaći da je lakše zloupotrebiti klasičan potpis, a u svakom slučaju reč je o krivičnom delu falsifikovanja.

SHA-1 algoritam koji se daleko češće koristi je predmet višegodišnjeg istraživanja grupe kineskih naučnika koji od 2005. godine beleže sve upotrebljivije rezultate. Nema nikakvih garancija da se slično vremenom neće dogoditi i za SHA-2 ili šta god NSA već vremenom smisli.

Distribucijom sertifikacionih tela koji koriste različitu (ali interoperabilnu) tehnologiju smanjuje se rizik da sigurnost celokupnog sistema bude kompromitovana odjednom. Uloga Ministarstva može biti na donošenju pravilnika za obaveznu međusertifikaciju sertifikacionih tela (gde se međusertifikati u svakom trenutku mogu opozvati), što može biti korisno krajnjim korisnicima, ali verujem da dalje ne treba ići. Nikola Marković iz Društva za informatiku je ostavio mogućnost organizovanja novog skupa sa ovom tematikom, Dragan je insistirao da je to završena priča i da je Pošta već formirala infrastrukturu. Ja bih se složio sa Draganom.

Iskustva e-uprave iz EU: epractice.eu, ec.europa.eu/idabc i osor.eu
Čemu elektronski potpis služi ako nema servisa?

I tako dođosmo do ni za četiri godine neodgovorenog pitanja: „Čemu to služi?“. Saša Pivalica (savetnik za IT u Ministarstvu za državnu upravu i lokalnu samoupravu) iako najavljen, nije bio na skupu, i naravno ispao je on kriv što ne postoje servisi e-uprave gde bi se koristio el. potpis. Šalu na stranu, nepostojanje servisa jeste realnost.

Elektronsko poslovanje neosporno ubrzava poslovanje i donosi uštede, a neosporno postoji zainteresovanost i privrede i javnosti. Dovoljno je pogledati kako je elektronsko bankarstvo brzo zaživelo, da ne pominjem još raniju primenu elektronskih telnet servisa u okviru Službe društvenog knjigovodstva/Zavoda za platni promet. Žarko Vukadinović iz BankaIntesa istakao je da imaju 50.000 aktivnih elektronskih sertifikata (nekvalifikovanih, ugovorima između banke i klijenta je regulisana primena u toj zatvorenoj grupi).

Iako je bilo reči o NBS, na skupu nije rečeno da od ove godine NBS prikuplja godišnje izveštaje elektronski, ali zbog ne priznavanja el. potpisa i dalje traži i dostavljanje na papiru. (Ponovo program ne radi na GNU/Linuks platformi! Od korisnika smo dobili šablon OpenOffice.org Račun/Calc tablice za pripremu bilansa i grupisanje po AOP brojevima, ali za samo slanje mora se koristiti Microsoft Windows. Šteta, jer je jasna dobra namera NBS, ali izgleda da moramo biti aktivniji u formiranju svesti o značaju interoperabilnosti).

Kako to obično biva, a ne daleko od šale koju pre par rečenica „sklonih na stranu“ glavna diskusija je odlutala na potpuno nekonstruktivno traženje krivca. Ko je kriv za nisku IT pismenost, ko je kriv za nepostojanje Zakona o elektronskom dokumentu (moglo se čuti da MTID radi na ovome, očekuju ulazak u skupštinsku proceduru u prvoj polovini ove godine), ko je kriv što se program elektronske sednice Vlade ne sprovodi brže, ko je kriv za nepostojanje servisa...

Ostalo je nerazjašnjeno da li uprave u sastavu Ministarstva finansija (poreska, uprava carina,...) priznaju elektronski potpisane dokumente bez Zakona o elektronskom dokumentu. Ako je kojim slučajem odgovor odrečan uprkos odredbi o jednakoj pravosnažnosti elektronskog i običnog potpisa, moje je mišljenje da do naredne godine nema ništa od primene potpisa u poslovanju i jedino elektronskoj razmeni sa državnim organima možemo da se nadamo.

Dakle ostajemo čekajući „korak treći“...

Ako želite da se u međuvremenu poigrate, CAcert.org je organizacija koja potpuno besplatno izdaje (nekvalifikovane po našem Zakonu) X.509 sertifikate. Dovoljno je proći kroz proces autentifikacije (obavezna je fizička provera dokumenata). Uskoro će se njihovi korenski sertifikati naći i u Mozilinom Fajerfoksu i Microsoft Internet Exploreru pa nema nikakvog opravdanja da koristite samopotpisane sertifikate koji ne doprinose sigurnosti i zbunjuju korisnike.

Raniji zapisi na blogu iz iste kategorije:

Februar 2005.

„Čemu služi i kako se koristi elektronski potpis“

OpenOffice.org 3.3 beta

Wed, 11 Aug 2010 01:02:19 +0200

Probna beta novog izdanja najpopularnijeg slobodnog kancelarijskog paketa OpenOffice.org je dostupna od juče. Besplatno preuzimanje izdanja za sve platforme dostupno je sa sajta projekta. Za srpsku lokalizaciju beta izdanja potrebno je instalirati ćirilični ili latinični jezički paket na englesku punu instalaciju.

Novo prozoče za pripremu štampe

Sledi kratak opis nekih novina:

Novo prozorče za pripremu štampe (na slici). Integrisani pregled po stranicima, lakši izbor opcija i podrška za štampu više stranica na jednom listu iz svih programa paketa.
Uvoz CSV datoteke sa više mogućnosti (opcija za bolje prepoznavanje formata brojeva i datuma zavisno od izabranog jezika, opcija za učitavanje polja pod navodnicima kao tekst)
Ćirilična imena u elektronskom potpisu
Lakši rad sa slajdovima i ubacivanje i izmena sadržaja u prostor odabranog rasporeda slajda u prezentacijama
Registrovani izvori podataka sada mogu biti označeni samo za čitanje. Dozvoljeno je pakovanje postavki za izvore podataka u obliku dodatka za laku masovnu instalaciju.
Crtanje linija, simbola, strelica, oblika i dodavanje proizvoljnog teksta unutar grafika
Paleta za brzo traženje unutar dokumenta koja ne zaklanja dokument
Opcija za uključivanje standardnih fontova (Times, Helvetica,...) u izvezeni PDF dokument kao što je to slučaj za izvoz u PDF/A format.
Podrška za nove lokalitete uključujući rusinski (Slovačka) i rusinski (Ukrajina)
Boja za kartice listova u tablicama
Podrška za do milion redova u tablicama (1048576) umesto prethodnog limita od 65536 redova
Podrazumevani prikaz automatskog broja decimala zavisno od širine ćelije u tablicama
Padajući meni u datapilotu tablice sa opcijama za ređanje i skrivanje stavki
Nove opcije u meniju za brzu promenu slova iz velikih u mala i obrnuto u tekstualnim dokumentima (Prvo u rečenici velikim, svaka reč velikim, itd.)
Izbor sinonima iz kontekstualnog menija (rečnik sinonima za srpski jezik nije javno dostupan pod slobodnom licencom). Unapređeno prozorče za izbor sinonima i rastavljanje na slogove.
Na GNU/Linuksu pokretanje uz sr@latin lokalitet automatski bira srpski latinični lokalitet i podrazumevani jezik dokumenta. Prevod sučelja se i dalje ne učitava automatski (greška #113496).
Novi lični rečnici se sada čuvaju kao obična tekstualna datoteka u UTF-8 kodnoj stranici

Potpuniji spisak novina naveden je na Viki stranici. Greške koje uočite u beta izdanju prijavite preko veb sajta ili na srpskom e-poštom na adresu dev@sr.openoffice.org. Jednom takvom prijavom otkrivena je i ispravljena greška zbog koje su WordArt objekti iz dokumenta u Word formatu bili skriveni pri uvozu datoteke.

Velikim korisnicima se preporučuje da nalože tehničkom osoblju ili sistem integratoru da isproba funkcije paketa koje se koriste unutar poslovnog sistema i prijave ukoliko uoče greške koje nisu bile prisutne u prethodnim izdanjima kako ih sitni problemi koji mogu lako da budu rešeni ne bi sprečili da nadograde softver na najnovije izdanje.

Samo takvim zajedničkim doprinosom učinićemo da kancelarijski paket OpenOffice.org bude bolji, kvalitetniji i svima slobodno dostupan.

Elektronsko bankarstvo na GNU/Linuksu

Fri, 20 Aug 2010 12:10:29 +0200

Do sada je već nekoliko puta u domaćoj zajednici bilo diskusija o mogućnostima za korišćenje usluge elektronskog bankarstva u preglednicima koji nisu Microsoft Internet Explorer, na operativnim sistemima koji nisu Microsoft Windows.

Srđan Pavlović, moderator EliteSecurity Linux foruma je pre par dana ponovo aktivirao ovu temu, nakon čega se došlo do najnovije liste. Pogledajte ispod ili pristupite dokumentu kroz Google dokumente.

Ovaj dokument sam kompletno priredio koristeći Google dokumente.

Mogu da kažem da ću se, makar u narednih godinu dana, nasmejati na svaku opasku kako ovo rešenje može da zameni kancelarijski paket na računaru. Sledeće godine ću probati ponovo.

Rad sa tabelom u tekstualnom dokumentu je zamoran da zamorniji ne može da bude. Nije moguće odabrati proizvoljnu grupu ćelija, nije moguće podesiti ivice za red ili kolonu ili visinu reda. Izbor pozadine ćelije se radi u prozorčetu Svojstva tabele. Ne postoji mogućnost spajanja ćelija iz dve kolone ili dva reda.

Pri kucanju ne vidi se podela na stranice, što znači da su viseći naslovi i pasusi siročići neminovni. Izvoz u PDF, pregled, pa onda nazad na dodavanje ručnih proreda.

Zgodno je što je dokument na vebu, i lako se deli sa drugima, ali lakše mi je onda da otkucam viki članak ili priredim dokument u pravom kancelarijskom paketu, i iskoristim ovaj dodatak ili ga ručno objavim na Google dokumentima. Za ozbiljnu upotrebu problem je kako čuvati dokumente tako da budu dostupni i za rad van mreže, kako obezbediti rezervnu kopiju, kako upravljati pravima pristupa, mada moguće da Google ima i neke alatke za korisnike koji plaćaju upotrebu servisa.

Sviđa mi se i što je dostupna dobra lokalizacija na srpski jezik. To samo potvrđuje stav da su strane kompanije kopiranjem svog uobičajenog nastupa sa drugih tržišta učinile više na popularizaciji upotrebe srpskog jezika na računarima nego sve domaće ustanove.

Ja sam ipak srećan sam što sada mogu da se vratim u OpenOffice.org i njegove mogućnosti za napredno uređivanje dokumenta.

PC/SC, OpenSC, NSS, kartice i elektronski potpis na Linuksu

Sat, 21 Aug 2010 15:14:51 +0200

Ovaj zapis je započeo kao lična beleška, pa poželeh da ga ipak podelim i sa drugima.

Povod je komentar na zapis o Halcomovim sertifikatima autora koji se potpisao kao John Markovic, a tiče se podrške za (kvalifikovani) elektronski potpis pod GNU/Linuksom.

Koliko mi je poznato jedino Sertifikaciono telo Pošte nudi A.E.T. SafeSign midlver za GNU/Linuks operativni sistem ali nisam imao priliku da probam rešenje u praksi. Situacija sa drugim akreditovanim sertifikacionim telima za izdavanje kvalifikovanih elektronskih sertifikata je znatno lošija.

Evo i komentara koji sam pomenuo:

... kako može da se koristi lična karta u potpisivanju dokumenata ali tako da to radi na Linuks i drugim slobodnim sistemima.
Po prepisci koju sam imao sa MUP početkom godine, postoji rešenje za Linuks na ETF i koristi se ali ne stavljaju ga na raspolaganje na svojim stranama jer ne razumeju da nije potrebno da pakuju pakete za sve distribucije (rpm, deb itd)
Ne otvaraju kod jer to „nemaju u praksi“ a za specifikaciju pristupa kartici i uslugama koje pruža, bilo bi dobro da pitate i vi, pošto sam stekao utisak da što se više ljudi interesuje i nudi saradnju, da će pre da to reše.
...

Moj odgovor je glasio:

... prepreka za korišćenje na GNU/Linuksu je da se za slobodan pružalac PKCS#11 interfejsa, konkretno OpenSC, emulira format pametne kartice na kojoj se nalazi X.509 sertifikat tako da se ona predstavi u PKCS#15 standardu. Nije mi poznata ta priča o MUP-ETF, moguće da imaju deo slagalice, ali lično u to ne verujem. Ne znam kakav kod bi to trebalo da otvaraju ...

Pre izvesnog vremena kada sam u Ljermontovoj preuzeo kvalifikovani sertifikat zainteresovao sam se koje su prepreke da ga zapravo i koristim, i počeo da sastavljam belešku, koju sada objavljujem. Ako imate više detalja, specifikaciju, alatke za razumevanje formata kartice ili iskustva kako se programira OpenSC emulacija za specifičnu karticu, ostavite poruku. Većina softvera slobodnog koda nastane baš onda kada neko poželi da sebi pomogne i napravi nešto novo.

Dakle, opšti ifdhandler drajver za razne USB čitače dolazi u pcsc-lite/libccid potprojektu. Drugi (PC/SC ifdhandler) drajveri su dostupni sa Interneta u izvornoj ili binarnoj formi. OpenCT nudi ifdhandler drajver sa podrškom za neke dodatne modele čitača kartice.

pcsc-lite (program i paket pcscd) koristi ifdhandler drajvere za čitače pametnih kartica i obezbeđuje PC/SC API za komunikaciju sa karticom kakav se koristi i na Windowsu (winscard).** Drajver i pcsc-lite čine „midlver“. Tu se završava priča oko čitača kartica, i prelazi na samu pametnu karticu.

OpenSC se lepi preko pcsc-lite (i nekog njegovog ifdhandler drajvera) ili direktno na OpenCT i daje PKCS#11 interfejs za komunikaciju sa karticom.

Čitači koje na sistemu vidi OpenSC prikazuju se naredbom "opensc-tool -l", a isti program može da prikaže tip i elemente kartice. OpenSC mora da podržava format kartice (struktura direktorijuma). Standardan je PKCS#15 format. Inicijalizacija kartice (format), zadavanje PIN koda i generisanje RSA ključeva na kartici u PKCS#15 formatu radi se pomoću "pkcs15-init". Naredba "pkcs15-tool" lista sadržaj objekata na kartici.

Naredba "openssl" može da od generisanog javnog ključa napravi CSR za potpisivanje od strane CA (našeg lokalnog ili "pravog"), ili da napravi samopotpisani sertifikat. Sertifikat se sa "pkcs15-init" upisuje nazad na karticu. Format PKCS#15 se retko koristi na već inicijalizovanim karticama koje traže poseban omotač za OpenSC.

Za samu komunikaciju se koristi drajver za karticu, gde postoji ISO 7816 kao standard. Najčešće međutim treba napisati poseban drajver za libopensc koji će da sa karticom razmenjuje APDU naredbe.

Mozilla NSS ili OpenSSL učitavaju OpenSC PKCS#11 modul (engine_pkcs11.so) i nude usluge aplikacijama kroz crypto API višeg nivoa i integraciju sa okruženjem. Ovo je mesto gde se umesto OpenSC koji je slobodan softver može koristiti neki vlasnički softver koji radi sa karticom (na primer kroz PC/SC koji daje pcsc-lite) i pruža PKCS#11 modul.

Drugi programi mogu da koriste PKCS#11 modul kroz neku biblioteku (Java nudi standardan API) ili da pozivaju NSS (Firefox, Evolution, OpenOffice.org). Za prijavu na sistem pametnom karticom koristi se pam_pkcs11, a za grafičku prijavu potreban je i gdm-plugin-smartcard. NSS nudi naredbu "certutil" za upravljanje sertifikatima ili grafički kroz Mozilla Firefox.

**) Windows aplikacije uglavnom koriste interfejs višeg nivoa, CryptoAPI koji kroz posebne CSP module (slično kao NSS kroz PKCS#11 module) pristupa kartici. Postoji opšti okvir Base SC CSP za implementaciju CSP modula. OpenSC za Windows od januara 2010 pored PKCS#11 modula ima modul i za ovaj okvir, a postoji i nekoliko drugih alternativnih CSP implementacija koje koriste OpenSC. OpenSC dalje koristi uključeni sistemski PC/SC midlver (winscard). Pretpostavljam da omotač sa podrškom za poseban format kartice bude isporučen kao deo posebnog CSP modula koji leži nad PC/SC, pa bi Wine po tome trebalo da implementira PC/SC deo Windowsa kroz pcsc-lite, zaobilazeći OpenSC.

***) ATR srpske pametne lične karte je "3B B9 18 00 81 31 FE 9E 80 73 FF 61 40 83 00 00 00 DF" i nalazi se u listi kartica koje vidi pcsc-lite. Reč je o ISO 7816 kompatibilnoj kartici sa operativnim sistemom Apollo OS 2.43 izraelske kompanije SC². Ne postoji OpenSC modul za emulaciju. NetSet nudi Windows CSP modul rsidcm.dll, a ne znam da postoji javna specifikacija kartice i APDU kodova niti trenutno znam kako bih to iskoristio da napišem emulaciju.
Dragan Maksimović, pomoćnik načelnika Uprave za IT MUP-a je u decembru 2009. izjavio: "Naime, middleware (PKCS#11 standard) postoji ali ga još uvek nismo publikovali, jer još uvek nismo dobili akreditaciju za naše CA telo". Ovde je izgleda reč o rsidp11_x86.dll koji se pominje u dokumentaciji i verovatno stoji nad winscard API-jem. Da je kod ovog DLL-a dostupan možda bi bilo moguće ovaj modul portovati na pcsc-lite koji nudi isti API nakon čega bi se modul uvezao u NSS/OpenSSL i potpuno preskočio OpenSC.

Izvori:

Gemalto Cryptoflex na Linuxu, dr Branko Milosavljević, FTN
http://informatika.ftn.uns.ac.rs/BrankoMilosavljevic/Cryptoflex
PKCS standardi, slajdovi za kurs Bezbednost u sistemima elektronskog poslovanja, dr Branko Milosavljević, FTN
http://informatika.ftn.uns.ac.rs/BSEP?action=AttachFile&do=view&target=07+pkcs.pdf
OpenSC Overview
http://www.opensc-project.org/opensc/wiki/OverView
OpenCT Overview
http://www.opensc-project.org/openct/wiki/OverView
Quick Start with OpenSC
http://www.opensc-project.org/opensc/wiki/QuickStart
OpenSC Supported smart cards and USB Tokens
http://www.opensc-project.org/opensc/wiki/SupportedHardware
(estonska, nemačka, buduća francuska, italijanska, portugalska, neke američke pametne kartice za el. potpis/lične karte, i razne opšte pametne kartice)
Primer zakrpe koja dodaje delimičnu podršku za italijansku eID, i primer kako se normalno objavljuje specifikacija kartice.
Reverse engineering smart cards, Christian M. Amsuss
carddecoders, usbmon while running middleware in the VM, pyscard over pcsc
Smart Card Applications: Design models for using and programming smart cards, Wolfgang Rankl
pcsc-lite PC/SC API
Apollo OS 4.03 crypto overview

Objava: Čitač elektronske lične karte za GNU/Linuks

Mon, 23 Aug 2010 08:21:40 +0200

Pored originalne Python skripte sada su dostupni i grafički program i biblioteka (API) napisani u Javi. Posetite: http://devbase.net/jfreesteel

Na kraju i nije bilo tako strašno ;) Predstavljam vam slobodan čitač elektronske karte, od milja nazvan FreeSteel. Trenutno, FreeSteel je jednostavna Python skripta koji se oslanja na pyscard i PC/SC i radi na svim poznatim platformama (Linux, Windows, MacOS X). FreeSteel je potpuno sirova beta, testiran samo sa mojom ličnom kartom. Već sam pisao da nemam uvid u specifikaciju pametne kartice, tako da ne znam da li sam ispravno rastumačio granice polja. Pozivam da probate i obavezno javite da li ispravno čita podatke i sa vaše lične karte.

Kako to izgleda? Skript se poziva iz terminala, i ispisuje informacije inače vidljive kroz besplatnu aplikaciju Čitač Elektronske Lične Karte za Windows. Sledi demo programa, a ja ću iz opreza podatke za koje nisam siguran koliko su osetljivi da zamenim zvezdicama. Sa argumentom -p program čuva sliku sa lične karte u datoteku <JMBG>.jpg, moguće je i navesti posebno ime sa -p moja_slika.jpg.

$ ./freesteel.py -p
Using reader   : Gemplus GemPC Twin 00 00
ATR            : 3B B9 18 00 81 31 FE 9E 80 73 FF 61 40 83 00 00 00 DF
Header field   : 33*60*3*6*62*26**B*F*79*77*42*3*
Printed number :                   *F*79*77*42*3*
eID number     : 00***5*8*
Issued         : *4.0*.2009
Valid          : *4.0*.2014
Issuer         : PU ZA GRAD BEOGRAD SRB
JMBG           : 2412985******
Family name    : РАКИЋ
First name     : ГОРАН
Middle name    : ******
Gender         : M
Place od birth : BEOGRAD, SAVSKI VENAC, REPUBLIKA SRBIJA, SRB
Date of birth  : 24.12.1985
Street address : ************, ******
City           : *******, BEOGRAD, SRB

FreeSteel možete preuzeti iz Gitorious skladišta sa adrese http://gitorious.org/freesteel naredbom:
git clone git://gitorious.org/freesteel/freesteel.git. Gitorious nudi i pregled skladišta kroz Veb, reč je o jednoj Python skripti pa je možete i ručno iskopirati.

FreeSteel je slobodan softver, izdat pod GNU Slabijom opštom javnom licencom (GNU LGPL) verzije 3 ili novije po vašem nahođenju. Program koristi pyscard omotač za PC/SC interfejs. Na GNU/Linuksu potrebno je instalirati pcsc-lite (na Ubuntu distribuciji paket pcscd) i drajvere za čitač (libccid paket dodaje podršku za većinu USB čitača, a tu su i neki drugi PC/SC drajveri u skladištu ili sa sajta proizvođača ako su kompatibilni sa novim izdanjima kernela). U ovom koraku ništa nije specifično za našu ličnu kartu tako da ima uputstava na Internetu.

Pre nego što pokrenete FreeSteel, možete da proverite da li je pcsc-lite prepoznao čitač naredbom pcsc-scan koja je deo pcsc-tools paketa. Na MacOS X pokrenite iz terminala program pcsctest koji je podrazumevano instaliran.

    $ pcsc_scan -n
    PC/SC device scanner
    V 1.4.16 (c) 2001-2009, Ludovic Rousseau 
    Compiled with PC/SC lite version: 1.5.3
    Scanning present readers...
    0: Gemplus GemPC Twin 00 00
    
    Mon Aug 23 04:27:04 2010
     Reader 0: Gemplus GemPC Twin 00 00
      Card state: Card inserted, Shared Mode, 
      ATR: 3B B9 18 00 81 31 FE 9E 80 73 FF 61 40 83 00 00 00 DF

Windows i MacOS X dolaze uz PC/SC (jabuka koristi pcsc-lite, stiže uz sistem). Na Windowsu vam treba Python, MacOS X ga već ima instaliranog. Preostaje još instalacija pyscard omotača i FreeSteel može da radi.

U odnosu na Čelik, FreeSteel se uz očiglednu mogućnost da radi na Linuksu i Meku, razlikuje i po tome što vuče po 255 bajtova podataka sa kartice u jednom zahtevu umesto 96, ne resetuje karticu između čitanja različitih polja i ne povlači dva puta jedan blob od zanemarljivih 6 bajtova, ali eto red je da napišem i to.

Razlikuje se i što nije testiran na većem broju ličnih karti, što moguće da postoje sitne greške usled kojih će promašiti granice polja ili ispretumbati podatke, zavisno od toga da li sam uspeo da pravilno razumem kako su podaci organizovani na samoj kartici. ~~Razlikuje se i po tome što ne uspeva da izvuče sliku iako kod koji bi trebalo da radi jeste napisan.~~ Željko Stevanović je uočio grešku zbog koje nije radilo čuvanje slike, sada i ta opcija radi u programu. Pokretanje ./freesteel.py -p čuva sliku kao JMBG.jpg, ili se može navesti ime datoteke ./freesteel.py -p moja_slika.jpg

Ukoliko Čelik računa neki checksum da proveri verodostojnost podataka sa lične karte, FreeSteel to ne radi. Veoma je moguće da su neki od onih meni nepoznatih bajtova zapravo kontrolni.

Pametna kartica je u ISO 7816-04 formatu i za čitanje podataka koriste se instrukcije 0xA4 (SELECT FILE), 0xCA (GET DATA) i 0xB0 (READ BINARY). Pronašao sam javno dostupnu prethodnu kopiju standarda na ovoj stranici.

Podaci su smešteni u datotekama (MF) koje se biraju sa SELECT FILE nakon čega se prelazi na čitanje pomoću READ BINARY. SELECT FILE proverava potrebne dozvole i odbija pristup zaštićenim datotekama. Ne znam da rastumačim odgovor o tekućim dozvolama. Svaki odgovor završava sa dva bajta 0x90 0x00 ako je zahtev uspešan, odnosno kodom za grešku kako je definisano standardom. Omotač pyscard već radi obradu tako da FreeSteel ignoriše i preskače ove statusne bajtove u rezultatu.

Svaka datoteka se sastoji od zaglavlja veličine 6 bajtova, i sadržaja proizvoljne dužine. Dužina sadržaja zapisana je u četvrtom i petom bajtu zaglavlja kao 16bit LE int.

Koriste se četiri EF datoteke 0x0f 0x02 u kojoj su broj, datumi izdavanja i isteka i izdavalac, 0x0f 0x03 u kojoj su jmbg, ime, prezime, ime oca, pol, mesto i datum rođenja, 0x0f 0x04 u kojoj su podaci o adresi prebivališta i 0x0f 0x06 u kojoj se nalazi slika.

READ BINARY instrukcija kao prvi argument ima dvobajtni offset (16bit int LE), a potom sledi broj bajtova koji će biti pročitani (8bit int LE). Ako se kao broj bajtova dostavi 0x00 biće pročitan maksimalno dopušten broj bajtova. FreeSteel ovde ipak koristi eksplicitni broj, najviše 0xFF ili manje za manja polja.

Svi podaci su sačuvani kao ASCII/UTF-8 tekst. Sama polja sa podacima su sastavljena od jednog bajta sa labelom podatka, pa 0x06, zatim dužina polja kao 8bit LE int i 0x00 nakon čega sledi odgovarajući broj bajtova navedene dužine sa podacima.

Serijski broj čiji je heksadecimalni kod napisan na poleđini lične karte se nalazi u 16 bajtova podataka koji se čitaju sa GET DATA naredbom uz argument 0x01 0x01, počev od desetog bajta. dok ostatak tog niza bajtova ne znam da protumačim.

U datoteci u kojoj je slika podaci počinju sekvencom 10 01 BD 1B pa zatim karakteristični početak JPEG datoteke (FF D8 FF E0 00 10 4A 46 49 46). Ovo se ponavlja nekoliko puta kasnije u podacima. Prvu četvorobajtnu reč treba preskočiti, dok su ostale sastavni deo datoteke slike.

FreeSteel ima galamdžijski režim ako mu se stavi zastavica -v, --verbose kada prikazuje primljene i poslate bajtove kao heksadecimalne vrednosti. Ako program kod vas ne čita ispravno podatke, a niste voljni da sami jurite grešku, postoji i dump zastavica. Pokrenite program kao ./freesteel.py -d dump i on će u direktorijum dump istovariti binarne blobove pročitane sa lične karte. Ako mi ih dostavite privatnom poštom rado ću popraviti program, a obećavam da podatke neću da prikupljam, prodajem, ili na drugi način zloupotrebim.

Na kraju, kako i piše u zaglavlju programa, FreeSteel se isporučuje bez bilo kakve garancije, čak i one implicitne. Iako program samo čita datoteke, pa ne bi trebalo da bude problema, ne mogu da prihvatim odgovornost ako vam zapadne da morate ponovo da čekate u redu sa zahtevom za reinicijalizaicju ili za izradu nove lične karte.

Još po neko zapažanje

Mon, 23 Aug 2010 23:23:39 +0200

Sledeće EF sadrže X.509 sertifikate sa javnim RSA ključem:

</table>

Na kartici bi trebalo da se uz oba lična X.509 sertifikata negde nalazi i izdvojen javni i tajni ključ u memoriji koja nije čitljiva spolja jer se ključevi generišu na samoj kartici i pristupa im se kroz crypto instrukcije. X.509 je standardni format za dostavljanje javnog ključa koji uključuje detalje o izdatom sertifikatu, njegovoj upotrebi i izdavaocu. Prvi par (gde je X.509 u 0F 10) se koristi za kvalifikovane potpise, dok se drugi koristi za obične potpise, na primer u e-pošti, i veb autentifikaciju. ~~Planiram da dodam opciju u FreeSteel da izveze lični javni X.509 sertifikat sa kartice.~~ FreeSteel 0.3 može da izveze kvalifikovani i obični lični X.509 sertifikat. Opcije su ./freesteel.py -q qualified.cer -s standard.cer.

Format je i ovde 6 bajtova za zaglavlje sa oznakom dužine. Blob počinje nekom rečju (4 bajta) kojoj ne znam značenje, nakon čega od petog bajta kreće sadržaj sertifikata.

Operativni sistem na kartici je Apollo OS izraelske firme SC². Na njihovom sajtu piše For generic private and open source middleware, Apollo OS is available with a PKCS#15 profile.. Naravno ovde se misli da je podrška (komercijalno) dostupna klijentima koji sprovode uvođenje rešenja, kod nas je to NetSet d.o.o. iz Beograda.

FreeSteel, višeplatformski Python skript za čitanje podataka sa elektronske lične karte je dogurao do izdanja ~~0.2~~ 0.3. Ako ste preuzeli jutros, ponovite. Program sada uspešno izvozi i sliku sa lične karte i čuva je u posebnu datoteku. Željko je odlično primetio da je offset dva bajta koliki i mora da bude za dostupnu veličinu slike.

Za promenu pina koriste se 0F 13, 0F A1 i 0F A3. VERIFY (0x00 0x20) instrukcija radi nad prvim ključem za poređenje. Kada se pozove bez podataka, vraća broj preostalih pokušaja. Kasnije u procesu promene šalje joj se neki niz od 8 bajtova (izgleda da ne zavisi od samog pina več od kartice, nije mi to baš najjasnije) nakon čega sledi UPDATE BINARY (0x00 0xD6) instrukcija koja ažurira 0F 13 nizom od 6 bajtova zaglavlja EF i 54 bajtova nekih podataka. Od tih 54 bajtova prvih 4 i poslednjih 5 je fiksno između različitih promena, a 45 nosi informaciju o izabranom pinu. Nema nikakve magije, nakon promene sadržaja, čitanje pročita upravo prethodno upisano. Deluje da je uvek dužina 45 bajtova i da ne zavisi od izabrane dužine pina ali treba to još jednom da proverim. Pogledaću u PKCS#15 ima li šta zanimljivo na tu temu mada nisam siguran da je to pravo mesto za traženje informacija.

Pretpostavljam da je ideja da se pročitaju neki ključevi iz 0F A1 (6+20 bajtova) i 0F A3 (6+14 bajtova), zatraže ovlašćenja sa VERIFY i tim nekim osmobajtnim nizom pa onda novi pin šifruje i zapakuje u niz koji se upiše nazad u 0F 13. Na kraju se bira MF (koreni direktorijum) verovatno kako bi se prekinula ovlašćenja ili resetovalo nešto slično.

0F 08	sertifikat vlasnika izdat od strane MUPCA Gradjani
0F 10	kao i prethodni, uzastopni serijski broj, javni ključ (1024bit) se razlikuje
0F 11	Intermediate CA gradjani 001 (2048bit), izdat od strane Root CA MUP 001</th></tr>
0F 14	MOI CertM1 (1024bit), izdat od strane Intermediate CA sluzbenici 001</th></tr>
0F 16	identičan kao i prethodni

GUI za čitač lične karte, provirivanje

Fri, 07 Jan 2011 05:46:16 +0100

program (za Java 1.6) | devbase.net/jfreesteel/ | Git skladište za izvorni kod

Ima još dosta bubica, a predstoji mi da upoznam Ant ili Maven (šta mi se već učini lakšim), pa da preuredim projekat. Naravno, ako me neko pretekne komentarom ili čak gotovim rešenjem, obradovaću se. Nakon toga bih ubacio kod u Git skladište, pa da može da napreduje polako dalje. ubačeno u Git, odabran Maven.

~~Kod adrese prebivališta, ne znam da povežem tagove 0x625 .. 0x629 sa podacima floor, entrance i houseLetter. Pretpostavljam da je ovaj poslednji 0x625~~

0x626 je ulaz, 0x627 je sprat, 0x62A je broj stana , ali za druga dva ne znam. Sledeći koji znam je appartmentNumber u 0x62A. Ako imate ove podatke zapisane u ličnoj karti, pokrenite program u terminalu (java -jar serbianeidviewer-1.0-SNAPSHOT.jar) i ispravite kod u EidInfo ili samo opišite gde je šta u ispisanom izlazu.

Ovo mi je tek drugo programče u Javi, pogledajte i javite gde sam napravio greške, a gde sam mogao da iskodiram efikasnije. Najozbiljniji trenutni problem u kodu je što async interfejs za čitanje podataka ne radi iako bi kod trebalo da bude thread-safe. Zainteresovani mogu da pogledaju EidCard i JFreesteelGUI, pa da ih propuste kroz buboubice.

Zapravo sam bio napisao pristojan članak sa par komentara kako se koristi direktno EidCard za čitanje podataka ili preko Reader omotača koji vodi računa o tome da li je kartica ubačena ili ne, da bi se nestabilni Chrome iznenada srušio. Izgleda da je vreme za nadogradnju MT, automatsko čuvanje sada ne zvuči suvišno.

Hvala Aleksandru Nikoliću (EArthquake sa ES foruma) za predloge i zakrpe ovog Java programčeta i Željku Stevanoviću (zsteva) za sve poslate zakrpe Python skripte za čitanje podataka.

Da dodam još i da Gemalto GemPC Card PCMCI čitač (na slici desno) radi odlično pod GNU/Linuksom. Uređaj se vidi kao čitač na serijskom portu, radi uz libccidtwin drajver za pcsc-lite. Interesantno je da je moguće instalirati ga i u virtuelnoj mašini, deli se serijski interfejs, a onda se u virtuelnom okruženju instalira odgovarajući drajver za Gemalto PC Twin Serial čitač.

Ideje za nove zakrpe, čitač lične karte u Javi

Mon, 10 Jan 2011 01:56:33 +0100

Krenule su da stižu prve zakrpe iz domaće programerske zajednice za biblioteku za čitanje elektronske lične karte implementirane u Javi, bez drugih dodatnih zavisnosti. Biblioteka JFreesteel je slobodan softver otvorenog koda, objavljena pod GNU LGPLv3 licencom koja dozvoljava korišćenje kako u slobodnim tako i u vlasničkim komercijalnim aplikacijama.

U odnosu na kod objavljen juče sada postoji Maven integracija, kod je lepo podeljen na biblioteku (u lib/) i aplikaciju koja koristi biblioteku (u viewer/). Aplikacija je preimenovana u SerbianEidViewer.

Zakpre možete poslati na grakic@devbase.net ili kao merge request kroz Gitorious. Kod se održava u Git skladištu, a svoju kopiju pravite naredbom: git clone git@gitorious.org:freesteel/jfreesteel.git. Naredbom mvn install uz instalirane JDT i Maven u novom target/ direktorijumu ćete dobiti jfreesteel.jar paket biblioteke, serbianeidviewer aplikaciju i u direktorijumu serbianeidviewer-lib sve biblioteke koje aplikacija koristi.

Ako želite da pripomognete razvoj JFreesteel biblioteke i SerbianEidViewer aplikacije, evo nekih predloga.

Elektronski potpis, pogled na propise

Wed, 16 Mar 2011 22:24:27 +0100

Dodatak, decembar 2013:
Registar sertifikacionih tela koja izdaju kvalifikovane elektronske sertifikate u Republici Srbiji.

Nosilac sertifikata je fizičko lice. Za većinu korisnika koji imaju ličnu kartu sa čipom verovatno najpovoljniji izbor su sertifikati MUP CA koji se dobijaju besplatno na mestu gde je i izdata lična karta. Sertifikati drugih sertifikacionih tela mogu da u sertifikatu sadrže više podataka, najčešće podatak o kompaniji ili organizaciji u kojoj nosilac radi. U nekim servisima ovo može biti značajno, ali za upotrebu u postojećim popularnim servisima nije neophodno uzimati više sertifikata jer ovi servisi jedino proveravaju identitet nosioca - fizičkog lica.

Osim dodatnih podataka u sertifikatu, u odnosu na MUP CA druga sertifikaciona tela nude određene pogodnosti, posebnu karticu ili token sa privatnim ključem nezavisno od lične karte, midlver softver koji možda ima bolju kompatibilnost sa drugim softverom poput softvera za ebanking, podršku za Linuks operativni sistem u slučaju Pošta CA, mogućnost korišćenja iste kartice za ebanking i elektronski potpis u slučaju Halcoma, ili mogućnost dobijanja sertifikata čak i kada osoba nema ličnu kartu sa čipom ili je strani državljanin bez lične karte. Neke kompanije i organizacije mogu da žele da bolje upravljaju korišćenjem sertifikata, što nije moguće sa sertifikatom na ličnoj karti, pa da zato za zaposlene obezbede kvalifikovane sertifikate kod drugih sertifikacionih tela.

Uputstva za instaliranje korenskih sertifikata, midlvera i uvoz sertifikata nosioca u veb pregledač dostupna su na sajtovima sertifikacionih tela. Portal eUprava sadrži kraći pregled instalacije sertifikata i neke komentare, ali preporuka je potražiti najnovija uputstva od samih izdavaoca.

Elektronski potpis je tehnologija koja omogućava autentičnost, zaštitu integriteta i neporecivost podataka i dokumenta u elektronskom poslovanju. U određenoj prilagođenoj primeni, tehnologija može da odgovara svojeručnom potpisu u klasičnom poslovanju, pri čemu se dodatno štiti i integritet (nepromenljivost) potpisanih podataka. Vredi istaći da elektronski potpis nije slika skeniranog svojeručnog potpisa u dokumentu, jer takva slika ne omogućava da elektronski potpis postigne izrečeni nivo pouzdanosti.

Elektronski potpis u Republici Srbiji uređen je Zakonom o elektronskom potpisu („Sl. glasnik RS“, broj 135/2004) i podzakonskim aktima, a u skladu sa Direktivom Evropske unije o elektronskom potpisu („Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures“, Official Journal of the European communities, L 013/12-20, 19. 1. 2000).

Elektronski potpis je skup podataka povezanih sa elektronskim dokumentom kojima se utvrđuje identitet potpisnika tog određenog dokumenta. Danas u praksi najčešće korišćeno rešenje je tehnologija digitalnih potpisa, zasnovana na kriptografiji infrastrukture javnog ključa (PKI) sa elektronskim sertifikatom prema standardu X.509v3 (RFC 5280).

Za korisnike, primena se svodi na: (1) posedovanje sertifikata izdatog od strane sertifikacionog tela koji povezuje par ključeva sa identitetom korisnika; (2) posedovanje para ključeva na pametnoj kartici, u tokenu ili drugom mestu gde se bezbedno čuva privatni ključ iz datog para i; (3) upotreba odgovarajućeg programa za elektronsko potpisivanje dokumenata i podataka, npr. Microsoft Office, OpenOffice.org, Adobe Acrobat ili namenskog softvera za potpisivanje.

Kvalifikovani elektronski potpis dokumenta u programu OpenOffice.org Writer korišćenjem XML Digital Signature standarda za postupak elektronskog potpisa, formiran upotrebom elektronske lične karte kao sredstva, koji se proverava kvalifikovanim elektronskim sertifikatom koji izdaje Sertifikaciono telo MUP Republike Srbije

Po Zakonu o elektronskom potpisu razlikujemo elektronski i kvalifikovani elektronski potpis. Kvalifikovani elektronski potpis je potpis kojim se pouzdano garantuje identitet potpisnika, integritet potpisanog elektronskog dokumenta i onemogućava naknadno poricanje potpisa. Da bi navedeni zahtevi bili ispunjeni, kvalifikovani elektronski potpis mora da bude formiran prema Pravilniku o tehničko-tehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa i kriterijuma koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa („Sl. glasnik RS“, broj 26/2008, 13/2010).

Prema tom tehničkom pravilniku namenjenom programerima i sistem integratorima, neophodni uslovi za kvalifikovani elektronski potpis su da je on formiran sredstvom za formiranje kvalifikovanog elektronskog potpisa (SSCD uređaj, najčešće u vidu pametne kartice ili tokena), da je formiran određenim postupkom prema pravilniku i standardima na koje se poziva i sve to povezano sa izdatim kvalifikovanim elektronskim sertifikata.

Upotreba kvalifikovanog elektronskog potpisa elektronskog dokumenta, odnosno bilo kojih elektronskih podataka u opštem slučaju, osnov je za njihovu punovažnost i dokaznu snagu u pravnim poslovima, upravnim, sudskim i drugim postupcima. Kvalifikovani elektronski potpis ima isto pravno dejstvo i dokaznu snagu kao svojeručni potpis, odnosno svojeručni potpis i pečat.

Učesnici u elektronskom poslovanju posebnim ugovorima mogu uzajamno usvojiti priznavanje i elektronskih potpisa koji nisu kvalifikovani (kako je danas najčešće slučaj u elektronskom bankarstvu). Ne postoji opšta zakonska obaveza korišćenja kvalifikovanog elektronskog potpisa ukoliko učesnici poslovanja utvrde da ne žele pravno-tehničku sigurnost koju kvalifikovani elektronski potpis donosi.

Najčešća upotreba kvalifikovanog elektronskog potpisa jesu servisi elektronske uprave za građane i privredu, na primer na internet portalu e-Uprava.

Zakon o elektronskom dokumentu („Sl. glasnik RS“, broj 51/2009) se nadovezuje na propise o elektronskom potpisu, dodatno određujući uslove i način postupanja sa elektronskim dokumentom, bilo da je on potpisan ili nepotpisan. Propisi o elektronskom dokumentu regulišu uslove za formiranje i čuvanje dokumenta u elektronskom obliku, određuju pojam originala elektronskog dokumenta i mogućnost pretvaranja dokumenta iz papirnog oblika u elektronski i obrnuto.

Zakon o elektronskom dokumentu, član 4 (isečak)
Elektronskom dokumentu ne može se osporiti punovažnost ili dokazna snaga samo zato što je u elektronskom obliku. ... Ako je propisom utvrđen pismeni oblik kao uslov punovažnosti pravnog akta, pravnog posla ili druge pravne radnje, odgovarajući elektronski dokument potpisuje se kvalifikovanim elektronskim potpisom, u skladu sa zakonom kojim se uređuje elektronski potpis.

Zakon o elektronskom potpisu, član 4 (isečak)
Ako je zakonom ili drugim propisom predviđeno da određeni dokument treba čuvati, to se može učiniti i u elektronskom obliku, pod uslovom...

Zakon o elektronskom dokumentu, član 5 (isečak)
Elektronski dokument koji je izvorno nastao u elektronskom obliku smatra se originalom ... Elektronski dokument koji je nastao digitalizacijom izvornog dokumenta čija forma nije elektronska, smatra se kopijom izvornog dokumenta.

Digitalizovana kopija dokumenta u papirnom obliku ima istu pravnu snagu kao i izvorni dokument ukoliko je digitalizacija obavljena u vršenju delatnosti, a elektronski dokument je potom potpisan kvalifikovanim elektronskim potpisom od strane ovlašćenog lica unutar pravnog lica.

Na žalost, Član 4, stav 3, tačka 6 Zakona o elektronskom dokumentu (prema Članu 3. Zakona o elektronskom potpisu), sprečava upotrebu elektronskog dokumenta svuda gde je posebnim zakonom ili podzakonskim aktom koji bliže uređuje određenu materiju izričito određena upotreba svojeručnog potpisa na papiru i overenog svojeručnog potpisa. Bilo bi očekivano da se izmenama koje se sada donose propisi usklađuju sa ova dva zakona tako da ne sprečavaju elektronsko poslovanje. Karakteristične formulacije „... na papiru, odnosno elektronski“ i „... potpisom, odnosno kvalifikovanim elektronskim potpisom“ bi trebalo češće da viđamo. Utisak mi je da bi kompanije koje na tržištu nude poslovna softverska rešenja i šira stručna javnost morali da budu više angažovani u uočavanju ovakvih prepreka.

Zakonom o elektronskom dokumentu se uvodi pojam i upotreba vremenskog žiga kao postupka za pouzdano označavanje da su elektronski podaci postojali pre označenog trenutka.

Vredi pomenuti da je kod nas usvojena Strategija i akcioni plan za razvoj elektronske uprave. U poslovanju organa uprave, koje je specifično po tome da je uređeno propisima, u skladu sa strategijom doneti su prvi propisi o elektronskom kancelarijskom poslovanju i primeni elektronskog dokumenta i potpisa u organima državne uprave, na predviđenom putu modernizacije koji vodi povećanju efikasnosti, racionalizaciji i uvođenju elektronske uprave.

Drugi pišu:

Januar 2015.	Šta je to e-potpis, kako se koristi i kako instalirati to čudo (na Mac OSX), Darko Vidić
Januar 2011.	Elektronski potpis i dostavljanje poreskih prijava elektronskim putem, Ljubiša Lazarević
Mart 2009.	Elektronsko poslovanje, e-trgovina, Aleksandar Gvozden

Raniji zapisi na blogu iz iste kategorije:

Januar 2009.	„Čemu služi i kako se koristi elektronski potpis, korak drugi“
Februar 2005.	„Čemu služi i kako se koristi elektronski potpis“