Kako sa kvalifikovanim digitalnim sertifikatima na Linux-u?

U svetlu promena koje je naša Vlada najavila, a koje stupaju na snagu 01.01.2014. godine, javlja se problem ne Windows korisnika u vezi upotrebe digitalnih sertifikata. Ja sam nesrećni vlasnik kvalifikovanog digitalnog sertifikata (u daljem tekstu: KDS) Privredne komore Srbije, koji nisu izašli našoj privredi u susret i omogućili pristup i upotrebu KDS-a na ne Windows računarima (Apple MAC OS, Linux, razni UNIX-i…).
Ovim se priča ponavlja, da naša Srbija nije zapravo naša, nego Micro$oft-ova i da u Srbiji nema programera koji znaju raditi na nekoj drugoj platformi osim Micro$oft-ove. Obratio sam se e-mail porukom Privrednoj komori Srbije, s obzirom da 23 godina plaćam članarinu istoj (odnosno firma čiji sam direktor!) i da je red da, ako već zastupaju interese privrede u Srbiji, povedu računa i da podrškom za ne Windows sisteme snize troškove našoj posustaloj privredi.
Kao što pretpostavljate, nisam do sada dobio odgovor, i ako sam im se obratio pre više od 30 dana. Ovim apelujem na celu FLOS zajednicu u Srbiji, da se aktiviramo svi i učestalim e-mail porukama sa sličnim zahtevom izvršimo pritisak, ne samo na Privrednu komoru Srbije, koja je samo jedno od više sertifikacionih tela u Srbiji.
Za sada, prema neproverenim informacijama, samo Pošta Srbije ima podršku za Linux i MAC OS korisnike. Ovo nisam u mogućnosti da proverim, ali bih žarko želeo da saznam od kolega koji imaju već KDS izdat od Pošte Srbija.

Nije prvi puta da se korisnici Linux i Apple MAC OS sistema ostavljaju na cedilu, kada je država u pitanju. Setimo se samo e-Banking-a, zatim elektronske korespodencije države isključivo u M$ Office formatu sa nama i drugih stvari, kojih trenutno ne mogu da se prisetim. Sve je ovo posmatrano ne zainteresovano od strane FLOS zajednice u Srbiji i često se više pažnje posvećivalo diskusijama o slaboj zastupljenosti GNU/Linux sistema kod nas u Srbiji, a ovo je veoma jak razlog za dobru zastupljenost.

Ako se nastavi korespodencija države sa nama putem M$ Office (DOC, DOCX, XLS i drugih) formata, a ne primenjuje se otovoreni standard koga podržava openOffice.org i Libre Office, onda o većoj zastupljenosti GNU/Linux-a nema govora. Ako, već od 01.01.2014. godine, moramo podnositi poreske prijave, prijavu odjavu radnika i prijavu poreza po odbitku u CRSO, onda ćemo to po svoj prilici vršiti isključivo sa Windows računara. S obzirom da se instaliranje KDS za ovu priliku i na Windows platformni kosi sa pojedinim e-Banking sistemima, takođe je sva prilika da ćemo samo za ovu priliku morati da nabavimo poseban računar sa licenciranim Windows OS.

Upotrbom GNU/Linux sistema, cena “pristupa” državi bi se svela na upotrebu već postojećeg GNU/Linux računara, što bi smanjilo troškove privredi za: cca_150_€_za_WIndows + 300€_novi_računar=cca_450€ po privrednom subjektu. Ako se ova iznos pomnoži sa brojem privrednika, potencijalno se mogu napraviti veliki troškovi.
Verujem da mnoga preduzeća nisu u stanju da izdvoje ovoliki novac i zato apelujem da izvršimo pritisak na sertifikaciona tela, ali i na državne organe, poresku upravu i CRSO.

Najbolje je pitati direktno, telefonom ili mailom:

http://www.ca.posta.rs/

Uputstvo za OpenOffice je ovde
http://www.ca.posta.rs/dokumentacija/default.htm

…a upit za linux/mac os softver na
http://www.ca.posta.rs/preuzimanje_softvera.htm

Ja bih voleo da se tehnički malo bolje objasni koji je problem tu :). Meni ovo liči na dodavanje sertifikata uz pomoć Office ili Web Browsera, čitači valjda rade na Linuxu… tako da ne kontam gde je problem :connie_pumpkinsmile: . Jel se koristi neki specific softver taj safesign ili kako ?

SafeSign® Identity Client Compatibility Proof SafeSign_IC_box.JPGSafeSign IC offers flexibility and guaranteed compatibility, whether…

[LIST][]for administrators, system integrators, secretarial staff or other users.
[
]you use smart cards with card readers or USB tokens.
[]Windows, MAC OS X, Sun or Linux is implemented.
[
]browsers, e-mail clients, VPN clients, data encryption or Single Sign On are in place.
[]Chinese, German, English, Finnish, or many other languages are needed.
[
]token initialization, PIN/PUK modification or individual adaptation are needed.
[*]Microsoft CryptoAPI (CSP), minidriver, PKCS#11, PKCS#12 or PKCS#15 are used.
[/LIST]

http://www.aeteurope.nl/en/pub/products/safesign.cfm

Ili je taj Time-Stamp klijent što zahteva NET Framework 4 problem - ne znam za šta je ovo nemam Windows - za proveru samo CE ili kako :).

Jedini problem je neznanje…verovatno je neka PKS-ćurka pročitala Zokijev mail i bacila ga u kantu, da se ne zamara :smiley:

Protiv njih se jednio vredi boriti na Next>Next>Finish način - napraviš GUI i tutneš ga ćurki :D.

Zoki ti ako ćeš nekoga da hvataš za gušu :connie_lemon: , evo da ti pomognem vidim u Time-Stamp klijent Poste binary neki piše Ivan Lazarević ne ume da kompajlira :D.

C:\Users\ivan.lazarevic\Desktop\Temp Deskop 1\PTT NEW DEV\TsaClientApplication\TsaClientApplication\obj\x86\Debug\TsaClientApplication.pdb

Kompajlira na Desktopu o izem ti život :D.

U Temp… a ima i fotošop na računaljki :smiley:

pazi biser:
“Provera opozvanosti se ne radi za (x) sertifikat, jer je to sertifikat kome se unapred veruje…”…pravo uputstvo za ćurke :smiley:

Ista ekipica radi svašta nešto oko toga, samo su NET Framework učili u školi :D.

SERBIAN POST CERTIFICATION AUTHORITY SOFTWARE FOR BILLING AND RECORDING OF ISSUED TIME-STAMPS
Dragan Spasić, Ivan Lazarević, Stevan Milinković, Branislav Milojković

http://postel.sf.bg.ac.rs/downloads/simpozijumi/POSTEL2012/RADOVI%20PDF/Postanski%20saobracaj,%20mreze%20i%20servisi/5.%20D.%20Spasic%20et%20al…pdf

Isprao im mozak Microsoft u nekoj večernjoj školi i ja sad da brinem brigu zbog toga :D.

Ima tu i Visual studio dometa :smiley:

Ima, ima, ne kažem da nema :D.

c:\users\stivan\documents\visual studio 2010\Projects\TsaMsgBox\Debug\TsaResource.pdb

Korisna adresa:

[ATTACH]2041.IPB[/ATTACH]

:biggrin:

Tako, tako :connie_pumpkinsmile: ko hoće nek klikne na [ATTACH]2042.IPB[/ATTACH]

Nije valjda da niko nema svoj KDS da proba nego moram da hvatam skrinove i prepričavam svoju muku…

Dobro vidim da je tako…

Evo, nakon instalacije pcsc* paketa, i još štošta što mi je ličilo da treba da se instalira, nekako je proradila detekcija OmniKey 3021. kada iz konzole otkucam:

pcsc_scan, dobijem:

PC/SC device scanner
V 1.4.21 © 2001-2011, Ludovic Rousseau
Compiled with PC/SC lite version: 1.8.10
Using reader plug’n play mechanism
Scanning present readers…
0: OMNIKEY CardMan (076B:3021) 3021 00 00

Wed Oct 30 08:21:57 2013
Reader 0: OMNIKEY CardMan (076B:3021) 3021 00 00
Card state: Card inserted,
ATR: 3B 7D 94 00 00 80 31 80 65 B0 83 11 00 C8 83 00 90 00

defined(@array) is deprecated at /usr/lib/perl5/vendor_perl/5.16.2/x86_64-linux-thread-multi/Chipcard/PCSC.pm line 69.
(Maybe you should just omit the defined()?)
ATR: 3B 7D 94 00 00 80 31 80 65 B0 83 11 00 C8 83 00 90 00

  • TS = 3B --> Direct Convention
  • T0 = 7D, Y(1): 0111, K: 13 (historical bytes)
    TA(1) = 94 --> Fi=512, Di=8, 64 cycles/ETU
    62500 bits/s at 4 MHz, fMax for Fi = 5 MHz => 78125 bits/s
    TB(1) = 00 --> VPP is not electrically connected
    TC(1) = 00 --> Extra guard time: 0
  • Historical bytes: 80 31 80 65 B0 83 11 00 C8 83 00 90 00
    Category indicator byte: 80 (compact TLV data object)
    Tag: 3, len: 1 (card service data byte)
    Card service data byte: 80
    - Application selection: by full DF name
    - EF.DIR and EF.ATR access services: by GET RECORD(s) command
    - Card with MF
    Tag: 6, len: 5 (pre-issuing data)
    Data: B0 83 11 00 C8
    Tag: 8, len: 3 (status indicator)
    LCS (life card cycle): 00 (No information given)
    SW: 9000 (Normal processing.)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
3B 7D 94 00 00 80 31 80 65 B0 83 11 00 C8 83 00 90 00
personal identity card (ID card) of Republic of Lithuania

Zabrinjava me ona 69-ta linija koja u PCSC.pm pravi Warning (ili pak Error!). No, definitivno čitač je vidljiv i trebalo bi da radi, ali neće. Treba još nešto uraditi, ali nisam imao puno vremena da “čačkam”, pa rekoh da vidim jel` neko “pronašao toplu vodu”.

Čak i da uspem da ovo napravim, prvenstveno radi sebe, ne vidim šansu da to uradi prosečan korisnik GNU/Linux. Ovo je zapravo problem i zato moj apel da oni koji su izmislili ovo moraju da imaju rešenje, a u najgorem slučaju ga moramo pronaći mi. Jeste da Pošta Srbije ima neku, kakvu takvu, podršku za Linux i MAC OS X, ali bih to voleo da potvrdim u praksi. Na seminaru koji je organizovao Paragraf rečeno mi je da je aplikacija pisana u Javi i da radi na GNU/Linux, ali nisu demonstrirali to, što mi je namaklo dozu sumnje, pa sam počeo odmah da polemišem s njima, na šta oni nisu bili spremni! Dođoh u firmu i probah, ali “mućak”, neće k`o što sam i pretpostavljao.

Savetovao bih umesto da ovde prepričavamo “google”, što svako može od nas naprednijih, da probamo lično na GNU/Linux da pristupimo CRSO[/URL], ili [URL=“http://www.poreskauprava.gov.rs/e-porezi/informacije.html”]Poreskoj upravi Srbije. Ako neko uspe, sa bilo čijim KDS, neka se javi ovde i neka iznese iskustva…
Teorija je jedno, a praksa drugo…

Mislim da nam Goran Rakić iz openOffice.org Srbija (možda je sada u Libre Office timu!) može pomoći, jer je radio na čitaču lične karte pisanom u Javi. Ako vidi ovo neka iznese svoja iskustva, trebaju nam ljudi koji znaju prave stvari…

[COLOR=rgb(102,0,0)]The site’s security certificate is not trusted! ::)[COLOR=rgb(102,0,0)]

Uglavnom ni enkripcija sa SSL-om im nije instalirana kako treba ([SIZE=10px]umesto wide_ssl klinci okačili single domain ssl[/SIZE]) a mi treba da očekuemo sertifikat na kupusu :empathy:

Da, Goran je sada isključivo u Libre-u. Koliko sam ja upoznat on se neko vreme zanimao sa tim čitačima, čak je i skicu pravio kako bi trebalo da izgleda taj čitač i koje funkcije da ima, ali mislim da se na tome zaustavio.

Što se tiče e-bank varijante sertifikati su podešeni tako da rade isključivo iz IE browsera, bar većina sa kojom sam se susreo. Što je izuzetno “pouzdano” znajući koliko je to bezbedno parče softvera. Ujedno to je jedan od 2 razloga zbog kojih sam morao da napravim mešovitu mrežu sa licenciranih nekoliko win računara u firmi.

Emulacija nije prihvatljiva kada se radi o poslovanju.

A virtualizacija? :chiffa:

@zokipoky

Ovaj isto koristi opensuse, ima istu grešku ali kanda ne utiče na uspešnost:

https://forums.opensuse.org/english/get-technical-help-here/how-faq-forums/unreviewed-how-faq/print-471405-set-up-use-italian-regione-friuli-venezia-giulia-healthcare-smart-card-crs.html

Uglavnom autor svih tih utilites ima vrlo informativan blog:

http://ludovicrousseau.blogspot.com/

A vidim i da je DD više od decenije i onda uvek ima nove SC pakete u Debianu:

http://people.debian.org/~rousseau/

Oćeš Debian ipak da probaš :)… šalim se, nemam ja te sertifikate i kartice pa ne mogu da probam lično, a i da imam problem prijavio bih mu bug jelte… ali eto možda ti ovo nešto pomogne :).

Pa, teško kod običnih korisnika, plus ipak malo ozbiljniji hardver… Ne isplati se zezati se s tim. Preživeo sam nekoliko winbox-ova na jeftinim ofis makinama.

Јел пробао неко SCard4Wine?
http://scard4wine.sourceforge.net/

Омогућава WINE-у да користи pcsc Linux-ов драјвер за Windows апликације. Firefox, Java Runtime i middleware за сертификате се успешно инсталирају под WINE-ом. Више о примени SCard4Wine:
http://forum.od.ua/showthread.php?t=32441&s=973a6aa086647204532fa3311ac68308&p=26626240&viewfull=1#post26626240

При приступу сајту за еПорезе, читач и даље није детектован. Ево па пробајте, треба WINE да искористи Linux-ов драјвер, али му не полази за руком.

Можете погледати и следећи линк:
http://ubuntu.hu/node/36404

I posle skoro dva meseca, doduše povremenog, smaranja i istraživanja problem nije rešen. Da ponovo istaknem važnost ove problematike…

Kao što se zna sva korespodencija sa Poreskom upravom[/URL] i [URL=“https://portal.croso.gov.rs/criscr/faces/Login.jspx?_afrWindowMode=0&_afrLoop=210600039673124&_adf.ctrl-state=ljvfcvv0h_4”]Centralnog registra socijalnog osiguranja sada treba da ide preko WEB portala, koji nam je predstavljen krajem prošle godine. Svi pravni subjekti, dakle sva preduzeća, ali i radnje, moraju putem pomenutog portala, uz pomoć svog ličnog ili firminog računara, da podnesu poreske prijave za PDV i porez po odbitku, kao i da izvrše prijavu i odjavu radnika svoje firme. U tu svrhu se koristi lični kvalifikovani digitalni sertifikat (na dalje: KDS), kojim se pravni subjekat (firma, radnja…) identifikuje na pomenuti portal. S obzirom da se radi o ličnom sertifikatu koji se upotrebljava za identifikovanje firme, ili radnje, one su povezane s odgovornim licima u njima (direktorima), koji moraju lično, ili uz pomoć ličnog ovlašćenja drugim licima, da izvrše povezivanje tih firmi i radnji, sa licima koja će u njihovo ime obavljati svu napred navedenu korespodenciju.

Dakle, treba uključiti računar, umetnuti medijum na kome se nalazi KDS u odgovarajući čitač (USB stik, SmartCard, ili nešto treće…), pristupiti WEB portalu i identifikovati se. Skoro svi pravni subjekti i radnje su pribavili svoj KDS za direktore (jer su oni u startu povezani s firmom, koristeći podatke iz APR-a, ali i MUP-ove baze!), ali i za svoje radnike, koji će u vršiti pomenute poslove. Pritom su radnicima data ovlašćenja putem PEP obrasca, ili direktno preko portala, za određene poslove.

Sama procedura pristupa portalu i instalacija softvera na Windows platformi je objašnjena u “slici iu reči” i na nivou je učbenika za osnovnu školu. Ako kojim slučajem Vaša firma nema ni jedan Windows računar u svojoj mreži, a u IT opremu je uložila 10.000 € i nabavila skupe iMac računare, misleći da je time dostigla tehnološki vrh, onda se sigurno prevarila. Čak i ako je Vaša firma rešila da ništa osim “opensource”-a nema na svojim računarima i da je time u skladu sa trendovima u modernom svetu, misleći kako daje doprinos, jednom pokretu koji uskoro treba da preovlada, onda se sigurno prevarila. Vaša firma se sigurno nije prevarila ako je nabavila jeftine računare sa Windows OS-om (bilo koje vrste nakon XP-a!). Čak mogu poslužiti i predpotpski računari tipa Pentium III, samo da je na njima Windows…

Na ovom sajtu nalazim i čitam kojekakva “studentska” pitanja i razmišljanja, sa povremenim, ali oskudnim, ozbiljnim diskutantima, pa mi liči da Linux niko ne koristi u poslovne svrhe i da niko nije kadar da iznese svoje probleme, ili su svi rešili svoje probleme, pa ih nemaju. Linuxom se bavim poslednjih 16 godina, a koristim ga u profesionalne svrhe već skoro 10. Neki me znaju kao SUSE-ovca, što ja svakako nisam, jer sam prvenstveno JavaMan, LibreOfficeMan, KDEMan, KrusaderMan, NetBeansMan… Dakle, kada se zadesim kod korisnika na Windows Desktop-u, ja ne primećujem Windows iza svojih aplikacija, sve dok me ne uspori, ne iskrsne upozorenje za virus, ili nakon svega toga kada se restartujem, ne traži da radi Update 45 minuta. U svojoj firmi imam 3 do 4 različitih Linuxa na testu, svakodnevno i za moj rad sasvim je nebitno koji Linux, već da je Linux na Desktop-u.

Da, i nakon toga bih da pristupim pomenutom portalu sa Linux Desktop-a. Ne može… Dobro, `ajde onda sa one virtuelne XP mašine za e-banking. Ne može, smeta Halcom na njemu i ne da pristup portalu. Dakle treba još jedna virtuelna mašina? Sr…e! Pa dobro, još jedna…, samo da se država ne doseti još nekog portala, pa da na kraju imam 10 virtuelnih mašina za 10 portala!

Ceo softver portala je izgleda pisan u Javi i navodno radi na Linuxu, po rečima tima iz Privredne Komore. Barem onaj deo oko priajve na portal je pisan u Javi, što bi trebalo da govori da bi trebalo da radi na Linux-u. Na raznim predavanjima, pa i onima koje su držali ljudi iz Privredne Komore, ubeđivan sam da neće biti problema u radu sa Linux-om, a da za MAC OS X samo što nije napisan drajver i da će ga biti uskoro. Posumnjao sam naravno, čim sam saznao da za Linux i MAC OS X neće biti pružana podrška. Pisati softver u Javi ne zanči da će on biti prenosiv, ukoliko se koriste native biblioteke za Windows, a iste izostanu za druge platforme. Zašto je ovo ovako mogu jedino da odgovore ljudi iz razvojnog tima Privredne Komore. Ja sam ubeđen da je moglo drugačije…

Za svo to vreme ja se smaram pokušajima da za pristup portalu korisim Linux, bolje da kažem openSUSE Linux (64bit!). Skinuo sam PSCS Lite, skinuo drajver za OmniKey 3121 SmartCard Reader, sve instalirao i … neće. Skinuo sam i još brdo paketa za PSCS, probao i na drugim distribucijama (Ubuntu!) i to sve neće! Kako imam KDS od Privredne komore RS, pozvao sam njihov tim, odnosno g-din-a Brodića, ili Bradića, ne sećam se tačno, koji je rukovodilac tima i prava IT zverka sa dugogodišnjim iskustvom. On mi šalje 32-bitni drajver (.so biblioteka!) koga treba da “ušlihtam” u FireFox jer je on navodno jedino potreban da sve proradi. Međutim .so je 32-bitni i 64-bitni FireFox ga ne vidi. Moram ponovo da kontaktiram pomenutog g-dina, koji je uz to veoma ljubazan, da mi pošalje 64-bitnu verziju te .so biblioteke.

Zabrinulo me je kada je pomenuti gospodin, a zna se da je Privredna Komora Srbije izdala ponajviše KDS-a, u usmenom kontaktu izjavio da sam ja prvi Linux-aš koji je tražio da pristupi iz Linux-a portalima. To me dovodi u sumnju i nedoumicu o zastupljenosti Linux-a u poslovnim okruženjima, za šta najveću odgovornost imaju ljudi koji se diče svojim OSS radom i koji na ovakvim mestima treba da pruže informacije potencijalnim poslovnim korisnicima Linux-a da na ovom sajtu ne mogu da pronađu informacije, barem ne dok pojedini od njih ne diplomiraju i završe s igricama (ovaj moj (sin!) koristi za to Sony, pa ne znam zašto ovi ovde koriste PC sa Linux-ima!?!?!?!).

Potražio sam i na još nekim mestima u zemlji informacije u vezi ovog problema, ali na žalost nema ih mnogo i sve su kontradiktorne. Problem očigledno pravi pomenuti drajver, u vidu .so biblioteke (na Windows-u se isto zove i ima nastavak .dll). Post pišem od kuće, a na poslu mi se nalazi pomenuti fajl, koga mi jeposlao g-din Brodić, pa ne mogu da navedem sada tačno ime fajla. Dakle:
[LIST=1][]drajveri i biblioteke su instalirani OK;
[
]pscs dimon prepoznaje umetnutu karticu u čitač;
[]FireFox detektuje OmniKey 3121 SmartCard Reader i zatraži ubacivanje kartice;
[
]prijava na portal se odvija iz Java apleta, koji se pre toga uredno učita sa portala i zatraži dozvolu za izvršenje apleta;
[]Java aplet detektuje pomenuti Card Reader, što se vidi u naslovu apleta;
[
]kada se otkuca PIN, ne događa se ništa… sve kao da se nije ni dogodilo!
[/LIST]
Očigledno pomenuta .so biblioteka ne odradi posao, jer je neodgovarajuća. Zašto su morali da primene baš ovaj vid enkripcije, kada ima “more” drugih, prvenstveno OSS. To je za sada nepoznato.
Javiću kada budem uspeo!

Da ne citiram celu poruku…da li ti je možda palo na pamet da probaš 32-bitni Firefox prvo?

http://www.mozilla.org/en-US/firefox/all/

Za probu možeš da instaliraš i 32-bitni linux…