Problem sa elektronskim sertifikatima u ličnim kartama

Idi lepo na salter i odradi sta imas da odradis.

Svrati ti kod mene lepo na kafu i glenfiddich, da ne kažem brlju, pa da ti objasnim ovo na tenane - a ne da čitaš po nekakvim tamo blogovima.

Mala sala...
Nisi valjda pomislio da mislim ozbiljno?!

Vidi, ja sam tri noći do 3-4 ujutru pokušavao prvo da potvrdim šta je problem, a onda i da ga zaobiđem. Na primer, kopao sam po sors kodu BouncyCastle kriptografske biblioteke (koju nisam pomenuo da ne komplikujem priču) da vidim da li mogu da zamenim SignerID koji pravi CryptoAPI (jer moram njega da koristim za potpis, pošto trenutno kartica ima radeću podršku samo za CryptoAPI) sa ovom produženom formom sa vodećim nulama, ali na žalost ne može - serijski broj sertifikata je tamo "big integer" dok se ne enkodira BER verzija sertifikata).

Na kraju sam, oko dva ujutru jutros, posle još jednog neuspešnog pokušaja zaobilaženja, rešio ipak da ga opišem i zamolim za akciju one koji ga mogu rešiti (već sam bio najavio urednici da će biti blog tog tipa). Skupljao sam ove reference i slagao tekst do pola četiri ujutru skoro. I probudim se ujutru, posle četiri sata spavanja - i vidim ima jedan komentar - i to tvoj. Prvu verziju komentara sam posle ispravio, da je ublažim.

Hansel

Gorane, najpre hvala što se baviš ovim temama i unapred oprosti što ću možda pitati nešto što si ranije već objasnio - nisam mogao da pomno čitam prethodne tekstove.

Osnovno je pitanje da li MUP izdaje sertifikat samo na ličnoj karti (recimo, ja ne želim da ga svuda nosim sa sobom, možda ne želim ni ličnu karti s čipom, npr. zato što čujem neki dan u čekaonici da su ljudi morali da je menjaju i ponovo plaćaju izdavanje nove LK jer se sa čipom nešto desilo, pa ne može da se očita - "razmagnetisao se" - kažu oni!?)? Koliko vidim , izdaju samo na LK, a PTT izdaje sertifikate, ali imaju ograničeno trajanje i mnogo su skupi!?

Drugo je pitanje da li misliš da će oni ovaj problem da reše, pa da sačekam sa zahtevom za LK, dok to ne reše... Ne znaš da li se još uvek sertifikati dobijaju samo u Ljermontovljevoj?...

Hm, toliko za sada. Unapred hvala!

Ćao Ivice!

Sertifikat koji izdaje MUP je, kao i svi drugi sertifikati, niz bajtova - koji se stavlja, između ostalog, u svaku potpisanu poruku (da bi se mogla proveriti verodostojnost potpisa). To na žalost ne oslobađa čoveka potrebe posedovanja kartice - jer je ono što sertifikat u stvari sertifikuje - par kriptografskih ključeva: javni (koji se takođe ugrađuje u svaku poruku, jer je deo sertifikata) i privatni (koji kartica generiše na početku upotrebe i koji nikada ne izlazi iz kartice, nego ga kartica koristi pri potpisu kada se aktivira PIN-om - to je deo mehanike bezbednosti upotrebe celog sistema).

Sertifikati se ne izdaju samo na kartici - mogu se izdavati i na USB "privesku" - pošta recimo izdaje i na taj način. U svakom slučaju, da bi potpisivanje bilo dovoljno bezbedno, sada se pratično zahteva (uključujući i odredbe podzakonskog akta - pravilnika koji sam okačio gore, kao i odgovarajućih standarda EU na koje se pravilnik poziva) da postoji "kriptografski token" - tj. kartica, "usb privezak" ili nešto slično. Ako pogledaš cenovnik PTT sertifikata (koji inače nemaju ovaj problem gore), videćeš fusnotu u kojoj kaže da se sertifikati ne izdaju bez medija, nego je ta opcija samo produženje važnosti postojećih.

Što se tiče cene - besplatan ručak, što bi ekonomisti rekli, ne postoji - koštaju i MUP sertifikati - samo što ih plaćamo kroz porez i kroz cenu izdavanja lične karte (koja nije baš ni mala). I u tom smislu mislim da je korektno da tražimo kvalitet, za novac koji dajemo (kad je usluga već obećana i na osnovu nje odabrana tehnologija koja nije baš ni jeftina).

Što se tiče uzimanja lične karte - ja bih preporučio da sačekaš nedelju-dve, da vidimo kako će se ovo razviti - da ne bi nepotrebno još jednom išao u policiju (ili poštu - najavili su pre nekoliko meseci da će od jeseni i pošte moći da izdaju lične karte i pasoše, ne znam da li je to počelo). Ova informacija je, kao što rekoh, stigla već do MUP - pa ćemo videti koliko će brzo reagovati.

Hvala mnogo! Dakle, da sačekamo (ja i moram, jer u Matičnoj službi koja treba da mi izda Izvod iz MKR već nedelju dana nemaju obrasce i ne znaju kada će ih dobiti!!!) - MUP samo na LK (to me prevashodno zanimalo), naravno da nema ništa besplatno, ali nekako mi to, priznajem, bez veze - ako hoćeš sertifikat odvojen od lične karte, treba direktno iz džepa da platiš za, za naše uslove, solidan iznos, a država, kao, (treba da) favorizuje e-upravu, koja, valjda, i njoj povećava efikasnost i smanjuje troškove? Da ne pominjemo malu mogućnost da zadovoljavajući broj ljudi kupi čitače smart kartica... neke banke izdaju sertifikate na CD-u u to je možda najpraktičnije - kolika je zapravo verovatnoća zloupotrebe u slučaju bankarskih transakcija i kako se ona može uporediti s mogućnošću zlopotrebe elektronskog potpisa u poslovima sa e-upravom?

Na žalost, to sa diskom na kome je privatni ključ šifrovan lozinkom je daleko od bezbednog, bar za potrebe kvalifikovanog elektronskog potpisivanja dokumenata (punovažna zamena za svojeručni potpis), čak i kad se ignoriše rečnički napad - jer softver u računaru dešifruje datoteku koja čuva privatni ključ sa diska - i onda je ključ na raspolaganju svim neobičnim florama i faunama koje se nalaze na računaru na kome se to dešava, bez znanja vlasnika da je ključ završio u nečijoj privatnoj kolekciji (za razliku od krađe kartice, kad bar nešto fali u džepu, za šta postoji takozvana procedura opoziva sertifikata). Postoji veoma dobar razlog zašto se to ne dozvoljava za ovakve primene. Čak i ovo sa smart karticama zahteva vrlo oprezno pisanje aplikacija - evo EU preporuke iz gore pomenutog pravilnika koja se tiče toga kako praviti aplikacije.

Čitači kartica se mogu kupiti već od 15 evra na dalje (a počinju da se pojavljuju već ugrađeni na novijim laptopima). Ako postoje iole smislene primene ovoga, gde se može nekoliko puta godišnje "preskočiti red", koji se tipično čeka u radno vreme - mislim da je dodavanje 15 evra na cenu računara mizerna stavka u ukupnim troškovima. Da ne izražavam sada u paklama cigareta, da ne naskoče ponosni pušači

Čini mi se da se "puca" previše visoko i da će zbog toga jedan bitan servis biti realno dostupan manjem broju ljudi nego što bi trebalo. Opet, razumem da u nekim slučajavima bezbednost treba povećati, ali...

Meni se opet čini da je tajming "pucnja" odličan, samo da prebolimo par dečijih bolesti.

Najavljeno je da će uskoro moći da se dobije broj za čekanje u redu za biometrijska dokumenta - preko e-uprave. Super! Nisam maliciozan, ali vrlo mi je verovatno da će za dobijanej broja biti potreban - elektronski potpis, a koji će biti dobijen podizanjem biometrijske LK. Možda stignemo da delujemo preventivno na ovaj, sasvim mogući, paradoks?

Ne, možeš se registrovati i na tradicionalan način (korisničko ime i lozinka) - javi kako si prošao sa celom stvari!

Još jednom hvala na susretljivosti, strpljivosti i iscrpnosti. I na "naučno-popularnom pristupu"! Čisto da se razumemo, nisam mislio na tajming (OK je, moglo je i ranije), samo na (ne)dostupnost većini.

Lična karta ima i druge namene (vizuelna identifikacija). Osim toga, kartica sa čipom se sada koristi i kod odlaska na razne šaltere (ne samo države) - za elektronsko preuzimanje ličnih podataka (pomenuti "Čelik" ), što takođe stvara uštede. Tako da je daleko od nepristupačnog - a, kao što rekoh, onih četvrtinu građana Srbije, koji koriste Internet, verovatno će moći da nađu dobar razlog da potroše 15 evra ako time više puta uštede čekanje na šalterima, da pomenem samo eGovernment primene.

Što se tiče ključa koji može da neko ukrade, ja sve mislim da on bez PIN-a, lozinke i sl. ne znači ništa, ili se varam? A ako sve može da se iz računara ukrade, jesu li bezbedni oni, uslovno ih nazivam, kućni POS terminali, neko je stavio fotku na jednoj tvojoj temi... ali, jesu li sertifikati na ličnim kartama zaštićeni PIN-om koji bi mogao da bude ukucan na takvoj spravici? Friteza ih nudi za 1.000 dinara!

Problem je što kod tih sistema sa diskom lozinka služi da se pretvori u ključ za dešifrovanje šifrovanog fajla sa ključem. Jednom kad se fajl dešifruje, lozinka je nebitna. Kod kartica i tokena, radi se o tome da kartica praktično ima malecki računar na tom čipu, koja vrši određen broj usluga, ali tražeći PIN pre upotrebe, i blokirajući samu sebe ako se PIN unese pogrešno previše puta uzastopce. Znači ključ nikada ne izađe iz čipa, a čip je tako (mehanički) napravljen da se praktično ne može električno ili mehanički "otvoriti" i zloupotrebiti.

Što se tiče onih sistema za jednokratne lozinke - oni su napravljeni za to što rade. Problem je što za digitalni potpis treba preneti 160 bita binarnih podataka u čip, pa onda minimum preko 1000 bita podataka vratiti nazad iz čipa, pa ugraditi u "pakovanje" - tako da ne bi bilo previše praktično da se to radi preko male numeričke tastature

Uzgred, ti sistemi sada postaju prilično nepotebni, ako se čovek može prijaviti na kućno bankarstvo "potpisom" iz lične karte. Mi smo (moja firma) uradili registraciju novih igrača za belgijsku lutriju na ovaj način.

Nema problem sa pitanjima - samo nastavi, što se mene tiče.

Izvršno veće Vojvodine (sada Vlada AP Vojvodina) je ranije pominjalo projekat informacionih kioska (računari pod RedHat distribucijom postavljeni u javnom prostoru namenjeni za pristup servisima e-Uprave), pa bi građani koji nemaju kućni računar ili čitač kartica verovatno mogli tako da dobiju uslugu bez čekanja u redu i van radnog vremena šaltera.

Ali i ispred njih može da se stvori red - jedino što ne moraju da se zadržavaju na pauzi za doručak, ručak i užine i da farbaju nokte

Imam utisak da su nam pozicije s kojih pričamo prilično različite, tako da ne bih da produbljujem diskusiju jer bi ispalo da se ne slažemo, a nije tako - npr. jeste da je široka primena ličnih karata s čipom, ali s obzirom da od izdatih dva miliona možda tek poneka ima sertifikat... A, uzgred, pitao si gore, nije još počelo izdavanje LK i pasoša u poštama.

Pa s obzirom da se sve kartice sada izdaju sa oba sertifikata (za autentikaciju i za potpisivanje), da Srbija ima 7 i kusur miliona stanovnika (od kojih bar još 2 miliona treba zameni ličnu kartu kad-tad), da se lične karte vade povremeno, a da se ovaj problem možda može rešiti pomeranjem sekvence na 16.777.216, postavljanjem novog korenog i "MUPCA Gradjani" sertifikata sa novim brojevima sekvenci i još jednim odlaskom u policiju onih koji su dobili neispravan sertifikat - ne bi me čudilo da za godinu dana u opticaju bude pola miliona kartica sa ispravnim sertifikatom. Toliko PTT i Privredna komora možda neće izdati za sledećih 10 godina, ako izdaju samo onima koji predstavljaju firme. Zato je značaj ove korekcije od strane MUP tako veliki.

Ja sam po ovom pitanju apsolutni optimista - pitanje je samo brzine procesa i kvaliteta ponuđenih usluga.

I za to sam spreman da se učipim i svojim dobrovoljnim radom - ne samo na popularizaciji ove teme, koju smatram važnom, ovim skromnim prilogom ubrzavanju stvaranja tehničkih uslova i preležavanja dečijih bolesti - nego i izradom jednog rešenja na potpuno nekomercijalnoj bazi, o kome ću pisati ovde kada bude dovedeno u formu koju ima smisla pokazivati, a koje me je i uvuklo u ovu priču (ovaj primer otkaza Microsoft CryptoAPI-ja je moj, napravio sam malu "proof of concept" aplikaciju za ono što hoću da uradim u XAdES (XML potpis), a onda nisam mogao da napravim varijantu sa PDF, koja bi, činjenicom da se potpis može proveriti na svakom računaru bez posebnog softvera za proveru, prilično pojednostavila celu stvar sa pravno-administrativne strane).

Hvala tebi za javljanje, pa će biti i akcije sigurno

Ne može se dovoljno naglasiti značaj ove teme za razvoj Srbije. Nisam inženjer, pa mi je zato još važnije da vidim da se neko ko poznaje stvari o tome piše javno.

I meni se ovo čini kao izuzetno bitna tema. Da se razumemo, svakako nije nešto što bi zasenilo priču oko rezolucije u UN (tako da možda neće napuniti naslovne strane), ali se tiče razvoja izuzetno važne infrastrukture koja društvu donosi kako velike uštede u troškovima trgovine i administracije, tako i znanje i ideje/projekte/rešenja koje se potencijalno mogu plasirati u komercijalnom obliku - pošto smo mi ipak, na neki način, rani korisnici ove vrste tehnologije (u EU su prvi uveli eID Belgijanci 2002 godine, a i sada nema preveliki broj članica EU koje imaju ovakvo rešenje eID).

Ovde postoji još jedna vrlo interesantna i važna tema - a to je besplatni ručak - korišćenje otvorenog softvera (Open Source) sa ličnom kartom sa čipom. Ovo nije najsrećnije urađeno od strane MUP trenutno, ali čini mi se da i ovde može doći do pomaka - pomenuti Goran Rakić radi i na sprezanju kartice sa Open Source softverom - uspeo je da napravi aplikaciju za čitanje ličnih podataka (MUP verzija se zove Čelik - čitač elektronske lične karte - baš su retro , a njegova je FreeSteel ) - a sada pokušava da od nadležnih u MUP dobije specifikaciju protokola komunikacije između kartice i čitača i da oko toga napravi biblioteku sličnu onoj koja je sada napravljena za Microsoft CryptoAPI, koja bi radila i na Linux a verovatno i drugim operativnim sistemima. Po meni je ovaj aspekt upotrebe lične karte sa čipom prvenstveno interesantan u kontekstu širenja znanja i veština koje omogućuju ponudu proizvoda i usluga u i van Srbije. Jer mislim da je ovo oblast koja će se itekako razvijati i tržište koje će itekako rasti.

kad nisu zvali Maksu i Vučka

Nisu loši ni ovi koji to rade, naprotiv - samo su izgleda bili malo baksuzni u ovoj priči i malo manje fokusirani na opštu primenu (na web sajtu MUP postoje primeri kako se potpisuju word dokumenti i to korektno radi, da se razumemo, tako da nije da se nisu trudili!)

To sa kadrom je u stvari jedna, bar meni, interesantna priča. Ključni ljudi u par firmi koje sada rade ove poslove u Srbiji (NetSet, E-Smart) su ispekli zanat u jednoj interesantnoj instituciji smeštenoj podno Avale - "Institutu za primenjenu matematiku i elektroniku" (IPME), kako su se predstavljali i stavljali u svoje stručne/naučne radove, tipično zaboravivši da dodaju ostatak - "Vojske Jugoslavije" (ili ranije "Jugoslovenske Narodne Armije" ). Tako da je ovo nama, tako reći, naša borba dala. I mislim da treba da cenimo što se bar u ovoj oblasti održalo "svetlo" tehnološke kompetentnosti - za razliku onoga što se, na žalost, desilo sa nekim drugim industrijskim granama, gde je uglavnom ostala samo nostalgija.

A za one koji ne znaju šta nama koji smo i blizu te specijalnosti ta knjiga znači (mene je mrzelo da idem do police ), evo šta kažu na Amazonu:

Review:
"the definitive publicly available text on the theory and practice of cryptography" (Computer Shopper, January 2002)

Dr Dobb's Journal:
... monumental ... fascinating ... comprehensive ... the definitive work on cryptography for computer programmers ...

Kao i u drugim oblastima tu je bilo i kvalitetnih i onih drugih ljudi. I sad je tako, valjda. Ukupno je to bila dobra institucija i baš me čudi da nije sasvim uništena. Ne pratim kakva je sad situacija kod njih.

Ovi ljudi su još devedesetih osnovali svoje firme i sada su u komercijalnoj sferi. Ne znam kako im stara firma stoji, iskreno, ali ako je kao ostatak vojske, onda verovatno ne sjajno.

Ili samo volis 98 look?

aaaa, pa čestitamo, čestitamo

Hehe, da vidimo ko ima najveći... windows experience indeks

alselone

To je bilo 11. avgusta - sad je možda i bolje

to sve što je nekad bilo desno (naslovi blogova, vesti, rubrike razne) - sad se nalazi sasvim ispod liste blogova, na levoj strani (u beskrajnoj belini...)

Koliko vidim ovo radi ovako i bez Stylish & Greasemonkey - tako da je verovatno neka izmena na blog web sajtu koja je proizvela bug. Prijaviću Vesni sada.