Автор Тема: Тези статии Които сте ги написали за Електронен подпис под LINUX и НАП са лъжа  (Прочетена 17686 пъти)

bengazara

  • Напреднали
  • *****
  • Публикации: 35
    • Профил
Два подписа съм купил от БОРИКА -БАНКСЕРВИЗ  - 140лева съм дал имах си подпис на StampIT с надеждате че с този JAVA аплет в сайта на b-trust ,  ще мога да подписвам под Linux накрая се оказа че подписаните на Файлове  с този аплет не се приемат от НАП.   Независимо под каква ОС и с Какъв Блаузер .  Пробвал с на Windows с IE Firefox. На Дебиан firefox. 
 отговора на Банксервиз:
Ако имате възможност пробвайте подписването точно както е по тяхната
инструкция да видим дали ще мине
(https://inetdec.nra.bg/docs/DigSig_linux_howto.pdf) и ако може пак да
ни пратите документите да видим къде е разликата.
Съжалявам, но това просто няма как да го тестваме. НАП нямат тестова
система.

 И как да пробвам тази инструкция , като Криптовижън картите работят със собствени библиотеки. А и закакво да пробвам като подписаните Файлове и от Windows и тях не приема НАП. Ще кажете ми как работят другите ми работят с IE, или с ComboLitle Десктоп приложение на Бансервиз за подписване на файлове в p7s. А его JAVA apleta http://prikachi.com/images/737/3363737s.png
« Последна редакция: May 23, 2011, 17:05 от neter »
Активен

spec1

  • Напреднали
  • *****
  • Публикации: 230
    • Профил
   Четох с интерес цялата "дискусия" по темата, не разбирам
обаче какъв е проблема на пича да ползва Wine, има информация
достатъчно кое как се подкарва и т.н. , и може да не се наложи
да ползва компоненти от Microsoft.
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Драги bengazara,
Укроти малко топката - никой във форума не ти е длъжен с нищо, че да го нападаш. Когато имаш някакъв въпрос или проблем, структурирай питането си и тогава пиши. А случаите, в които е наложително писането с големи букви или променен шрифт, са много малко - спести си го. Нека разговорите бъдат в дух на разбирателство и взаимопомощ ;)
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

RealEnder

  • Напреднали
  • *****
  • Публикации: 160
  • Distribution: Ubuntu
  • Window Manager: Unity
    • Профил
    • WWW
Здравейте,
Виждам, че съм пропуснал една разгорещена дискусия по темата е-услуги на НАП и Linux.
Ето малко подробности, за да се изяснят нещата, поне малко.
На който му е интересно, може да порови тук във форума, за една дискусия от преди около година, за да се види как и защо услугите на НАП "сработиха" по Linux.
Относно подписването, ще го разделя основно на два вида, за по-ясно - подписване на уеб съдържание в даден сайт и подписване на файл.
В първия случай може да се използва CAPICOM COM обекта, за IE или crypto обекта за Gecko/NSS браузъри. В този случай, ако драйверите са инсталирани коректно, подписването става прозрачно за потребителя и е достатъчно дружелюбно за потребителя.
В другия случай, когато искаме да подпишем локален файл, трябва да се напише компонент (java applet/plugin за съответния браузър и т.н.), който да достъпи файла и да направи detached сигнатура.
За НАПтакъ компонент е написан като COM обект и под IE работи подобно на горния вариант. Под останалите браузъри/ОС се извежда втори file upload input, в който се добавя подписа. Форматът е стандартен PKCS#7 detached signature, с включена сертификационна верига. Има достатъчно разработени приложения за такова подписване - платени/безплатни/свободни и т.н.
Тъй като аз съм писал ръководството, което дружно бе оплюто, приемам всякаква ГРАДИВНА критика, за да го подобря. Всъщност, когато го публикувах за първи път имаше такава и се постарах да я отразя. Въпросната инструкция е писана за Ubuntu 9.10, като идеята да опиша как стават нещата с openssl е да се покрие максимално всички дистрибуции, тъй като openssl отдавна е основна криптографска библиотека/tool в *nix среда.
Стъпките не само са тествани внимателно, но и се използват от не малко хора. Относно Cryptonit възможно е да се сблъскате с проблем на 64 битовия билд, описан и решен тук: http://alex.stanev.org/blog/?p=279
Виждам и, че други хора работят по въпроса (визирам работата по p7xtool) и мисля, че това е правилният начин за развитие при community based ОС.
Ако многоуважаемият bengazara благоволи да даде повече информация какви точно съобщения за грешка получава при следването на инструкцията и с каква дистрибуция работи, вероятно ще мога да помогна. Разбира се, всякакви просташки квалификации, излезли от речника на десет годишен геймър, определено не са добре дошли в този форум.
Относно възможностите на този или онзи софтуер за подписване, визирам java applet-а на b-trust, combo light, infonotary signer и т.н. е добре да се обърнете към съответния разработчик.
Аз лично препоръчвам под Linux да се използва Cryptonit, който генерира правилният формат на сигнатурата и с него се работи сравнително лесно.
Активен

tolostoi

  • Напреднали
  • *****
  • Публикации: 1337
  • Distribution: Ubuntu
  • Window Manager: Unity
  • левел: авераж :)
    • Профил
Благодаря на RealEnder за отговора, въпреки, че нямам пряко отношение по въпроса.
Стана ми леко тежко, как всички нападат човека, а на простият му въпрос: "Някой подписа ли документи за НАП?" и беше цитирал номер на образеца ... никой не му отговори, но пък беше нападнат от десетина знаещи, които всъщност не знаеха как се подписват документи за НАП.
Активен


... в Столичен инспекторат една година след миграцията, продължават да работят под Linux. Което, май прави "експеримента" успешен
by entusiast

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Човекът започна откровено да се заяжда, от което нямаше никакъв ама никакъв смисъл. Не виждам смисъла от такова поведение - в крайна сметка има и други операционни системи, които очевидно му вършат по-добра работа. Не виждам проблем да ги ползва. И аз ползвам различни операционни системи, включително уиндоус и не виждам смисъл да губя време да нареждам и оплаквам защо нещо не ми вършело работа. Ако не ти върши работа има две опции - или не го ползваш, или го подобряваш и го караш да ти свърши работата. Да занимаваш хората с душевните си терзания обаче няма смисъл - най-малкото не е продуктивно нито за теб, нито за хората, на които губиш времето.
Активен

"Knowledge is power" - France is Bacon

tolostoi

  • Напреднали
  • *****
  • Публикации: 1337
  • Distribution: Ubuntu
  • Window Manager: Unity
  • левел: авераж :)
    • Профил
gat3way съгласен, че постовете му бяха остро поднесени, но човека все пак прави нещо и то с ясна идея (какво друго можеше - да се оплаче на арменския поп, или да напише бъг рипорт до ... опа май не се знае до кого). Иска да каже на други хора, че това което уж работи, всъщност не работи, дори с идеята темата да излиза в търсачките и да помогне на други да не си бият главите, ако пък има решение да го разбере. Можеше някой да му каже, нещо от рода на - ДА, не сработва това което искаш, ползвай си windows, и толкова. Можеше и друг да каже - не си прав при мен работи. Обаче не, се случи нито един от двата сценария :( Четящите след време пак няма да разберат, това нещо върши ли работа или не. Аз примерно бих пробвал, ако не ми свърши работа, щях да си замълча и да го направя под windows примерно, без да занимавам никого, обаче не мисля, че ще бъда полезен на някого от комюнити-то  ::)
Активен


... в Столичен инспекторат една година след миграцията, продължават да работят под Linux. Което, май прави "експеримента" успешен
by entusiast

bop_bop_mara

  • Напреднали
  • *****
  • Публикации: 2433
  • Distribution: Debian Testing
  • Window Manager: LXDE
  • Cute and cuddly
    • Профил
какво друго можеше - да се оплаче на арменския поп, или да напише бъг рипорт до ... опа май не се знае до кого
RealEnder си е оставил мейла в статията, а в профила на форума има един куп други негови контакти, така че, да, имаше до кого да се напише "бъг рипорт".
Активен

bat_asen

  • Новаци
  • *
  • Публикации: 2
    • Профил
Здравейте,
Виждам, че съм пропуснал една разгорещена дискусия по темата е-услуги на НАП и Linux.
Ето малко подробности, за да се изяснят нещата, поне малко.
На който му е интересно, може да порови тук във форума, за една дискусия от преди около година, за да се види как и защо услугите на НАП "сработиха" по Linux.
Относно подписването, ще го разделя основно на два вида, за по-ясно - подписване на уеб съдържание в даден сайт и подписване на файл.
В първия случай може да се използва CAPICOM COM обекта, за IE или crypto обекта за Gecko/NSS браузъри. В този случай, ако драйверите са инсталирани коректно, подписването става прозрачно за потребителя и е достатъчно дружелюбно за потребителя.
В другия случай, когато искаме да подпишем локален файл, трябва да се напише компонент (java applet/plugin за съответния браузър и т.н.), който да достъпи файла и да направи detached сигнатура.
За НАПтакъ компонент е написан като COM обект и под IE работи подобно на горния вариант. Под останалите браузъри/ОС се извежда втори file upload input, в който се добавя подписа. Форматът е стандартен PKCS#7 detached signature, с включена сертификационна верига. Има достатъчно разработени приложения за такова подписване - платени/безплатни/свободни и т.н.
Тъй като аз съм писал ръководството, което дружно бе оплюто, приемам всякаква ГРАДИВНА критика, за да го подобря. Всъщност, когато го публикувах за първи път имаше такава и се постарах да я отразя. Въпросната инструкция е писана за Ubuntu 9.10, като идеята да опиша как стават нещата с openssl е да се покрие максимално всички дистрибуции, тъй като openssl отдавна е основна криптографска библиотека/tool в *nix среда.
Стъпките не само са тествани внимателно, но и се използват от не малко хора. Относно Cryptonit възможно е да се сблъскате с проблем на 64 битовия билд, описан и решен тук: http://alex.stanev.org/blog/?p=279
Виждам и, че други хора работят по въпроса (визирам работата по p7xtool) и мисля, че това е правилният начин за развитие при community based ОС.
Ако многоуважаемият bengazara благоволи да даде повече информация какви точно съобщения за грешка получава при следването на инструкцията и с каква дистрибуция работи, вероятно ще мога да помогна. Разбира се, всякакви просташки квалификации, излезли от речника на десет годишен геймър, определено не са добре дошли в този форум.
Относно възможностите на този или онзи софтуер за подписване, визирам java applet-а на b-trust, combo light, infonotary signer и т.н. е добре да се обърнете към съответния разработчик.
Аз лично препоръчвам под Linux да се използва Cryptonit, който генерира правилният формат на сигнатурата и с него се работи сравнително лесно.

PKCS 7 DETACHED се генерира без проблем от p7xtool.
В по ранните версии включвах межднинният сертификат от сертификационната верига, след което го махнах защото реших че проверката за валидност е работа на този който проверява, а той би трявало да вземе сертификатите от съответният "CA" за да е сигурен в тяхната достоверност.

Тези дни като ми остане време  ( т.е вечерта не съм пил повече от една две  [_]3)  ще го включа.
Активен

bat_asen

  • Новаци
  • *
  • Публикации: 2
    • Профил
Снощи добавих на p7xtool възможност за включване на сертификати от веригата ако е валидна.
Ако някй иска да пробва програмата дали работи с НАП, да ми прати  публичният  ключ с който ще подписва.
Ще му дам програмата .

До като не се реши някой да я финансира не мога да я пусна свободно .   


   
Активен

v_badev

  • Напреднали
  • *****
  • Публикации: 1355
    • Профил
bat_asen, всъщност с какво толкова твоята програма е по-добра от Cryptonit, че чак спонсор очакваш да получиш?
Активен

radolin

  • Участници
  • ***
  • Публикации: 5
    • Профил
Аз само ще кажа, че успешно подписвам и изпращам към НАП Декларация 1 и разни други документи с detached подпис. Ползвам openssl и  ръководството на RealEnder, но не дословно, защото подписа ми е от Инфонотари.
Активен

v_badev

  • Напреднали
  • *****
  • Публикации: 1355
    • Профил
Понеже bengazara се беше оплакал че командите с OpenSSL не работят с картите CryptoVision, които продават Банксервиз, ще напиша накратко как може да се подпише файл с крипто библиотеката на Mozilla (NSS). Предимството на NSS пред OpenSSL е че всеки PKCS#11 модул е тестван дали работи коректно с Mozilla от производителя и е почти невъзможно да попаднеш на карта, която да не работи с NSS. PKCS#11 енджина на OpenSSL се тества от разработчиците само с OpenSC и определено не е толкова съвместим като NSS. Освен това след импорта на сертификатите и регистрирането на модула подписването е само една команда.

1. Инсталирате си нужните програми и добавяте сертификатите от веригата по инструкциите за Google Chrome.
За TRUSTARGS за root сертификата слагате "CT,C,C". За останалите по веригата може да го оставите празно - ",,". В случай че искате само да подписвате, но сертификатите от този root да не са доверени за https сървъри или за подписване на софтуер може да зададете само ",C,". Всички възможни стойности са описани в документацията на mozilla.
Може да се използва произволна директория за база данни, но sql:$HOME/.pki/nssdb е стандартното място за споделена база данни. Ако използвате тази директория всички програми, които ползват споделената база данни на NSS ще получат автоматично същите настройки. За сега май само Google Chrome я ползва, но за в бъдеще може да се появят още такива програми.

2. Добавяте си PKCS#11 модула на смарт картата към базата данни на NSS по следният начин:
Код:
modutil -dbdir "database" -add "име" -libfile "път до PKCS#11 библиотеката"
В случая с OpenSC ще се получи така:
Код:
modutil -dbdir sql:$HOME/.pki/nssdb -add "OpenSC" -libfile "/usr/lib/onepin-pkcs11-tools.so"

3. Листвате регистрираните крипто модули за да получите името на картата за следващата команда:
Код:
modutil -dbdir sql:$HOME/.pki/nssdb -list
Трябва част от изхода да е подобен на следният:
2. Siemens
        library name: /usr/local/lib/libsiecap11.so
         slots: 3 slots attached
        status: loaded

         slot: ACS CCID USB Reader 0
        token: InfoNotary

В случая Siemens е името, което съм задал при добавянето на модула в стъпка 2 и използвам PKCS#11 библиотеката на Siemens и тяхна карта. При друга карта името и пътя ще са различни.

4. Всички сертификати на картата може да получите със следната команда:
Код:
certutil -d sql:$HOME/.pki/nssdb -L -h InfoNotary
В случая InfoNotary е името на картата (token: от предишната команда). Трябва да получите изход подобен на този:
Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Enter Password or Pin for "InfoNotary":
InfoNotary:213A799A-D4E3-47AF-82B0-D62B1DC746B5             u,u,u

Certificate Nickname ще ни трябва за следващата команда. Ако имате повече от един сертификат на картата ще трябва да ползвате някоя програма предоставена от производителя или нещо като Smart Card Manager-а на Инфонотари за да видите етикета на сертификата. NSS по принцип генерира nikname на сертификата в следният формат „име на карата:етикет на сертификата“. Дори и да не сте клиенти на Инфонотари може да използвате техният софтуер. Те не заключват софтуера си само за своите клиенти, както правят Банксервиз.

5. Самото подписване:
Код:
cmsutil -d sql:$HOME/.pki/nssdb -S -T -N InfoNotary:213A799A-D4E3-47AF-82B0-D62B1DC746B5 -i data.txt -o data.txt.p7s
Файлът, който искаме да подпишем е data.txt, а data.txt.p7s е подписът му.
« Последна редакция: Jul 12, 2011, 09:56 от v_badev »
Активен

dvasilev

  • Напреднали
  • *****
  • Публикации: 200
  • Distribution: Kubuntu, Debian
  • Window Manager: KDE
    • Профил
    • WWW
@v_badev: Това, ако го сложиш като статия към сайта, ще стигне до доста по-голяма аудитория. Доста полезна инструкция, благодаря.

@RealEnder: В началото на дискусията имаше конструктивни препоръки. Напиши инструкции за pem файловете, така че да не се чудят хората, откъде се взимат.
Активен

v_badev

  • Напреднали
  • *****
  • Публикации: 1355
    • Профил
Няма нужда сайта да се пълни с инструкции как да подпишем файл от команден ред. Cryptonit работи отлично и проблемът му с 64 битовите дистрибуции е оправен от повече от половин година. Поне в Debian базираните дистрибуции.

Самите сертификати в PEM формат може да си свалиш от сайта на доставчика или от диалога за преглед на сертификат на Firefox. Там като цъкнеш на таба Details има бутон Export.

А изглежда bengazara все пак е пробвал cryptonit и си е решил проблема с подписването - http://forums.bsbg.net/viewtopic.php?f=1&t=3322&view=next
Ако просто беше пробвал първият съвет, който получи, вместо да се прави на много велик, щяхме да си спестим доста глупости във форума.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Mandrake Linux 10 and Linux
Настройка на програми
aaaSASlover 3 8849 Последна публикация Dec 08, 2012, 20:46
от UBIGI
Remote връзка Linux<--> Linux
Настройка на програми
stoyanovs 5 7464 Последна публикация Jan 24, 2006, 16:49
от gostenin
Experienced linux enginnced linux engineers
Търсене
bulwork 0 7512 Последна публикация May 10, 2008, 14:24
от bulwork
Dual boot Linux and Windows XP (Linux installed first) ПРОБЛЕМ !!!
Настройка на програми
XaMeLeOnA 36 39528 Последна публикация Nov 06, 2011, 02:58
от Compare
Linux From Scratch - Do-it-yourself-Linux
Начини за увеличаване на бързодействието
neosofti 2 4680 Последна публикация Jul 03, 2009, 08:43
от tyuio