Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Ľ. Patek 06. 02. 2015, 14:05:35
-
Dobrý deň, potreboval by som pomôcť s interpretáciou vyjadrenia štátu k používaniu slovenských elektronických schránok pod Linuxom (podľa sľubov to malo fungovať už skoro rok). Na prístup k schránkam (autentifikáciu) je potrebný občiansky preukaz s čipom (eID), ku ktorému štát dodáva čítačku Gemplus GemPC Twin SmartCard Reader, ktorá používa ovládač libccid. Okrem toho možno eID používať aj na zaručený elektronický podpis. Pod Windowsom to funguje, aj vo Virtualboxe spustenom v Linuxe (ale o tom, ako to funguje (a vyzerá), by sa dal napísať seriál...)
Tu je prvá časť vyjadrenia:
"Pre prostredie Linux aj Mac sa jedná o dva problémy s podporou IPv6. Nová aplikácia štandardne vytvára spojenia v súlade s výnosom 55/2014 o ISVS pomocou IPv6. Ak je v DNS uvedený IPv6 záznam a pritom nefunguje správne IPv6 konektivita (bežný problėm dnešných ISP), spojenie sa nenadviaže vôbec a autentifikácia neprebehne. Druhý problém je samotný autentifikačný server, ktorý je v súčasnosti dostupný len cez IPv4. Aby sme sa vyhli porušeniu výnosu o IS VS, aplikácie nemôžeme uvoľniť skôr, ako tieto problémy budú odstránené. "
Poznámka: nazrel som do spomínaného výnosu - a pretože ten sa k používaniu verzie protokolu v súčasnosti vôbec nevyjadruje (ustanovenie týkajúce sa verzie IP začne platiť až od roka 2016 ), dá sa povedať, že tvrdenie štátu, že používanie v6 je v súlade s výnosom, je pravdivé. Rovnako by však platilo aj tvrdenie, že v súlade s výnosom je aj používanie v4 - ktoré mimochodom používa ten auten. server (tam to nevadí?). Ale problém bude asi inde - nemala by si súčasná aplikácia vedieť poradiť s oboma protokolmi?
Nasleduje druhá časť vyjadrenia:
"V prostredi Linux ide o problém spojený s grafickým rozhranim aplikácie, ktorá využiva grafickú knižnicu GTK. Testovanim aplikácie sme zistili, že funguje len na niektorých distribúciách a verziách OS Linux kvôli nekompatibilite verzii (chýbajúcim symbolom potrebným pre dynamické linkovanie). Programátori hľadajú náhradné riešenie, napr. statické linkovanie. Naviac za určitých okolnosti má aplikácia problém s korektnou identifikáciou pripojenej čítačky kariet v závislosti od počtu a poradia zapojenia iných USB zariadení."
Poznámka: podľa pôvodných sľubov to malo fungovať na najbežnejších distribúciách - Fedora, Debian, Ubuntu (po čase sľuby radšej z webu vymazali, takže presne neviem, či aj iné).
Mne, bežnému používateľovi Linuxu (a z prinútenia niekedy aj Windowsu) to pripadá ako obyčajné výhovorky, ale nemám skúsenosti s programovaním, tvorbou balíčkov, ani zavádzaním informačných systémov a preto by ma zaujímali vyjadrenia čitateľov, ocenil by som najmä vyjadrenia niekoho, kto podobné problémy rieši v praxi a na podobnej úrovni, teda pre viac distribúcií a možno aj verzií.
-
K tomu IPv4 a v6: Program by si měl umět poradit v situaci kdy jeden nebo druhý protokol nefunguje/není k dispozici.
K tomu druhému jen obecně:
Pokud dají k programu statický knihovny, bude vyřešená kompatibilita hned. Pokud ale chtějí být systémoví, budou chtít program vychytat tak, aby fungoval se stávajícíma knihovnama v distribuci (resp. s jakoukoliv "běžnou" verzí knihovny).
Pořadí připojení USB zařízení: Už jsem viděl všelijaké podivné chování, to je pro mě uvěřitelné, nicméně nežádoucí.
Správná otázka zní: Kolik na tom dělá lidí?
A hned následuje další: Neměli to za tu dobu už mít dávno vychytané/hotové?
-
Tak to pocujem prvy raz ze by sa niekto konkretne vyjadroval k funkcionalite pod Linuxom, od koho pochadza to vyjadrenie?
Ja som z nich bol za posledny rok schopny vytrieskat jedine toto:
Dobrý deň,
ospravedlňujeme sa za spôsobené komplikácie. Na danej aplikácii sa
intenzívne pracuje. Upresnenie termínu bude zverejnené na titulnej
stránke portálu slovensko.sk v časti Oznamy.
-
Pavouk106: najmenej rozumiem práve tej časti ich vyjadrenia o probléme s USB - nemá identifikovanie zariadení na starosti kernel, udev(?) a možno ovládač? Ani jedno z toho nezabezpečuje dodávateľ softvéru pre schránky a teda na tento problém sa môžu vyhovárať donekonečna.
Pre zaujímavosť, ovládač na čítačky je otvorený libccid a výrobca sa vraj podieľa na jeho vývoji: http://support.gemalto.com/?id=pc_usb_tr_and_pc_twin. Google nenaznačuje, že by s tým boli nejaké problémy.
Na otázku, koľko ľudí na tom robí, neviem odpovedať - ale vzhľadom na to, že im to trvá takmer rok predpokladám, že by na tom mohli dumať tak dvaja študenti strednej školy vo voľnom čase...
JoHnY: Odpovedala mi Národná agentúra pre sieťové a elektronické služby (NASES), ktorá má na starosti schránky aj eiD - takto sa vyjadrili až na druhý krát. Aj mne najprv (v júli) odpovedali tak, ako sa na poriadnych úradníkov patrí - citujem z odpovede:
“Dovoľte nám podotknúť, že sme si vedomí posunov termínov zverejnenia softvéru pre prihlasovanie cez elD a podpisovanie dokumentov pod OS Linux a Mac, avšak napriek našim snahám sa objavili a stále objavujú nekorektné situácie, ktoré nám znemožňujú tieto aplikácie zverejniť pre používateľov. Uvedené aplikácie zverejníme ihneď ako si budeme istí, že ich používatelia budú môcť využívať korektne a bez problémov. Termín spristupnenia bude zverejnený na Ustrednom portáli verejnej správy.
Odpoveď, z ktorej citujem vyššie sa mi podarilo získať až na druhý pokus, keď som sa pýtal na to, akéže nehorázne situácie sa im to objavili a stále objavujú...
Ak sa od nich chcete niečo dozvedieť, je lepšie poslať žiadosť o informáciu (na adresu info@nases.gov.sk). Na tom ich helpdesku nevedia vôbec nič - vlastne ako na každom poriadnom helpdesku, obzvlášť, ak je štátny.
-
Systém ho může identifikovat, ale jak jsem říkal, nedivil bych se ničemu... Už jsem viděl různý nestandardní chování. Pokud jim to dělá nějakej bordel tohoto typu, jsou ostatní problémy nepodstatný (statický knihovny, IPvX, ...). Dobrý je, že na něčem takovym vůbec pracujou. Pro Čecha něco takovýho zní až neuvěřitelně (občanka, eID, čtečku k tomu, navíc pro různý OS...)
-
Ak by sa niekto chcel podeliť aj o konkrétne skúsenosti s "rôznym neštandardným chovaním" a "bordelom tohoto typu", budem mu vďačný. Podobné karty používajú aj iné krajiny a mnohé ponúkajú aj otvorený softvér pre Linux (a Mac) - napríklad estónske, španielske, nemecké..., takže asi to nie je neriešiteľný problém, možno len tí dvaja študenti čo na tom dumajú potrebujú poradiť. Ak má niekto radu, rád im ju prepošlem (ale podiel na eurofondoch vám nezaručujem, tie sú už spravodlivo rozdelené...).
-
Ahoj, je fajn, že cituješ vyjádření úřadu, ale nevíme, k čemu se vlastně vyjadřuje, ani nepopisuješ, k jakým problémům dochází, takže dost těžko můžeme cokoli posoudit. Už vůbec těžko můžeme tohle vyjádření "interpretovat", jak píšeš. Takže zkusím jenom takové nesourodé poznámky, třeba ti to k něčemu bude...
Na prístup k schránkam (autentifikáciu) je potrebný občiansky preukaz s čipom (eID), ku ktorému štát dodáva čítačku Gemplus GemPC Twin SmartCard Reader, ktorá používa ovládač libccid
Tahle čtečka je dobře podporovaná, sám ji používám. Mám ověřenou funkčnost pod MacOS, Linuxem, FreeBSD.
Jenže se smartkartami se to má tak, že čtečka je jenom jedna část celého řešení - zprostředkovává komunikaci OS s vlastním čipem. Víc teda záleží na tom, jaký software je potřeba pro čip...
Jestli čtečka u tebe funguje, se dá zjistit snadno: https://www.opensc-project.org/opensc/wiki/QuickStart#TestOpenSC
S vlastním čipem je to pak složitější, záleží na jeho typu a jaké podporuje standardy. Obecně se nedá říct vůbec nic. Jedna věc, kterou můžeš zkusit jenom tak od boku, je: "pkcs15-tool -D" (viz http://linux.die.net/man/1/pkcs15-tool ).
Rozchození smartkarty se všemi funkcemi je docela dost komplexní záležitost, takže se vůbec nedivím, že s tím mají problémy, pokud chtějí cílovat na větší množství OS, notabene dynamicky linkovanou aplikací. Divím se, že se do něčeho takového vůbec pustili - jak píše Pavouk, pro Čecha něco takového zní jako úplné sci-fi - naše datovky jsou parodie na e-government a takovýmihle problémy netrpí jenom proto, že se o něco takového ani náznakem nepokusily...
Osobně mě překvapuje, jak docela technicky fundovaná ta odpověď je ("chybějící symboly v knihovně GTK"). Rozhodně to není žádné úřednické mambo-jumbo... Statické slinkování je opravdu správná cesta, která se u produktů třetích stran občas používá, to je taky pravda. Samozřejmě ideální by bylo vydat software jako opensource, to byl u státní správy měl být standard...
Takže jestli vůbec z toho mála, co jsi nám o tom sdělil, jde udělat nějaký závěr, tak to vypadá, že si nemáte moc na co stěžovat, z toho málo to působí, že na to jdou docela dobře.
-
Hlavne to nemali pred vyse rokom prezentovat ako hotovu vec lebo tym ludi ktori to chcu pouzivat inde ako vo windows nasrali viac ako keby sa na zaciatku netvarili ze to je funkcne vo vsetkych moznych OS. A ak to za rok nevedia opravit aj keby na tom pracoval len jeden clovek, tak dost vyrazne pochybujem ze to vobec niekedy fungovat bude.
-
ahojte, mna by zaujimala este ina vec, je mozne to pouzit na podpisovanie emailov, alebo inych dokumentov? Mohla by si potom druha strana overit ze danny email podpisala fakt osoba s danym OP? Tato druha cast uz asi nepatri sem, ale skusim: Co keby niekto podpisal dokument s tymo OP je to pravne to iste ako keby podpisal papierovu verziu, alebo to sa na to mus vyuzit iba ten ich soft? Teraz nemyslim v komunikaci so statnou spravou, ale medzi ludmi, resp medzi firmami?
-
Mohli by uvolnit obě verze, staticky i dynamicky linkovanou. Potom by stačilo napsat, že pokud nefunguje dynamicky linkovaná, měl by uživatel zkusit staticky linkovanou. Už jsem to někde viděl a fungovalo to dobře.
Vyjadřuje se stát i k tomu, pro který systém a verzi se snaží aplikaci optimalizovat? Možná by šel jako dočasné řešení používat nějaký vhodně nakonfigurovaný chroot.
-
ahojte, mna by zaujimala este ina vec, je mozne to pouzit na podpisovanie emailov, alebo inych dokumentov? Mohla by si potom druha strana overit ze danny email podpisala fakt osoba s danym OP? Tato druha cast uz asi nepatri sem, ale skusim: Co keby niekto podpisal dokument s tymo OP je to pravne to iste ako keby podpisal papierovu verziu, alebo to sa na to mus vyuzit iba ten ich soft? Teraz nemyslim v komunikaci so statnou spravou, ale medzi ludmi, resp medzi firmami?
Cau,
ano, tym ZEP mozes podpisat akykolvek dokument, pomocou napriklad http://zep.disig.sk cez web, co je asi najjednoduchsie co som nasiel a to podpisovanie (a overovanie) je tam uplne zadarmo, aspon momentalne, na overenie toho podpisaneho dokumentu sa da pouzit aj utilita d.viewer (zatial teda len pre windows) ktoru mozes stiahnut priamo od statnej spravy, ak by si sa rozhodol neverit tomu webovemu overeniu. Tam potom uvidis vsetky parametre certifikatu ktorym to bolo podpisane, meno a adresu trvaleho pobytu toho co to podpisal (to je v certifikate verejneho kluca ulozene). Ak mi das nejaky mail alebo nieco tak ti mozem poslat nejaky podpisany dokument aby si si mohol skusit ho overit, ale len tak verejne sa mi to vystavovat nechce :-)
S tym ci to je pravne to iste ako podpisane rukou by to zaujimalo aj mna, podla mna by to malo platit, lebo ten ZEP sa uz bezne pouziva ale pravnik niesom, takze neviem ako to presne je.
-
Mimochodom ten zep.disig.sk sa mi nejako nepodarilo pod linuxom rozbehnut aj ked by to malo ist, pri inicializacii podpisovacieho appletu ktory by mal byt v jave to stale caka a nic sa nedeje, ani to po mne nechce potvrdenie spustenia toho appletu, niesom si isty preco, pisu tam ze to vyzaduje 32-bitovu javu, ja mam 64-bitovu, takze mozno bude problem v tom, ak mate niekto linux s 32-bitovou javou, mozte skusit ci sa vam to aspon zacne spustat.
-
Cau,
ano, tym ZEP mozes podpisat akykolvek dokument, pomocou napriklad http://zep.disig.sk cez web,
Podepisování přes web bych se teda širokým obloukem vyhnul... V Linuxu nic takovýho nepotřebuješ, každý má nainstalovaný openssl, kde to uděláš snadno: http://stackoverflow.com/questions/10782826/digital-signature-for-a-file-using-openssl
Píšou tam, že to funguje přes PKCS11, což pro openssl není problém.
-
No ano, pokial mam nieco co je doverne tak podpisovat to cez web nieje idealne.
Ale obavam sa ze cez to openssl to takto jednoducho nepojde... Nevyznam sa v openssl natolko aby som z hlavy vytiahol commandline s ktorym by to malo ist a nemam cas studovat manual, ale ak mi niekto da example s ktorym by to mohlo ist tak to mozem skusit.
Neviem ako presne to eID funguje ale vo windows to funguje tak ze po pripojeni to chce jeden pin (BOK) a pri vytvarani ZEP to chce dalsi pin (ZEP PIN), niesom si isty nakolko je to standartne a ci nejaka standartna pkcs11 kniznica dokaze cez openssl vyziadat oba tie piny.
-
No ano, pokial mam nieco co je doverne tak podpisovat to cez web nieje idealne.
Pozor, je to daleko horší - pokud applet má možnost podepisovat tvým jménem, může ti tvrdit, že podepisuješ něco úplně jiného a ve skutečnosti podepíšeš směnku na dva miliony... Ono už samotný podepisování na počítači, kterej může být zavirovanej apod., je riziko, ale podepisování přes web, aplikací, která se může kdykoli změnit, to už je imho úplný bláznovství... (a to moje míra paranoie je dost nízká)
Tohle je největší slabina elektronického podpisu obecně - nejsi schopný bez technického prostředku vlastními silami posoudit, co podepisuješ.
Ale obavam sa ze cez to openssl to takto jednoducho nepojde... [...] vo windows to funguje tak ze po pripojeni to chce jeden pin (BOK) a pri vytvarani ZEP to chce dalsi pin (ZEP PIN), niesom si isty nakolko je to standartne a ci nejaka standartna pkcs11 kniznica dokaze cez openssl vyziadat oba tie piny.
Nevím, čemu říkají BOK a ZEP PIN, ale tohle afaik s openssl nesouvisí - je to věc driveru PKCS.
-
Pozor, je to daleko horší - pokud applet má možnost podepisovat tvým jménem, může ti tvrdit, že podepisuješ něco úplně jiného a ve skutečnosti podepíšeš směnku na dva miliony... Ono už samotný podepisování na počítači, kterej může být zavirovanej apod., je riziko, ale podepisování přes web, aplikací, která se může kdykoli změnit, to už je imho úplný bláznovství... (a to moje míra paranoie je dost nízká)
No to je pravda, ale ked nieco podpises tak ti to vygeneruje subor .zep v ktorom je zabundlovany ten podpis + originalny dokument, cize ked je ten podpisany dokument iny ako co si chcel povodne podpisat, vies ze niekde asi nastala chyba a mozes obratom nechat svoj certifikat revoknut a cokolvek sa tym podpisalo, platne nebude lebo uz dalsi den ked sa vygeneruje CRL tak tvoj revoknuty certifikat v nom bude a tym padom uz ziadne overovatko neoveri ze je ten podpis platny, vyhodi ti chybu lebo ten certifikat bol zruseny.
Nevím, čemu říkají BOK a ZEP PIN, ale tohle afaik s openssl nesouvisí - je to věc driveru PKCS.
Ano, to je vec driveru PKCS, tak som to myslel ze neviem ci to je standartna feature PKCS alebo nejaky ich addon, s tymi dvoma pinmi, ci to ten standartny driver pkcs dokaze spracovat. Ak nie, tak treba driver specialny od nich, ktory neexistuje (aspon pre linux).
-
Mimochodom, on ten java applet je podpisany, cize da sa overit dotazom do tej firmy na fingerprint daneho appletu a jeho porovnanim s tym co ukazuje pri podpisovani ze ci to sedi. Potom je to uz len o tom ci je dana spolocnost doveryhodna (ci to nieje banda hackerov ktori ti podvrhnu applet ktory podpise nieco ine ako clovek chce podpisat), vzhladom na to ze disig je aj certifikacna autorita a su registrovani NBU (aj ked vzhladom na nbusr123 to tiez nieje bohvieaka zaruka :-) tak by som ich osobne za doveryhodnych povazoval.
Ak teda som schopny overit ze ten applet ktorym sa to podpisuje je naozaj OK a nieje podvrhnuty, tak by som to dokonca povazoval za bezpecnejsie ako podpisovanie aplikaciou ktoru mam nainstalovanu, prave z dovodu mozneho virusu alebo podobne.
Ale jasne ze vsetko sa da obist/hacknut atd. Sfalsovat fyzicky podpis sa nakoniec tiez da a kym sa clovek o tom vobec dozvie ze mu niekto falsoval podpis tak moze mat davno predany dom a zisti to az ked ho pridu z neho vyhodit...
-
Potom je to uz len o tom ci je dana spolocnost doveryhodna
Ano, přesně o tom to je - jestliže k podepisování používáš soft třetí strany, je to celé jen otázka důvěryhodnosti a kompetentnosti té třetí strany. Je to asi tak jako bys jim dal klíče od šuplíku, ve kterém máš razítko a poprosil je, ať tam zaskočí a razítko dají na tenhle papír, který jim dáš...
vzhladom na to ze disig je aj certifikacna autorita a su registrovani NBU (aj ked vzhladom na nbusr123 to tiez nieje bohvieaka zaruka :-) tak by som ich osobne za doveryhodnych povazoval.
To už je samozřejmě na zvážení každého soudruha. Já pokud mám možnost papír orazítkovat sám, tak to raději udělám sám, než bych někomu dával klíče od razítka.
Ak teda som schopny overit ze ten applet ktorym sa to podpisuje je naozaj OK a nieje podvrhnuty, tak by som to dokonca povazoval za bezpecnejsie ako podpisovanie aplikaciou ktoru mam nainstalovanu, prave z dovodu mozneho virusu alebo podobne.
Opět ne. Pokud máš zavirovaný počítač, tak ti může libovolný kód prezentovat jako podepsaný onou autoritou. Čili pokud máš zavirovaný počítač, všechno ostatní padá a nic to nemůže zachránit, zejména ne nějaký podpis nějakého apletu :)
-
No to je pravda, ale ked nieco podpises tak ti to vygeneruje subor .zep v ktorom je zabundlovany ten podpis + originalny dokument, cize ked je ten podpisany dokument iny ako co si chcel povodne podpisat, vies ze niekde asi nastala chyba a mozes obratom nechat svoj certifikat revoknut a cokolvek sa tym podpisalo, platne nebude lebo uz dalsi den ked sa vygeneruje CRL tak tvoj revoknuty certifikat v nom bude a tym padom uz ziadne overovatko neoveri ze je ten podpis platny, vyhodi ti chybu lebo ten certifikat bol zruseny.
To máš ovšem dost zkreslené představy o tom, jak podepisování funguje. Myslíš, že když podepíšeš nějakou smlouvu, tak ti pak stačí přijít domů, revokovat certifikát a tím se smlouva stane nepodepsanou? :)
Neplatné jsou samozřejmě jenom podpisy PO revokaci.
Ano, to je vec driveru PKCS, tak som to myslel ze neviem ci to je standartna feature PKCS alebo nejaky ich addon, s tymi dvoma pinmi, ci to ten standartny driver pkcs dokaze spracovat. Ak nie, tak treba driver specialny od nich, ktory neexistuje (aspon pre linux).
Předpokládám, že ten java applet přistupuje k PKCS driveru a ne přímo k hw. Takže pokud to podporuje java applet, neměl by s tím imho být problém ani v openssl. Nicméně za tu dobu, co tady o tom teoretizujeme, jsi to už mohl mít vyzkoušené ;)
-
To máš ovšem dost zkreslené představy o tom, jak podepisování funguje. Myslíš, že když podepíšeš nějakou smlouvu, tak ti pak stačí přijít domů, revokovat certifikát a tím se smlouva stane nepodepsanou? :)
Neplatné jsou samozřejmě jenom podpisy PO revokaci.
ok, to som nejako prekombinoval :-) v kazdom pripade sfalsovanie podpisu moze nastat ovela jednoduchsie aj bez vlastneho pricinenia v pripade fyzickeho podpisu, a dosledky su rovnake.
Předpokládám, že ten java applet přistupuje k PKCS driveru a ne přímo k hw. Takže pokud to podporuje java applet, neměl by s tím imho být problém ani v openssl. Nicméně za tu dobu, co tady o tom teoretizujeme, jsi to už mohl mít vyzkoušené ;)
No prave ze pod linuxom to ani z toho java appletu nejde, prave som to skusil. Vobec to nenajde ten device a je tam len moznost "define device manually" alebo take nieco, kde si mozem zvolit driver, skusal som tam dat opensc-pkcs11.so ale ani s tym nic nenasiel. Takze bud maju pod windowsom daky specialny driver (aj ked sa nezda byt daky proprietarny, vo windows tam ukazuje pkcs11_x86.dll) lebo treba nejaky iny driver...
-
No prave ze pod linuxom to ani z toho java appletu nejde, prave som to skusil. Vobec to nenajde ten device a je tam len moznost "define device manually" alebo take nieco, kde si mozem zvolit driver, skusal som tam dat opensc-pkcs11.so ale ani s tym nic nenasiel.
No ale rikal's, ze mas 64b javu a oni chteji 32b, ne?
-
No prave ze pod linuxom to ani z toho java appletu nejde, prave som to skusil. Vobec to nenajde ten device a je tam len moznost "define device manually" alebo take nieco, kde si mozem zvolit driver, skusal som tam dat opensc-pkcs11.so ale ani s tym nic nenasiel.
No ale rikal's, ze mas 64b javu a oni chteji 32b, ne?
ano, skusil som to na notebooku, tam je 32bit a tam som sa dostal dalej, applet sa zinicializoval ale narazil som na toto, ze to nenaslo tu kartu a tym padom som nemal cim podpisovat.
-
ano, skusil som to na notebooku, tam je 32bit a tam som sa dostal dalej, applet sa zinicializoval ale narazil som na toto, ze to nenaslo tu kartu a tym padom som nemal cim podpisovat.
Můžeš zkusit to zmíněný "pkcs15-tool -D"
-
To som skusal, pise to unsupported card. Napisal som im ci sa to da nejako sprevadzkovat pod linuxom tak uvidim co odpisu.
-
To som skusal, pise to unsupported card.
Aha, tak v tom pripade jeste "pkcs11-tool -O". Muzes zkusit i "pkcs11-tool -s".
-
To mi nejde, --module <arg> je vraj mandatory, ked som mu dal --module opensc-pkcs11.so tak pise no slot with a token was found, co je v podstate ten isty vysledok ako v tom java applete...
-
To mi nejde, --module <arg> je vraj mandatory, ked som mu dal --module opensc-pkcs11.so tak pise no slot with a token was found, co je v podstate ten isty vysledok ako v tom java applete...
Hm, tak to je zvlastni.
-
Chcelo by to nejaku kartu ktora 100% funguje cez ten pkcs11 driver aby som odskusal ze je naozaj problem v karte a nie v softwari, ale nemam okrem obcianskeho ziadnu inu, este technicak k autu ma cip ale to pise to iste, a platobna karta s cipom tiez to iste...
-
Chcelo by to nejaku kartu ktora 100% funguje cez ten pkcs11 driver aby som odskusal ze je naozaj problem v karte a nie v softwari, ale nemam okrem obcianskeho ziadnu inu, este technicak k autu ma cip ale to pise to iste, a platobna karta s cipom tiez to iste...
Ted momentalne nemam ctecku u sebe, ale pamatuju si, ze kreditka na jeden z tech dumpu reagovala, ted si nepamatuju, na kterej.
-
Lehce off topic:
12.12.2014
Oznam
Zabezpečený prístup (https) je možný len s prehliadačom IE. Pokiaľ chcete využívať zabezpečený prístup, kliknete sem.
http://www.katasterportal.sk/kapor/changeLanguageAction.do; (http://www.katasterportal.sk/kapor/changeLanguageAction.do;)
Technické predpoklady pre používanie aplikácie pre súbor grafických informácií (SGI) sú:
* Internetový prehliadač Microsoft Internet Explorer verzie 6.0 a vyšší
* Rozlíšenie minimálne 1024x768 (stránky sú optimalizované pre toto rozlíšenie)
* Povolené Cookies
* Povolený JavaScript
* Povolené inštalovanie a spúšťanie ActiveX komponentov a administrátorské práva na počítači za účelom inštalácie ActiveX plugin-u (platí pre operačné systémy Windows 7, Windows Vista, Windows XP, Windows 2000, Windows NT)
* Povolené zobrazovanie Pop-up okien (aplikácie ktoré môžu blokovať Pop-up okná sú napríklad Microsoft Internet Explorer, Anti-vírus, Google Toolbar, atď...)
* Rozšírenia Microsoft Internet Explorera alebo toolbary ako Google Toolbar môžu negatívne vplývať na MapGuide Viewer
* Úroveň bezpečnosti Microsoft Internet Explorera nesmie byť nastavená vyššie ako „Medium“/„Stredná“.
* MapGuide Viewer ActiveX komponent môže byť zablokovaný („disabled“), odblokujte ho v nastavení Microsoft Internet Explorera
64-bitová verzia Microsoft Internet Explorera nie je podporovaná
* Pre Microsoft internet Explorer verzie 7 a 8 je potrebné pre úspešnú realizáciu tlače mapy vypnúť „Protected Mode“/ „Chránený režim“ (nastaviť na Off)
* V prípade problémov s tlačou v Microsoft Internet Exploreri verzie 8 pridajte webovú stránku „http://195.28.70.134/“ medzi „ Trusted sites“
http://www.katasterportal.sk/kapor/faq.do (http://www.katasterportal.sk/kapor/faq.do)
Informácie o portáli
Katastrálny portál umožňuje prístup k údajom katastra nehnuteľností, získať základné informácie okamžite a bez návštevy príslušného Okresného úradu, katastrálneho odboru, získať oprávneným subjektom súhrnné a detailné informácie bez zložitej korešpondencie. Sprístupnenie informácií je realizované na základe Zákona č. 346/2007 Z.z. ktorým sa mení a dopĺňa zákon Národnej rady Slovenskej republiky č. 215/1995 Z. z. o geodézii a kartografii v znení zákona č. 423/2003 Z. z. ", ktorý ustanovuje bezodplatné poskytovanie informácií z Informačného systému katastra nehnuteľností všetkým subjektom prostredníctvom katastrálneho portálu.
Katastrálny portál umožňuje:
...
Katastrálny portál je aplikácia určená primárne občanovi.
-
Chcelo by to nejaku kartu ktora 100% funguje cez ten pkcs11 driver aby som odskusal ze je naozaj problem v karte a nie v softwari, ale nemam okrem obcianskeho ziadnu inu, este technicak k autu ma cip ale to pise to iste, a platobna karta s cipom tiez to iste...
Ted momentalne nemam ctecku u sebe, ale pamatuju si, ze kreditka na jeden z tech dumpu reagovala, ted si nepamatuju, na kterej.
Hmm, zaujimave, ked to budes mat pri sebe tak to prosim ta skus.
-
Prisla odpoved z disig.sk, 1. otazka bola ci sa to da nejako spojazdnit pod linuxom, 2. otazka na to obmedzenie na 32-bit javu:
Odpoveď na 1. otázku: eID klient pre Linux a s ním aj ovládače pre eID kartu
ešte nie sú dostupné. Po zverejnení eID klienta/ovládačov bude možné
podpisovať aj na zep.disig.sk pomocou eID karty. WebSigner už s nimi vie
pracovať, akurát neboli nájdene, preto ich nezobrazuje.
Odpoveď na 2. otázku: 32-bitová verzia Javy bola vyžadovaná do verzie Javy
1.7, pretože 64-bitová verzia neobsahovala knižnicu pre prácu s kartou
pomocou PKCS11 rozhrania. Od verzie Javy 1.8 toto obmedzenie neplatí a je
teda možne použiť 64-bitovú verziu. Samozrejme, aby to fungovalo, musí byť
vyriešená aj 1. otázka.
Cize naozaj na to treba specialny ovladac, a sme zas na uplnom zaciatku :-) Treba cakat kym to vydaju aj pre linux.
-
Aha, takze to bude tak, ze ta karta komunikuje kvdovijak a oni k tomu dodavaji PKCS11-kompatibilni ovladac. Cili bez nej to nepujde. Skoda :(
-
Tak nejak... Zostava len cakat kym to daku k dispozicii aj pre linux, ak sa im to podari dat do funkcneho stavu :(
Mimochodom upgradol som javu na 1.8.0_31 a stale mi to nejde, pri inicializacii toho appletu sa nic nedeje, ani nevyskoci to java security okno ci chcem naozaj applet spustit, ako na tom 32bit notebooku. Neviem s cim moze mat problem, lebo inde mi java normalne funguje.
-
Tak to pocujem prvy raz ze by sa niekto konkretne vyjadroval k funkcionalite pod Linuxom, od koho pochadza to vyjadrenie?
Ja som z nich bol za posledny rok schopny vytrieskat jedine toto:
Dobrý deň,
ospravedlňujeme sa za spôsobené komplikácie. Na danej aplikácii sa
intenzívne pracuje. Upresnenie termínu bude zverejnené na titulnej
stránke portálu slovensko.sk v časti Oznamy.
Toto iste som od nich dostal pred pol rokom, kaslu na linux, len sa vyhovaraju.
-
Tak nejak... Zostava len cakat kym to daku k dispozicii aj pre linux, ak sa im to podari dat do funkcneho stavu ...
Přeji příjemné čekání.
A kdyby ještě za těch cca 25 roků tento server fungoval, přijď dát vědět, jak jsi dopadl ...
-
Tak nejak... Zostava len cakat kym to daku k dispozicii aj pre linux, ak sa im to podari dat do funkcneho stavu :(
Mimochodom upgradol som javu na 1.8.0_31 a stale mi to nejde, pri inicializacii toho appletu sa nic nedeje, ani nevyskoci to java security okno ci chcem naozaj applet spustit, ako na tom 32bit notebooku. Neviem s cim moze mat problem, lebo inde mi java normalne funguje.
K tomuto som este dostal opravenu informaciu, keby to nahodou niekoho zaujimalo, aj ked prakticky vyznam to nema momentalne.
Ospravedlňujeme sa, ale informácia o nutnosti použiť až verziu Java 1.8 nebola správna. Tento problém sa týka len platformy Windows. Na platforme linux máme aktuálne problém s najnovšou verziou ORACLE javy (7 aj 8), kvôli chybe, ktorá zatiaľ nebola odstránená (na strane Javy). Ako riešenie je potrebné použiť OPENJDK verziu javy (7 alebo 8). spolu s pluginom IcedTea.
Ak napríklad používate distribúciu Ubuntu 14.04, OPENJDK Javu 1.7 je možné nainštalovať príkazmi:
apt-get install openjdk-7-jre
apt-get install icedtea-7-plugin
s openjdk to naozaj ide az potial ze to nenajde ziadny certifikat.
-
Tak nejak... Zostava len cakat kym to daku k dispozicii aj pre linux, ak sa im to podari dat do funkcneho stavu ...
Přeji příjemné čekání.
A kdyby ještě za těch cca 25 roků tento server fungoval, přijď dát vědět, jak jsi dopadl ...
Hehe ok :-)
-
Caute ak som dobre pochopil tuto dlhu diskusiu, cely problem je v chybajucom kernel module ktory by mal robit rozhranie medzi eID kartou a PKCS11 ... Myslite ze nic take este neexistuje ? Nezda sa mi pravdepodobne, ze by slovenski uradnici dali vyrobit spesl karty. Podla mna sa treba iba pozriet co je vo vnutri ( nie je tu taky hw hacker ? ) a priohnut uz existujuci kod ...
-
Podla tejto spravy sa coskoro dozvieme ako to vlastne je.
http://dsl.sk/article.php?article=17159
-
Ahoj, ja som realista, myslim ze sa dozvieme ze sa nic nedozvieme. Niekto kto by sa vedel vyjadrit k povodnej idei ?
i
-
Na otazku kedy bude funkcionalita v GNU Linux dostupna mi napisali toto :-) :
Dobrý deň,
aplikácia eID klient pre operačný systém Mac OS X a Linux zatiaľ dostupná na portáli ÚPVS nie je. Upresnenie termínu bude zverejnené na titulnej stránke portálu slovensko.sk v časti Oznamy.
Ďakujeme za Vašu trpezlivosť.
S pozdravom
Helpdesk ÚPVS
-
tak uz je to tu, len neviem kedy sa mi to podari otestovat ...
https://www.slovensko.sk/sk/oznamy/detail/_eid-klient-uz-aj-pre-mac-a-lin
-
tak uz je to tu, len neviem kedy sa mi to podari otestovat ...
https://www.slovensko.sk/sk/oznamy/detail/_eid-klient-uz-aj-pre-mac-a-lin
Tož hodně štěstí s tým pertinaxem!