Slovenské dátové schránky v Linuxu

[Ľ. Patek]

Dobrý deň, potreboval by som pomôcť s interpretáciou vyjadrenia štátu k používaniu slovenských elektronických schránok pod Linuxom (podľa sľubov to malo fungovať už skoro rok). Na prístup k schránkam (autentifikáciu) je potrebný občiansky preukaz s čipom (eID), ku ktorému štát dodáva čítačku Gemplus GemPC Twin SmartCard Reader, ktorá používa ovládač libccid. Okrem toho možno eID používať aj na zaručený elektronický podpis. Pod Windowsom to funguje, aj vo Virtualboxe spustenom v Linuxe (ale o tom, ako to funguje (a vyzerá), by sa dal napísať seriál...)

Tu je prvá časť vyjadrenia:

"Pre prostredie Linux aj Mac sa jedná o dva problémy s podporou IPv6. Nová aplikácia štandardne vytvára spojenia v súlade s výnosom 55/2014 o ISVS pomocou IPv6. Ak je v DNS uvedený IPv6 záznam a pritom nefunguje správne IPv6 konektivita (bežný problėm dnešných ISP), spojenie sa nenadviaže vôbec a autentifikácia neprebehne. Druhý problém je samotný autentifikačný server, ktorý je v súčasnosti dostupný len cez IPv4. Aby sme sa vyhli porušeniu výnosu o IS VS, aplikácie nemôžeme uvoľniť skôr, ako tieto problémy budú odstránené. "

Poznámka: nazrel som do spomínaného výnosu - a pretože ten sa k používaniu verzie protokolu v súčasnosti vôbec nevyjadruje (ustanovenie týkajúce sa verzie IP začne platiť až od roka 2016 ), dá sa povedať, že tvrdenie štátu, že používanie v6 je v súlade s výnosom, je pravdivé. Rovnako by však platilo aj tvrdenie, že v súlade s výnosom je aj používanie v4 - ktoré mimochodom používa ten auten. server (tam to nevadí?). Ale problém bude asi inde - nemala by si súčasná aplikácia vedieť poradiť s oboma protokolmi?

Nasleduje druhá časť vyjadrenia:

"V prostredi Linux ide o problém spojený s grafickým rozhranim aplikácie, ktorá využiva grafickú knižnicu GTK. Testovanim aplikácie sme zistili, že funguje len na niektorých distribúciách a verziách OS Linux kvôli nekompatibilite verzii (chýbajúcim symbolom potrebným pre dynamické linkovanie). Programátori hľadajú náhradné riešenie, napr. statické linkovanie. Naviac za určitých okolnosti má aplikácia problém s korektnou identifikáciou pripojenej čítačky kariet v závislosti od počtu a poradia zapojenia iných USB zariadení."

Poznámka: podľa pôvodných sľubov to malo fungovať na najbežnejších distribúciách - Fedora, Debian, Ubuntu (po čase sľuby radšej z webu vymazali, takže presne neviem, či aj iné).

Mne, bežnému používateľovi Linuxu (a z prinútenia niekedy aj Windowsu) to pripadá ako obyčajné výhovorky, ale nemám skúsenosti s programovaním, tvorbou balíčkov, ani zavádzaním informačných systémov a preto by ma zaujímali vyjadrenia čitateľov, ocenil by som najmä vyjadrenia niekoho, kto podobné problémy rieši v praxi a na podobnej úrovni, teda pre viac distribúcií a možno aj verzií.

[Reklama]

[Pavouk106]

K tomu IPv4 a v6: Program by si měl umět poradit v situaci kdy jeden nebo druhý protokol nefunguje/není k dispozici.

K tomu druhému jen obecně:
Pokud dají k programu statický knihovny, bude vyřešená kompatibilita hned. Pokud ale chtějí být systémoví, budou chtít program vychytat tak, aby fungoval se stávajícíma knihovnama v distribuci (resp. s jakoukoliv "běžnou" verzí knihovny).

Pořadí připojení USB zařízení: Už jsem viděl všelijaké podivné chování, to je pro mě uvěřitelné, nicméně nežádoucí.

Správná otázka zní: Kolik na tom dělá lidí?
A hned následuje další: Neměli to za tu dobu už mít dávno vychytané/hotové?

[JoHnY]

Tak to pocujem prvy raz ze by sa niekto konkretne vyjadroval k funkcionalite pod Linuxom, od koho pochadza to vyjadrenie?
Ja som z nich bol za posledny rok schopny vytrieskat jedine toto:

Dobrý deň,
ospravedlňujeme sa za spôsobené komplikácie. Na danej aplikácii sa
intenzívne pracuje. Upresnenie termínu bude zverejnené na titulnej
stránke portálu slovensko.sk v časti Oznamy.

[Ľ. Patek]

Pavouk106: najmenej rozumiem práve tej časti ich vyjadrenia o probléme s USB - nemá identifikovanie zariadení na starosti kernel, udev(?) a možno ovládač? Ani jedno z toho nezabezpečuje dodávateľ softvéru pre schránky a teda na tento problém sa môžu vyhovárať donekonečna.

Pre zaujímavosť, ovládač na čítačky je otvorený libccid a výrobca sa vraj podieľa na jeho vývoji: http://support.gemalto.com/?id=pc_usb_tr_and_pc_twin. Google nenaznačuje, že by s tým boli nejaké problémy.

Na otázku, koľko ľudí na tom robí, neviem odpovedať - ale vzhľadom na to, že im to trvá takmer rok predpokladám, že by na tom mohli dumať tak dvaja študenti strednej školy vo voľnom čase...

JoHnY: Odpovedala mi Národná agentúra pre sieťové a elektronické služby (NASES), ktorá má na starosti schránky aj eiD - takto sa vyjadrili až na druhý krát. Aj mne najprv (v júli) odpovedali tak, ako sa na poriadnych úradníkov patrí - citujem z odpovede:

“Dovoľte nám podotknúť, že sme si vedomí posunov termínov zverejnenia softvéru pre prihlasovanie cez elD a podpisovanie dokumentov pod OS Linux a Mac, avšak napriek našim snahám sa objavili a stále objavujú nekorektné situácie, ktoré nám znemožňujú tieto aplikácie zverejniť pre používateľov. Uvedené aplikácie zverejníme ihneď ako si budeme istí, že ich používatelia budú môcť využívať korektne a bez problémov. Termín spristupnenia bude zverejnený na Ustrednom portáli verejnej správy.

Odpoveď, z ktorej citujem vyššie sa mi podarilo získať až na druhý pokus, keď som sa pýtal na to, akéže nehorázne situácie sa im to objavili a stále objavujú...

Ak sa od nich chcete niečo dozvedieť, je lepšie poslať žiadosť o informáciu (na adresu info@nases.gov.sk). Na tom ich helpdesku  nevedia vôbec nič - vlastne ako na každom poriadnom helpdesku, obzvlášť, ak je štátny.

[Pavouk106]

Systém ho může identifikovat, ale jak jsem říkal, nedivil bych se ničemu... Už jsem viděl různý nestandardní chování. Pokud jim to dělá nějakej bordel tohoto typu, jsou ostatní problémy nepodstatný (statický knihovny, IPvX, ...). Dobrý je, že na něčem takovym vůbec pracujou. Pro Čecha něco takovýho zní až neuvěřitelně (občanka, eID, čtečku k tomu, navíc pro různý OS...)

[Reklama]

[Ľ. Patek]

Ak by sa niekto chcel podeliť aj o konkrétne skúsenosti s "rôznym neštandardným chovaním" a "bordelom tohoto typu", budem mu vďačný. Podobné karty používajú aj iné krajiny a mnohé ponúkajú aj otvorený softvér pre Linux (a Mac) - napríklad estónske, španielske, nemecké..., takže asi to nie je neriešiteľný problém, možno len tí dvaja študenti čo na tom dumajú potrebujú poradiť. Ak má niekto radu, rád im ju prepošlem (ale podiel na eurofondoch vám nezaručujem, tie sú už spravodlivo rozdelené...).

[Mirek Prýmek]

Ahoj, je fajn, že cituješ vyjádření úřadu, ale nevíme, k čemu se vlastně vyjadřuje, ani nepopisuješ, k jakým problémům dochází, takže dost těžko můžeme cokoli posoudit. Už vůbec těžko můžeme tohle vyjádření "interpretovat", jak píšeš. Takže zkusím jenom takové nesourodé poznámky, třeba ti to k něčemu bude...

Na prístup k schránkam (autentifikáciu) je potrebný občiansky preukaz s čipom (eID), ku ktorému štát dodáva čítačku Gemplus GemPC Twin SmartCard Reader, ktorá používa ovládač libccid

Tahle čtečka je dobře podporovaná, sám ji používám. Mám ověřenou funkčnost pod MacOS, Linuxem, FreeBSD.

Jenže se smartkartami se to má tak, že čtečka je jenom jedna část celého řešení - zprostředkovává komunikaci OS s vlastním čipem. Víc teda záleží na tom, jaký software je potřeba pro čip...

Jestli čtečka u tebe funguje, se dá zjistit snadno: https://www.opensc-project.org/opensc/wiki/QuickStart#TestOpenSC

S vlastním čipem je to pak složitější, záleží na jeho typu a jaké podporuje standardy. Obecně se nedá říct vůbec nic. Jedna věc, kterou můžeš zkusit jenom tak od boku, je: "pkcs15-tool -D" (viz http://linux.die.net/man/1/pkcs15-tool ).

Rozchození smartkarty se všemi funkcemi je docela dost komplexní záležitost, takže se vůbec nedivím, že s tím mají problémy, pokud chtějí cílovat na větší množství OS, notabene dynamicky linkovanou aplikací. Divím se, že se do něčeho takového vůbec pustili - jak píše Pavouk, pro Čecha něco takového zní jako úplné sci-fi - naše datovky jsou parodie na e-government a takovýmihle problémy netrpí jenom proto, že se o něco takového ani náznakem nepokusily...

Osobně mě překvapuje, jak docela technicky fundovaná ta odpověď je ("chybějící symboly v knihovně GTK"). Rozhodně to není žádné úřednické mambo-jumbo... Statické slinkování je opravdu správná cesta, která se u produktů třetích stran občas používá, to je taky pravda. Samozřejmě ideální by bylo vydat software jako opensource, to byl u státní správy měl být standard...

Takže jestli vůbec z toho mála, co jsi nám o tom sdělil, jde udělat nějaký závěr, tak to vypadá, že si nemáte moc na co stěžovat, z toho málo to působí, že na to jdou docela dobře.

[JoHnY]

Hlavne to nemali pred vyse rokom prezentovat ako hotovu vec lebo tym ludi ktori to chcu pouzivat inde ako vo windows nasrali viac ako keby sa na zaciatku netvarili ze to je funkcne vo vsetkych moznych OS. A ak to za rok nevedia opravit aj keby na tom pracoval len jeden clovek, tak dost vyrazne pochybujem ze to vobec niekedy fungovat bude.

[RicCo]

ahojte, mna by zaujimala este ina vec, je mozne to pouzit na podpisovanie emailov, alebo inych dokumentov? Mohla by si potom druha strana overit ze danny email podpisala fakt osoba s danym OP? Tato druha cast uz asi nepatri sem, ale skusim: Co keby niekto podpisal dokument s tymo OP je to pravne to iste ako keby podpisal papierovu verziu, alebo to sa na to mus vyuzit iba ten ich soft? Teraz nemyslim v komunikaci so statnou spravou, ale medzi ludmi, resp medzi firmami?

[Michal Kundrát]

Mohli by uvolnit obě verze, staticky i dynamicky linkovanou. Potom by stačilo napsat, že pokud nefunguje dynamicky linkovaná, měl by uživatel zkusit staticky linkovanou. Už jsem to někde viděl a fungovalo to dobře.

Vyjadřuje se stát i k tomu, pro který systém a verzi se snaží aplikaci optimalizovat? Možná by šel jako dočasné řešení používat nějaký vhodně nakonfigurovaný chroot.

[JoHnY]

ahojte, mna by zaujimala este ina vec, je mozne to pouzit na podpisovanie emailov, alebo inych dokumentov? Mohla by si potom druha strana overit ze danny email podpisala fakt osoba s danym OP? Tato druha cast uz asi nepatri sem, ale skusim: Co keby niekto podpisal dokument s tymo OP je to pravne to iste ako keby podpisal papierovu verziu, alebo to sa na to mus vyuzit iba ten ich soft? Teraz nemyslim v komunikaci so statnou spravou, ale medzi ludmi, resp medzi firmami?

Cau,
ano, tym ZEP mozes podpisat akykolvek dokument, pomocou napriklad http://zep.disig.sk cez web, co je asi najjednoduchsie co som nasiel a to podpisovanie (a overovanie) je tam uplne zadarmo, aspon momentalne, na overenie toho podpisaneho dokumentu sa da pouzit aj utilita d.viewer (zatial teda len pre windows) ktoru mozes stiahnut priamo od statnej spravy, ak by si sa rozhodol neverit tomu webovemu overeniu. Tam potom uvidis vsetky parametre certifikatu ktorym to bolo podpisane, meno a adresu trvaleho pobytu toho co to podpisal (to je v certifikate verejneho kluca ulozene). Ak mi das nejaky mail alebo nieco tak ti mozem poslat nejaky podpisany dokument aby si si mohol skusit ho overit, ale len tak verejne sa mi to vystavovat nechce :-)
S tym ci to je pravne to iste ako podpisane rukou by to zaujimalo aj mna, podla mna by to malo platit, lebo ten ZEP sa uz bezne pouziva ale pravnik niesom, takze neviem ako to presne je.

[JoHnY]

Mimochodom ten zep.disig.sk sa mi nejako nepodarilo pod linuxom rozbehnut aj ked by to malo ist, pri inicializacii podpisovacieho appletu ktory by mal byt v jave to stale caka a nic sa nedeje, ani to po mne nechce potvrdenie spustenia toho appletu, niesom si isty preco, pisu tam ze to vyzaduje 32-bitovu javu, ja mam 64-bitovu, takze mozno bude problem v tom, ak mate niekto linux s 32-bitovou javou, mozte skusit ci sa vam to aspon zacne spustat.

[Mirek Prýmek]

Cau,
ano, tym ZEP mozes podpisat akykolvek dokument, pomocou napriklad http://zep.disig.sk cez web,

Podepisování přes web bych se teda širokým obloukem vyhnul... V Linuxu nic takovýho nepotřebuješ, každý má nainstalovaný openssl, kde to uděláš snadno: http://stackoverflow.com/questions/10782826/digital-signature-for-a-file-using-openssl

Píšou tam, že to funguje přes PKCS11, což pro openssl není problém.

[JoHnY]

No ano, pokial mam nieco co je doverne tak podpisovat to cez web nieje idealne.
Ale obavam sa ze cez to openssl to takto jednoducho nepojde... Nevyznam sa v openssl natolko aby som z hlavy vytiahol commandline s ktorym by to malo ist a nemam cas studovat manual, ale ak mi niekto da example s ktorym by to mohlo ist tak to mozem skusit.
Neviem ako presne to eID funguje ale vo windows to funguje tak ze po pripojeni to chce jeden pin (BOK) a pri vytvarani ZEP to chce dalsi pin (ZEP PIN), niesom si isty nakolko je to standartne a ci nejaka standartna pkcs11 kniznica dokaze cez openssl vyziadat oba tie piny.

[Mirek Prýmek]

No ano, pokial mam nieco co je doverne tak podpisovat to cez web nieje idealne.

Pozor, je to daleko horší - pokud applet má možnost podepisovat tvým jménem, může ti tvrdit, že podepisuješ něco úplně jiného a ve skutečnosti podepíšeš směnku na dva miliony... Ono už samotný podepisování na počítači, kterej může být zavirovanej apod., je riziko, ale podepisování přes web, aplikací, která se může kdykoli změnit, to už je imho úplný bláznovství... (a to moje míra paranoie je dost nízká)

Tohle je největší slabina elektronického podpisu obecně - nejsi schopný bez technického prostředku vlastními silami posoudit, co podepisuješ.
 

Ale obavam sa ze cez to openssl to takto jednoducho nepojde... [...] vo windows to funguje tak ze po pripojeni to chce jeden pin (BOK) a pri vytvarani ZEP to chce dalsi pin (ZEP PIN), niesom si isty nakolko je to standartne a ci nejaka standartna pkcs11 kniznica dokaze cez openssl vyziadat oba tie piny.

Nevím, čemu říkají BOK a ZEP PIN, ale tohle afaik s openssl nesouvisí - je to věc driveru PKCS.