Slovenské dátové schránky v Linuxu

[JoHnY]

Pozor, je to daleko horší - pokud applet má možnost podepisovat tvým jménem, může ti tvrdit, že podepisuješ něco úplně jiného a ve skutečnosti podepíšeš směnku na dva miliony... Ono už samotný podepisování na počítači, kterej může být zavirovanej apod., je riziko, ale podepisování přes web, aplikací, která se může kdykoli změnit, to už je imho úplný bláznovství... (a to moje míra paranoie je dost nízká)

No to je pravda, ale ked nieco podpises tak ti to vygeneruje subor .zep v ktorom je zabundlovany ten podpis + originalny dokument, cize ked je ten podpisany dokument iny ako co si chcel povodne podpisat, vies ze niekde asi nastala chyba a mozes obratom nechat svoj certifikat revoknut a cokolvek sa tym podpisalo, platne nebude lebo uz dalsi den ked sa vygeneruje CRL tak tvoj revoknuty certifikat v nom bude a tym padom uz ziadne overovatko neoveri ze je ten podpis platny, vyhodi ti chybu lebo ten certifikat bol zruseny.

Nevím, čemu říkají BOK a ZEP PIN, ale tohle afaik s openssl nesouvisí - je to věc driveru PKCS.

Ano, to je vec driveru PKCS, tak som to myslel ze neviem ci to je standartna feature PKCS alebo nejaky ich addon, s tymi dvoma pinmi, ci to ten standartny driver pkcs dokaze spracovat. Ak nie, tak treba driver specialny od nich, ktory neexistuje (aspon pre linux).

[Reklama]

[JoHnY]

Mimochodom, on ten java applet je podpisany, cize da sa overit dotazom do tej firmy na fingerprint daneho appletu a jeho porovnanim s tym co ukazuje pri podpisovani ze ci to sedi. Potom je to uz len o tom ci je dana spolocnost doveryhodna (ci to nieje banda hackerov ktori ti podvrhnu applet ktory podpise nieco ine ako clovek chce podpisat), vzhladom na to ze disig je aj certifikacna autorita a su registrovani NBU (aj ked vzhladom na nbusr123 to tiez nieje bohvieaka zaruka :-) tak by som ich osobne za doveryhodnych povazoval.
Ak teda som schopny overit ze ten applet ktorym sa to podpisuje je naozaj OK a nieje podvrhnuty, tak by som to dokonca povazoval za bezpecnejsie ako podpisovanie aplikaciou ktoru mam nainstalovanu, prave z dovodu mozneho virusu alebo podobne.
Ale jasne ze vsetko sa da obist/hacknut atd. Sfalsovat fyzicky podpis sa nakoniec tiez da a kym sa clovek o tom vobec dozvie ze mu niekto falsoval podpis tak moze mat davno predany dom a zisti to az ked ho pridu z neho vyhodit...

[Mirek Prýmek]

Potom je to uz len o tom ci je dana spolocnost doveryhodna

Ano, přesně o tom to je - jestliže k podepisování používáš soft třetí strany, je to celé jen otázka důvěryhodnosti a kompetentnosti té třetí strany. Je to asi tak jako bys jim dal klíče od šuplíku, ve kterém máš razítko a poprosil je, ať tam zaskočí a razítko dají na tenhle papír, který jim dáš...

vzhladom na to ze disig je aj certifikacna autorita a su registrovani NBU (aj ked vzhladom na nbusr123 to tiez nieje bohvieaka zaruka :-) tak by som ich osobne za doveryhodnych povazoval.

To už je samozřejmě na zvážení každého soudruha. Já pokud mám možnost papír orazítkovat sám, tak to raději udělám sám, než bych někomu dával klíče od razítka.

Ak teda som schopny overit ze ten applet ktorym sa to podpisuje je naozaj OK a nieje podvrhnuty, tak by som to dokonca povazoval za bezpecnejsie ako podpisovanie aplikaciou ktoru mam nainstalovanu, prave z dovodu mozneho virusu alebo podobne.

Opět ne. Pokud máš zavirovaný počítač, tak ti může libovolný kód prezentovat jako podepsaný onou autoritou. Čili pokud máš zavirovaný počítač, všechno ostatní padá a nic to nemůže zachránit, zejména ne nějaký podpis nějakého apletu

[Mirek Prýmek]

No to je pravda, ale ked nieco podpises tak ti to vygeneruje subor .zep v ktorom je zabundlovany ten podpis + originalny dokument, cize ked je ten podpisany dokument iny ako co si chcel povodne podpisat, vies ze niekde asi nastala chyba a mozes obratom nechat svoj certifikat revoknut a cokolvek sa tym podpisalo, platne nebude lebo uz dalsi den ked sa vygeneruje CRL tak tvoj revoknuty certifikat v nom bude a tym padom uz ziadne overovatko neoveri ze je ten podpis platny, vyhodi ti chybu lebo ten certifikat bol zruseny.

To máš ovšem dost zkreslené představy o tom, jak podepisování funguje. Myslíš, že když podepíšeš nějakou smlouvu, tak ti pak stačí přijít domů, revokovat certifikát a tím se smlouva stane nepodepsanou?

Neplatné jsou samozřejmě jenom podpisy PO revokaci.

Ano, to je vec driveru PKCS, tak som to myslel ze neviem ci to je standartna feature PKCS alebo nejaky ich addon, s tymi dvoma pinmi, ci to ten standartny driver pkcs dokaze spracovat. Ak nie, tak treba driver specialny od nich, ktory neexistuje (aspon pre linux).

Předpokládám, že ten java applet přistupuje k PKCS driveru a ne přímo k hw. Takže pokud to podporuje java applet, neměl by s tím imho být problém ani v openssl. Nicméně za tu dobu, co tady o tom teoretizujeme, jsi to už mohl mít vyzkoušené

[JoHnY]

To máš ovšem dost zkreslené představy o tom, jak podepisování funguje. Myslíš, že když podepíšeš nějakou smlouvu, tak ti pak stačí přijít domů, revokovat certifikát a tím se smlouva stane nepodepsanou?

Neplatné jsou samozřejmě jenom podpisy PO revokaci.

ok, to som nejako prekombinoval :-) v kazdom pripade sfalsovanie podpisu moze nastat ovela jednoduchsie aj bez vlastneho pricinenia v pripade fyzickeho podpisu, a dosledky su rovnake.

Předpokládám, že ten java applet přistupuje k PKCS driveru a ne přímo k hw. Takže pokud to podporuje java applet, neměl by s tím imho být problém ani v openssl. Nicméně za tu dobu, co tady o tom teoretizujeme, jsi to už mohl mít vyzkoušené

No prave ze pod linuxom to ani z toho java appletu nejde, prave som to skusil. Vobec to nenajde ten device a je tam len moznost "define device manually" alebo take nieco, kde si mozem zvolit driver, skusal som tam dat opensc-pkcs11.so ale ani s tym nic nenasiel. Takze bud maju pod windowsom daky specialny driver (aj ked sa nezda byt daky proprietarny, vo windows tam ukazuje pkcs11_x86.dll) lebo treba nejaky iny driver...

[Reklama]

[Mirek Prýmek]

No prave ze pod linuxom to ani z toho java appletu nejde, prave som to skusil. Vobec to nenajde ten device a je tam len moznost "define device manually" alebo take nieco, kde si mozem zvolit driver, skusal som tam dat opensc-pkcs11.so ale ani s tym nic nenasiel.

No ale rikal's, ze mas 64b javu a oni chteji 32b, ne?

[JoHnY]

No prave ze pod linuxom to ani z toho java appletu nejde, prave som to skusil. Vobec to nenajde ten device a je tam len moznost "define device manually" alebo take nieco, kde si mozem zvolit driver, skusal som tam dat opensc-pkcs11.so ale ani s tym nic nenasiel.

No ale rikal's, ze mas 64b javu a oni chteji 32b, ne?

ano, skusil som to na notebooku, tam je 32bit a tam som sa dostal dalej, applet sa zinicializoval ale narazil som na toto, ze to nenaslo tu kartu a tym padom som nemal cim podpisovat.

[Mirek Prýmek]

ano, skusil som to na notebooku, tam je 32bit a tam som sa dostal dalej, applet sa zinicializoval ale narazil som na toto, ze to nenaslo tu kartu a tym padom som nemal cim podpisovat.

Můžeš zkusit to zmíněný "pkcs15-tool -D"

[JoHnY]

To som skusal, pise to unsupported card. Napisal som im ci sa to da nejako sprevadzkovat pod linuxom tak uvidim co odpisu.

[Mirek Prýmek]

To som skusal, pise to unsupported card.

Aha, tak v tom pripade jeste "pkcs11-tool -O". Muzes zkusit i "pkcs11-tool -s".

[JoHnY]

To mi nejde, --module <arg> je vraj mandatory, ked som mu dal --module opensc-pkcs11.so tak pise no slot with a token was found, co je v podstate ten isty vysledok ako v tom java applete...

[Mirek Prýmek]

To mi nejde, --module <arg> je vraj mandatory, ked som mu dal --module opensc-pkcs11.so tak pise no slot with a token was found, co je v podstate ten isty vysledok ako v tom java applete...

Hm, tak to je zvlastni.

[JoHnY]

Chcelo by to nejaku kartu ktora 100% funguje cez ten pkcs11 driver aby som odskusal ze je naozaj problem v karte a nie v softwari, ale nemam okrem obcianskeho ziadnu inu, este technicak k autu ma cip ale to pise to iste, a platobna karta s cipom tiez to iste...

[Mirek Prýmek]

Chcelo by to nejaku kartu ktora 100% funguje cez ten pkcs11 driver aby som odskusal ze je naozaj problem v karte a nie v softwari, ale nemam okrem obcianskeho ziadnu inu, este technicak k autu ma cip ale to pise to iste, a platobna karta s cipom tiez to iste...

Ted momentalne nemam ctecku u sebe, ale pamatuju si, ze kreditka na jeden z tech dumpu reagovala, ted si nepamatuju, na kterej.

[hawran diskuse]

Lehce off topic:

12.12.2014
Oznam
Zabezpečený prístup (https) je možný len s prehliadačom IE. Pokiaľ chcete využívať zabezpečený prístup, kliknete sem.

http://www.katasterportal.sk/kapor/changeLanguageAction.do;

Technické predpoklady pre používanie aplikácie pre súbor grafických informácií (SGI) sú:

* Internetový prehliadač Microsoft Internet Explorer verzie 6.0 a vyšší
* Rozlíšenie minimálne 1024x768 (stránky sú optimalizované pre toto rozlíšenie)
* Povolené Cookies
* Povolený JavaScript
* Povolené inštalovanie a spúšťanie ActiveX komponentov a administrátorské práva na počítači za účelom inštalácie ActiveX plugin-u (platí pre operačné systémy Windows 7, Windows Vista, Windows XP, Windows 2000, Windows NT)
* Povolené zobrazovanie Pop-up okien (aplikácie ktoré môžu blokovať Pop-up okná sú napríklad Microsoft Internet Explorer, Anti-vírus, Google Toolbar, atď...)
* Rozšírenia Microsoft Internet Explorera alebo toolbary ako Google Toolbar môžu negatívne vplývať na MapGuide Viewer
* Úroveň bezpečnosti Microsoft Internet Explorera nesmie byť nastavená vyššie ako „Medium“/„Stredná“.
* MapGuide Viewer ActiveX komponent môže byť zablokovaný („disabled“), odblokujte ho v nastavení Microsoft Internet Explorera
    64-bitová verzia Microsoft Internet Explorera nie je podporovaná
* Pre Microsoft internet Explorer verzie 7 a 8 je potrebné pre úspešnú realizáciu tlače mapy vypnúť „Protected Mode“/ „Chránený režim“ (nastaviť na Off)
* V prípade problémov s tlačou v Microsoft Internet Exploreri verzie 8 pridajte webovú stránku „http://195.28.70.134/“ medzi „ Trusted sites“

http://www.katasterportal.sk/kapor/faq.do


Informácie o portáli
Katastrálny portál umožňuje prístup k údajom katastra nehnuteľností, získať základné informácie okamžite a bez návštevy príslušného Okresného úradu, katastrálneho odboru, získať oprávneným subjektom súhrnné a detailné informácie bez zložitej korešpondencie. Sprístupnenie informácií je realizované na základe Zákona č. 346/2007 Z.z. ktorým sa mení a dopĺňa zákon Národnej rady Slovenskej republiky č. 215/1995 Z. z. o geodézii a kartografii v znení zákona č. 423/2003 Z. z. ", ktorý ustanovuje bezodplatné poskytovanie informácií z Informačného systému katastra nehnuteľností všetkým subjektom prostredníctvom katastrálneho portálu.

Katastrálny portál umožňuje:
...

Katastrálny portál je aplikácia určená primárne občanovi.