wtorek, lipca 29, 2008

Podpis wyjaśniania:
  1. Uniwersalność biblioteki Sigillum w nowej, jeszcze niedostępnej wersji 4.0. Na podstawie korespodencji z deweloperami z Sigillum oraz wycinka z strony Besti@ "Odpowiedź:
    Podpis firmy Kir S.A.
    Po poprawnej instalacji oprogramowania "Menadżer CryptoCard Suite", należy upewnić się, czy podpis cyfrowy znajduje się w systemowym magazynie certyfikatów. W tym celu należy przejść na zakładkę "Narzędzia" i kliknąć na przycisk "Uruchom", znajdujący się w części "Menadżer certyfikatów". Jeśli certyfikat przypisany do karty będzie widoczny na liście, oznacza to, że jest on prawidłowo zainstalowany w systemie Windows.
    W przeciwnym przypadku należy uruchomić "Dodatkowe narzędzia" za pomocą przycisku "Uruchom". Następnie należy wybrać opcję "Rejestracja certyfikatu w systemie" i kliknąć na przycisk "Dalej". W kolejnym oknie należy wybrać odpowieni certyfikat i znowu kliknąć "Dalej". Następnie należy potwierdzić wybór wskazanego certyfikatu. W ostatnim oknie należy podać nazwę, pod którą będzie on widoczny w systemie.
    Na końcu należy ponownie sprawdzić w "Menadżerze certyfikatów", czy proces zakończył się powodzeniem.

    Podpis firmy Unizeto.
    Po poprawnej instalacji oprogramowania "proCertum CardManager" przynajmniej w wersji 2.4.0.52, dostępnego na stronie firmy Unizeto, należy przejść na zakładkę "Profil bezpieczny" i kliknąć na przycisk "Rejestruj certyfikaty". Spowoduje to rejestrację wszystkich certyfikatów znajdujących się na karcie w systemie Windows.    "
  2. Można sądzić, że biblioteka Sigillum obsługuje również podpisy innych urzędów certyfikacyjnych.
  3. Inne cechy tej biblioteki:
    1. Podpisałem dokument xml (faktura COIG) o formacie XADES, sprawdzałem ją weryfikatorem PEMI, sprawdzenie udane połowicznie (brak dostępu do CRL ponieważ certyfikaty Sigillum nie mają wypełnionego pola CRL URL)
  4. Format podpisu dokumentów (w tym również e-Faktur) wg. rozporządzeń odnośnie administracji rządowej wymagany jest XADES. Chociaż inne dokumenty np. e-Deklaracja mówią o trzech równorzędnych formatach: PKCS#7, CMS oraz XADES. Ciekawe czy urzędy kontroli skarbowej są przygotowane na sprawdzanie faktur i innych dokumentów elektronicznych.
  5. Aplikacja do podpisywania dokumentów - w większości przypadków jest to pełnokrwista aplikacja desktopowa (jedna wzmianka o aplikacji webowej - firma LeftHand nie sprawdzałem)
  6. Akty prawne, które mogą rzucić trochę światła na podpis:
    1. Dz.U. 212 (poz. 1766) z 11.10.2005
    2. Dz.U. 133 (poz. 1119) z 14.07.2005
    3. Dz.U. 2002 Nr 128, Poz. 1094 rozporządzenie w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego)
  7. Inne rodzime rozwiązanie jest udostępnione przez stowarzyszenie PEMI. Jest to applet i kontrolka ActiveX:
    1. applet działa: podpisuje i sprawdza poprawność. Aby był przydatny do moich celów musi mieć inny interfesj We/Wy (nie poprzez wskazanie przez uzykownika pliku ale poprzez parametry wywołania). Tworcy appletu obiecują poprawę interfejsu. Wysłałem do nich e-mail z zapytaniem o licencje użytkownia. Brak reakcji. Kod źródłowy - brak.
    2. activeX - dziala, ale brak kodu źródłowego, działa wyłącznie w IE, brak informacji o licencji. Jest dokładny help interfejsu.
    3. aplikacja POTECTOR - obiecywana na stronie jeszcze w ubiełym roku. Niedostępna do dziś.
  8. Sprawdzenie - platforma serwerowa, dostęp poprzez Internet np Web Service - można wykorzystać MS Windows Server 2008/2008 z IIS, oraz biblioteki Sigillum ale potrzeba dobrze zabezpieczyć te serwery (odpowiedni czlowiek)
  9. Sprawdzenie listy CRL wg Certum : "

    Kwalifikowane OCSP

    Usługa polegająca na wystawianiu elektronicznego zaświadczenia potwierdzającego, że weryfikowany certyfikat jest certyfikatem kwalifikowanym i ważnym w momencie weryfikacji. Pozwala na sprawdzenie statusu certyfikatów kwalifikowanych wszystkich wystawców w Polsce.

    Usługa realizowana według „Polityki certyfikacji” spełniającej wymagania ustawy o podpisie elektronicznym, podlegająca audytom Ministra Gospodarki i na jego wniosek wpisana do rejestru usług kwalifikowanych związanych z podpisem elektronicznym.
    Wydanie przez kwalifikowany urząd OCSP zaświadczenia ze statusem „poprawny” oznacza, że sprawdzany certyfikat:
    • weryfikowany był w okresie jego ważności,
    • jest certyfikatem kwalifikowanym (wystawionym przez jeden z podmiotów działających na terenie Polski),
    • na moment udzielania odpowiedzi nie był skutecznie unieważniony przez podmiot wystawiający ten certyfikat.
    Usługa jest dostępna w dwóch wariantach:
    • przez stronę WWW,
    • poprzez oprogramowanie klienckie.

    Zastosowanie

    Usługa znajduje zastosowanie w przypadku, gdy chcemy sprawdzić ważność danego certyfikatu kwalifikowanego i otrzymać poświadczenie tej ważności.

    Korzyści

    Kwalifikowana usługa OCSP pozwala szybko ustalić status certyfikatu kwalifikowanego wystawionego przez każde z polskich centrów certyfikacji świadczących kwalifikowane usługi certyfikacyjne.

    Wynik sprawdzenia statusu certyfikatu jest wydawany w postaci zaświadczenia (dokumentu) elektronicznego poświadczonego przez urząd OCSP. Zaświadczenie to stanowi dowód wykonania weryfikacji. Elektroniczne potwierdzenie statusu każdego certyfikatu może być przesłane za pomocą poczty e-mail autorowi zapytania.

    Alternatywą do korzystania z usługi OCSP jest „samodzielne” wykonanie weryfikacji ważności certyfikatu poprzez przeglądanie list unieważnionych certyfikatów (CRL). Przeprowadzenie poprawnie takiej weryfikacji obarczone jest sporym ryzykiem związanym z zagrożeniami występującymi w sieci Internet oraz z brakiem posiadania aktualnej wiedzy na temat wszystkich wystawców i typów certyfikatów uznanych za kwalifikowane. Natomiast w przypadku korzystania z usługi OCSP mamy do czynienia z jednym tzw. punktem zaufania; po otrzymaniu odpowiedzi z urzędu OCSP wystarczy sprawdzić autentyczność poświadczenia (podpisu) urzędu za pomocą danych powszechnie znanych, zawartych w zaświadczeniu certyfikacyjnym wydanym przez Narodowe Centrum Certyfikacji na wniosek Ministra Gospodarki.

    Wymagania techniczne

    Nie ma specjalnych wymagań technicznych dla tej usługi.
    "
  10. Inny sposób n zarabianie kasy e-Notarius (tzw. Data Validation and Certification Server). Kwalifikowana usługa e-Notarius zapewnia:
    • proste i wiarygodne sprawdzenie poprawności podpisu (-ów) elektronicznego,
    • oraz weryfikację statusu certyfikatu (-ów) klucza publicznego, związanych z podpisem lub podpisami.
  11. Wniosek, jest to płatne wg. cennika, możemy to zrobić sami lub poprzez bibliotekę Sigillum
  12. Do sprawdzenia - nowa wersj CryptoCard Suite z CrytpoTech ma wspierać Javę bezpośrednio (ze stron KIR lub Certum)
Opracował w

Brak komentarzy:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)