Komunikace s úřady - certifikáty české pošty

Odkazy na zajímavé články ze světa Linuxu.

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xtonda » sob 28. úno 2015 12:25:43

Samozřejmě že to lze, ale musíš uvést více podrobností. V jaké podobě v jaké aplikaci ho máš na těch Windows a kam konkrétně ho chceš dostat do toho linuxu?
xtonda
 
Příspěvky: 723
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xsouku04 » sob 28. úno 2015 12:54:01

Veřejný klíč si každý může stáhnout odsud http://www.postsignum.cz/certifikaty_uzivatelu.html
Je veřejný, není to nic tajného.
Naproti tomu privátní klíč, ten bývá spolu v s veřejným klíčem chráněn heslem např. v kontejneru pkcs12, což je soubor s koncovou p12.
Privátní klíč se běžně bez této ochrany vůbec nepřenáší.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6320
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xtonda » sob 28. úno 2015 13:18:49

Ano, pro přenášení slouží PKCS 12 kontejner, ovšem ten je potřeba nejprve si vytvořit exportem z prohlížeče, klíče se typicky generují v prohlížeči, ten pak pošle CSR a veřejný klíč certifikační autoritě, tak na základě těchto údajů ověří, že žadatel je držitelem příslušného privátního klíče a jeho identitu a to osvědčí svým podpisem v podobě vydaného certifikátu.

Taky je možné klíče a CSR vygenerovat třeba v openssl a napastovat to formuláře na webu CA, ale to už vyžaduje určité znalosti, to nepředpokládám že je tento případ, to by se dotyčný takto neptal.
xtonda
 
Příspěvky: 723
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod STP » sob 28. úno 2015 22:42:37

Děkuji za zájem.
Certifikát spravuji jejich programem iSignum a je někde v systémovém
úložišti Wind.
Záloha celého certifikátu je skutečně p12.
Takže pokud je to správně, a dokonce Postsign. má i program pro Linux,
(i když bohužel v javě ;) mohl bych to snad zvládnout.
Kam ho dát v Linuxu - poraďte, počítal jsem s Firefoxem, nevíte cestu k
zaheslování úložiště? Případně je tam ještě nějaký problém, který bych
měl vědět dopředu?
STP
 
Příspěvky: 33
Registrován: ned 06. říj 2013 21:59:27

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xtonda » sob 28. úno 2015 22:52:41

Firefox má pro klíče vlastní úložiště, importovat p12 umí, pro zašifrování uložených důvěrných údajů (klíče, hesla) je potřeba ve Firefoxu nastavit master heslo.
xtonda
 
Příspěvky: 723
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xsouku04 » sob 28. úno 2015 23:09:18

Postupujte podle tohoto návodu http://www.utexas.edu/its/help/user-certs/817
Je to nezávislé na OS, takže stejné i v Linuxu. Žádný jejich Java program není třeba, ten se používá jen pro generování.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6320
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod STP » sob 28. úno 2015 23:34:43

Děkuji, v hluboké úctě, dokonalejší to skutečně už být nemohlo.
Pokud bych to nezvládl, musel bych se už stydět.
STP
 
Příspěvky: 33
Registrován: ned 06. říj 2013 21:59:27

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xsouku04 » pát 03. bře 2017 11:33:47

Tak jsem po roce opět nucen zabývat se touto trafikou. Tentokráte jsem šel cestou nejmenšího odporu a využil jejich aplikaci pro Windows. Mám nyní již zálohu nového certifikátu p12 (vše je jednoduché), kterou mohu nainstalovat do Firefoxu v Linuxu, jak je libo. Zbývá dořešit, jak již zazálohované certifikáty z Windows smazat. Mít je uložené ve Windows úložišti totiž není bezpečné.
Viz citace z dokumentuhttps://www.google.cz/url?sa=t ... nXL1WtNXPA :

3.2 Privátní klíč uložen v systémovém úložišti Windows
Uložení privátních klíčů v systémovém úložišti Windows nelze považovat za bezpečný způsob uložení. Při infiltraci počítače malwarem nebo při přímém přístupu osoby existuje riziko zcizení klíčů zde uložených. Existují techniky, jak získat klíče uložené v systémovém úložišti, které byly označeny jako neexportovatelné.
Pokud přesto budete tuto variantu využívat, pak doporučujeme nastavit heslo, jež bude vyžadováno při každém přístupu ke klíčům, a nastavit příznak neexportovatelnosti privátních klíčů v rámci procesu importu. Neexportovatelnost nenastavujte, pokud budete privátní klíč potřebovat naimportovat do tokenu a máte jej uložen v systémovém úložišti. Postup exportu je popsán v Jak exportovat privátní klíč do souboru.
Veškeré operace s privátními klíči jsou prováděny na Vašem zařízení a systém získává pouze výsledek.
Postup pro získání páru privátního a veřejného klíče, které budou uloženy v systémovém úložišti Windows, je popsán v Jak získat pár privátního a veřejného klíče.


Tak už jsem na to přišel. Certifikát lze smazat pomocí Internet Exploreru, který je naštěstí stále přítomen i ve Windows 10 - jen schovali ikonky, protože tlačený Edge práci s certifikáty neumí - ani vypsat info o použitém certifikátu. a léta si za to nechá Microsoft na svém fóru nadávat.

V Internet Exporeru lze certifikáty nalézt v menu Nástroje->Možnosti internetu->Obsah->Certifikáty. Jedná se o certifikáty uložené v interním úložišti Windows. S obrázky je to popsáno zde. Ve Firefoxu jsem svůj nový certifikát nenašel, zjevně si je spravuje sám. (Firefox má certifikáty v menu Možnosti->Rozšířené>Certifikáty)

Pomocí Internet Exploreru je možné certifikát nejen smazat, ale importovat nebo zálohovat do p12 souboru. Podobně jako můžete provést zálohu vy, může záloho/krádež provést kdokoli, kdo se dostane na chvíli k počítači. (tedy pokud vše necháte tak, jak vám to aplikace od postsignum připravila) Nemluvě o tom, že to lze i na dálku. Jistější tedy je, certifikáty smazat a používat je jen v Linuxu ve firefoxu/thunderbird, chráněné master heslem, který je odolnějším proti virům.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6320
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Komunikace s úřady - certifikáty české pošty

Příspěvekod xtonda » pát 03. bře 2017 13:03:34

3.2 Privátní klíč uložen v systémovém úložišti Windows
Uložení privátních klíčů v systémovém úložišti Windows nelze považovat za bezpečný způsob uložení. Při infiltraci počítače malwarem nebo při přímém přístupu osoby existuje riziko zcizení klíčů zde uložených. Existují techniky, jak získat klíče uložené v systémovém úložišti, které byly označeny jako neexportovatelné.
Pokud přesto budete tuto variantu využívat, pak doporučujeme nastavit heslo, jež bude vyžadováno při každém přístupu ke klíčům, a nastavit příznak neexportovatelnosti privátních klíčů v rámci procesu importu. Neexportovatelnost nenastavujte, pokud budete privátní klíč potřebovat naimportovat do tokenu a máte jej uložen v systémovém úložišti. Postup exportu je popsán v Jak exportovat privátní klíč do souboru.
Veškeré operace s privátními klíči jsou prováděny na Vašem zařízení a systém získává pouze výsledek.
Postup pro získání páru privátního a veřejného klíče, které budou uloženy v systémovém úložišti Windows, je popsán v Jak získat pár privátního a veřejného klíče.

Bez popisu konkrétní zranitelnosti je to jen blábol.
Jinak certifikát od Postsignum QCA mám taky a prakticky ho nepoužívám, v čím dál víc situacích se pro ověření identity dá alternativně použít single signon přes Datové Schránky, takže váhám, jestli si ho obnovovat.

Pro obnovu používám prohlížeč (už si nepamatuju jestli IE nebo FF) přišlo mi to taky snadné a pohodlné.
xtonda
 
Příspěvky: 723
Registrován: čtv 08. zář 2011 14:38:19

Předchozí

Zpět na Zajímavosti ze světa Linuxu

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 2 návštevníků