Komunikace s úřady - certifikáty české pošty

Odkazy na zajímavé články ze světa Linuxu.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Komunikace s úřady - certifikáty české pošty

Příspěvek od xsouku04 »

Kvůli "trafice" přístupu k databázi přenesených čísel jsem nyní nucen živit další "trafiku", vydávající "kvalifikované certifikáty". Kvalifikované certifikáty je též možné použít pro komunikaci emailem se státní správou.

Měl jsem na výběr z následujících "autorit".

VeriSign (http://www.verisign.com/) - na jejich stránkách jsem nic jako kvalifikovaný certifikát nenašel.

Následní dva trafikanti mají společné to, že se rozhodli, že budou vydávat certifikáty maximálně na rok. Zjevně proto, aby zákazníka nutili s nimi udržovat dlouhodobý vztah a platit. (Oficiální záminka je bezpečnost)

I. CA (http://www.ica.cz/)

PostSignum (http://www.postsignum.cz/)

Rozhodl jsem se pro poslední - poštu - má nejvíce poboček a zdá se být levnější.

Jaké všechny formuláře je třeba vyplnit píší zde : http://www.postsignum.cz/postup_pro_zis ... ikatu.html
Další věc je, že je třeba generovat žádost o certifikát, což znamená pro ty, co nemají windows, že je nutné si stáhnout pragram v Javě, který má verzi i pro Linux. Návod k programu. Generování žádosti pomocí tohoto programu říkají off-line generování. V mém případě, kdy vystupuji jako jednatel firmy, jsem zvolil Kvalifikovaný certifikáte - certifikát zaměstnance. Výsledkem je poté certifikát s politikou "Kvalifikovaný osobní certifikát". Programem vygenerovaný soubor cert_sign.req si nahraji na flešku a jdu s ním na poštu. (osobně jsem "zapomněl odmountovat" a tak jsem to musel opakovat protože soubor se nestihnul opravdu uložit.) Na Czech-point. Na poštu běžte v rozumnou dobu, protože u okýnka to může trvat až 40 minut a můžete tak celou poštu "ucpat".

Výsledkem je soubor QCA159XXXX.crt na flešce, tedy ne jak jsem čekal veřejný a privátní klíč.
Tento soubor žere onen Java program, který mi z něj pak po zadání dalšího hesla podle návodu vyplivne soubor cert_sign.p12. Tento soubor zdá se již umí otevřít např Kleopatra, Thunderbird nebo Firefox, pokud zadáme stejné heslo. V něm by měl být obsažen jak privátní tak veřejný klíč ve formátu pkcs12, zašifrován heslem.

Privátní a veřejný klíč lze ze souboru cert_sign.p12 získat v konzoli následovně:

Kód: Vybrat vše

# nutné zadat heslo pro uložení privátního klíče, pokud by se zadalo prázdné heslo uloží nesmysl
openssl pkcs12 -in  cert_sign.p12 -nocerts -out privat-key.pem  
# zašifrování privátního klíče heslem pak mohu odstranit
openssl rsa -in  privat-key.pem -out privat-key_nopass.pem  
openssl pkcs12 -in  cert_sign.p12 -nokeys -out cert.pem
# certifikát mohu pak použít např. pomocí wget automatizovaně
wget --no-check-certificate  --certificate=cert.pem --private-key=privat-key_nopass.pem  https://rnpdbf.cnpac.cz/rnpdbf/filedownload/download?file_name=fix_resync_2023_04_17_00_00.csv -O fix_resync_2023_04_17_00_00.csv
Formát pem mívá i koncovky .crt, .cer a .key

Protože pošta je pofiderní autorita, je nutné si ji jako autoritu též doinstalovat z tohoto zdroje.


Vydané certifikáty je pak možné najít podle emialu a stáhnout veřejné části DER,PEM a TXT http://www.postsignum.cz/certifikaty_uzivatelu.html Pokud to zrovna nejde, smažte si veškeré cookies od
postsignum.cz

Pokud chcete certifikát prodloužit a nemáte Internet Explorer, je potřeba to udělat podepsaným emailem dříve než původní certifikát vyprší. Na poštu není nutné chodit. Postup je úplně stejný jako u nové žádosti, použijete Java program PostSignum Tool Plus. Postup je popsán výše. Stačí odpovědět podepsaným emailem na email který informuje u vypršení původního certifikátu a přiložit soubor cert_sign.req jako přílohu. V tomto emailu jsou totiž uvedeny všechny detaily, které mohou na postsignum potřebovat.

Nastavit thunderbird pro používání podpisu.
Aby privátní klíč "nešel" ukrást, je třeba si nastavit master heslo. Jinak lze zkopírovat celá konfigurace thunderbirdu včetně certifikátů na jiný počítač a nic nebrání jejímu použití.
Naposledy upravil(a) xsouku04 dne pát 03. bře 2017 9:56:30, celkem upraveno 4 x.
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Komunikace s úřady - certifikáty české pošty

Příspěvek od mobilemanic »

Jj, "kvalifikovanost" certifikátu jakožto český výmysl je krásná věc.. :-)

Jinak, pošta Vám privátní klíč vyplivnout nemůže, nemá ho. Na základě requestu autorizuje ten klíč, který vygenerovala ta Java aplikace a ta jediná ho má, proto ho následně může spojit s dodaným certifikátem a vydat PKCS kontejner.
ViR
Příspěvky: 1327
Registrován: sob 30. črc 2011 10:50:06

Re: Komunikace s úřady - certifikáty české pošty

Příspěvek od ViR »

Tak, ta "kvalifikovanost" je spíš jen terminologická záležitost. Hlavně jde o státem uznávanou certifikační autoritu a celý ten systém má oporu v legislativě EU. Já tzv. zaručený elektronický podpis používám už od r. 2004 ke komunikaci se státem, obecně namísto doporučené pošty. U nás je humorný stav, kdy existují tři uznávané certifikační autority, a každá má svůj kořenový certifikát, od kterého se odvozuje důvěryhodnost těch vydávaných.

Takže chcete-li s tím pracovat (zejména jako úřad), musíte si ty root certifikáty nainstalovat od všech tří autorit. (I.CA, Postsignum a eidentity.) Na Slovensku je to o něco lépe vyřešené tím, že hlavní root certifikát vydal Národný bezpečnostný úrad, čili státní instituce, a od něj je teprve odvozena důvěryhodnost ostatních certifikačních autorit.

Jinak je v tom po zavedení datových schránek docela hokej, protože některé způsoby komunikace jsou díky tomu "dvojkolejné" a některé docela úspěšně navzájem kolidují... Přeborník na to je ČSSZ. Obecně je ale ta elektronizace státní správy docela průšvih a černá díra na peníze.
xtonda
Příspěvky: 763
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvek od xtonda »

Já sem si to pořizoval před rokem zejména pro komunikaci s FÚ, podávání DP přes EPO bez nutnosti chodit na FÚ a přístup do Daňové informační schránky. Je pravda, že ten postup generování certifikátu chvíli trvá, jedním certifikátem z a zřízením dvou datových schránek sem ucpal CzechPoint přepážku na naší poště asi na třičtvrtě hodiny. Rovněž vyplnění formulářů není vyloženě triviální, zejména u podnikající FO je formulář stejný jako pro PO a možnost uvádění různých pověřených osob v rámci organizace je tam kapku matoucí.

Kvalifikovanost znamená, že CA je státem nějak certifikována a tedy pro něj důvěryhodná. Kdyby to nebylo, tak by v podstatě kdokoliv mohl nainstalovat OpenCA a vydávat certifikáty dle libosti. Účelnost začlenění kořenového certifikátu do prohlížečů je rovněž diskutabilní, vzhledem k tomu, že tyto certifikáty slouží výhradně k podepisování dat ve směru občan/firma -> úřad veřejné správy a přihlašování do systémů jako je ona Daňová informační schránka. Že své certifikáty používají i pro své weby (mimochodem podepsané jejich komerční autoritou, nikoliv tou kvalifikovanou) je věc druhá.

Další výtky ovšem vyplývají čistě z neznalosti X.509 PKI. Já sem použil online verzi nástroje v prohlížeči, takže žádost jsem posílal online a certifikát si stáhl tamtéž. Nástroj pro generování žádosti samozřejmě vygeneruje pár veřejného a privátního klíče. Následně vygeneruje CSR (certificate signing request), což je datový kontejner obsahující vygenerovaný veřejný klíč klienta + identifikační údaje klienta a je podepsaný vygenerovaným privátním klíčem klienta, typicky ve formátu PKCS10 a ten je nutno dodat CA. CA na základě návštěvy klienta ověří identifikační údaje a vystaví certifikát, což je veřejný klíč klienta s identifikačními údaji podepsaný CA, typicky ve formátu PKCS7. Privátní klíč klienta CA vůbec nedostane do rukou. Klient si tento certifikát nahraje do nástroje, kterým generoval žádost a kde má svůj vygenerovaný privátní klíč. Pokud je potřeba privátní klíč s certifikátem přenést jinam, vyexportuje se pro přenos typicky ve formátu PKCS12 a protože je v tomto kontejneru i privátní klíč, je logicky potřeba ho opatřit heslem. Tento soubor je možné importovat do běžných programů jako zmíněný Thunderbird, webové prohlížeče apod. a začít používat.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Komunikace s úřady - certifikáty české pošty

Příspěvek od xsouku04 »

xtonda píše:Já sem si to pořizoval před rokem zejména pro komunikaci s FÚ, podávání DP přes EPO bez nutnosti chodit na FÚ a přístup do Daňové informační schránky. Je pravda, že ten postup generování certifikátu chvíli trvá, jedním certifikátem z a zřízením dvou datových schránek sem ucpal CzechPoint přepážku na naší poště asi na třičtvrtě hodiny. Rovněž vyplnění formulářů není vyloženě triviální, zejména u podnikající FO je formulář stejný jako pro PO a možnost uvádění různých pověřených osob v rámci organizace je tam kapku matoucí.

Kvalifikovanost znamená, že CA je státem nějak certifikována a tedy pro něj důvěryhodná. Kdyby to nebylo, tak by v podstatě kdokoliv mohl nainstalovat OpenCA a vydávat certifikáty dle libosti. Účelnost začlenění kořenového certifikátu do prohlížečů je rovněž diskutabilní, vzhledem k tomu, že tyto certifikáty slouží výhradně k podepisování dat ve směru občan/firma -> úřad veřejné správy a přihlašování do systémů jako je ona Daňová informační schránka. Že své certifikáty používají i pro své weby (mimochodem podepsané jejich komerční autoritou, nikoliv tou kvalifikovanou) je věc druhá.

Další výtky ovšem vyplývají čistě z neznalosti X.509 PKI. Já sem použil online verzi nástroje v prohlížeči, takže žádost jsem posílal online a certifikát si stáhl tamtéž. Nástroj pro generování žádosti samozřejmě vygeneruje pár veřejného a privátního klíče. Následně vygeneruje CSR (certificate signing request), což je datový kontejner obsahující vygenerovaný veřejný klíč klienta + identifikační údaje klienta a je podepsaný vygenerovaným privátním klíčem klienta, typicky ve formátu PKCS10 a ten je nutno dodat CA. CA na základě návštěvy klienta ověří identifikační údaje a vystaví certifikát, což je veřejný klíč klienta s identifikačními údaji podepsaný CA, typicky ve formátu PKCS7. Privátní klíč klienta CA vůbec nedostane do rukou. Klient si tento certifikát nahraje do nástroje, kterým generoval žádost a kde má svůj vygenerovaný privátní klíč. Pokud je potřeba privátní klíč s certifikátem přenést jinam, vyexportuje se pro přenos typicky ve formátu PKCS12 a protože je v tomto kontejneru i privátní klíč, je logicky potřeba ho opatřit heslem. Tento soubor je možné importovat do běžných programů jako zmíněný Thunderbird, webové prohlížeče apod. a začít používat.
Díky za vysvětlení. Tak nějak jsem to, co píšete, předpokládal. Ještě by mne zajímalo, zda je možné ukrást privátní klíč. Tedy v podstatě ukrást možnost podepisovat emaily přímo z programu Thunderbird nebo jiného programu?

Předpokládám, že že to nějak zajištěné bude, protože pak by to byla spíše než funkce podpisu funkce razítka, které ale může poměrně snadno kdokoli ukrást - tedy spíše si zkopírovat. A příjemce si může ověřit, že to razítko bylo původně opravdu moje. Jestli bylo ale mezitím kradené a kopírované už neověří.

Jde mi o to, že přes všechny ty zbytečně složité návody jsem nepochopil v čem tkví tak zvýšená bezpečnost
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Komunikace s úřady - certifikáty české pošty

Příspěvek od alfi »

nevím, jak ta databáze přenesených čísel, ale ke komunikaci se státní správou úplně stačí datová schránka. stát její zprávy přijímat musí, koncového uživatele provoz nic nestojí (teda kromě toho, že to platíme z daní), na žádné "kvalifikované" certifikáty se nehraje, nebo aspoň̌ ne povinně :-)

ad kradení klíče - klíč i certifikát jsou soubory, tedy kdokoliv s (admin) přístupem k pc si z něj může zkopírovat libovolný soubor. zabezpečení už je pak jen heslem k tomu souboru, které může znát jen vlastník klíče. ale pokud má uživatel v pc červíka nebo zvědavého admina, kteří vidí soubory i odposlouchávají klávesnici, žádné zabezpečení se nekoná.. pomůže snad jen nějaké TPM úložiště, které umí jen operace "nový klíč" a "podepsat", nikoliv "číst klíč". nevýhodou zase je, že takový klíč nejde zálohovat..
xtonda
Příspěvky: 763
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvek od xtonda »

Úložiště certifikátů ve Firefoxu/Thunderbirdu i to systémové ve Windows používané Internet Explorerem je chráněno heslem (ve FF/TB je nutné si to zapnout), takže teoreticky by nemělo být možné se tam dostat. Prakticky nelze vyloučit, že tam je nějaká zranitelnost a že někdo bude schopen vytvořit exploit a dostat mi ho do počítače.

Proto taky některá internetová bankovnictví preventivně vestavěné úložiště nepoužívala a místo toho používala pro přihlášení Java Applet, který načítal klíče po zadání hesla přímo z PKCS12 kontejneru, pravděpodobnost jeho napadení se zdá být nižší, jelikož je to relativně jednoduchá standardizovaná a tedy dokumentovaná věc. Samozřejmě nejbezpečnější jsou klíče na čipové kartě, ale to sou další náklady.

V případě úniku privátního klíče se dá certifikát revokovat, ten kdo podpis ověřuje by měl kontrolovat CRL (Cretificate Revocation List), musím ten únik ale zaznamenat.
xsouku04 píše:Jde mi o to, že přes všechny ty zbytečně složité návody jsem nepochopil v čem tkví tak zvýšená bezpečnost
tuhle poznámku sem nepochopil - zvýšená bezpečnost čeho oproti čemu?

Kvalifikované certifikáty tu byly dřív než DS, takže spousta úřadů se nejdříve zařizovala pro příjem podaní podepsaných kvalifikovaným podpisem a teprve později na DS, takže je tu ta dvojkolejnost a některé služby jako Daňová informační schránka prostě vyžadují přihlášení kvalifikovaným certifikátem a to taky byl důvod, proč jsem si ho zřídil.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Komunikace s úřady - certifikáty české pošty

Příspěvek od alfi »

xtonda píše:Úložiště certifikátů ve Firefoxu/Thunderbirdu i to systémové ve Windows používané Internet Explorerem je chráněno heslem (ve FF/TB je nutné si to zapnout), takže teoreticky by nemělo být možné se tam dostat. Prakticky nelze vyloučit, že tam je nějaká zranitelnost a že někdo bude schopen vytvořit exploit a dostat mi ho do počítače.

Proto taky některá internetová bankovnictví preventivně vestavěné úložiště nepoužívala a místo toho používala pro přihlášení Java Applet, který načítal klíče po zadání hesla přímo z PKCS12 kontejneru, pravděpodobnost jeho napadení se zdá být nižší, jelikož je to relativně jednoduchá standardizovaná a tedy dokumentovaná věc. Samozřejmě nejbezpečnější jsou klíče na čipové kartě, ale to sou další náklady.
to, jestli čtu zaheslovaný klíč rovnou z pkcs12 nebo z (doufejme) zaheslovaného úložiště v prohlížeči, mi přijde nastejno - v obou případech stačí znát formát uloženého souboru a ono uživatelské heslo, které uživatel dříve nebo později napíše z klávesnice.. aneb pokud je sám sobě správcem PC, má záplatováno, na windows nějaký antivir, nechodí na/nestahuje warez a neinstaluje hned kdejaký bomba screensaver, který dorazil emailem, pak je to myslím jakž takž bezpečné. otázkou spíš bude, kolik běžných frantů všechny tyhle předpoklady současně splňuje? :-)
xtonda píše: ...a některé služby jako Daňová informační schránka prostě vyžadují přihlášení kvalifikovaným certifikátem a to taky byl důvod, proč jsem si ho zřídil.
ani to už nebude dlouho platit :-) http://rsm-tacoma.cz/newsletter/kazdy-b ... i-schranku
xtonda
Příspěvky: 763
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvek od xtonda »

To sem zvědav jak vyřeší pokud bych chtěl certifikát neprodloužit a přejít na přístup přes DS. Každopádně pozitivní změna, třeba časem ten certifikát bude úplně zbytečný, čtyři stovky se dají využít i jinak.
xtonda
Příspěvky: 763
Registrován: čtv 08. zář 2011 14:38:19

Re: Komunikace s úřady - certifikáty české pošty

Příspěvek od xtonda »

Jinak pokud jde o bezpečnost PKCS12 vs. úložiště browseru - já tam vidím dvě věci, za prvé zneužitelná chyba v implementaci úložiště browseru mi přijde pravděpodobnější než u PKCS12, tedy je tam větší riziko prolomení a získání přístupu i bez znalosti hesla a za druhé PKCS12 kontejner mohu mít někde na flashce a strkat to do PC jen v okamžiku použití, což riziko rovněž omezuje.
Zamčeno