[rlug] Aplicatie semnare pdf uri

Catalin Muresan catalin.muresan at gmail.com
Thu May 17 13:39:07 EEST 2018


On Thu, 17 May 2018 at 11:12, Răzvan Sandu <razvan.sandu at mobexpert.ro>
wrote:

> Bună ziua,
>
> Mă bag și eu în vorbă, neîntrebat...  ;-)
>  (mă confrunt cu aceleași probleme).
>

heh, pe mine ma asteapta peste citeva zile. declaratii anaf.


> Văd că noțiunea de „certificat digital calificat” (tehnic, a se
> înțelege: pereche de chei asimetrice a cărei cheie privată este „fixată”
> pe un stick USB) este specifică Uniunii Europene și este definită ca
> atare în legislația comunitară.
>

e USB dar nu e mass storage device. Are o interfata prin care cheia nu
paraseste niciodata token-ul si operatiunile de criptare se fac prin
interfata token-ului.


> Ca de obicei, legislația noastră internă preia legislația UE, uneori
> fără s-o înțeleagă exact, adăugându-i unele birocrații și giumbușlucuri.
>

Ai dreptate dar in acelasi timp legislatia nu inventeaza noi standarde de
criptografie si semnaturi digitale, sunt folosite cele existente care sunt
implementate cam peste tot (pentru ca sunt standarde)


> De aceea, dacă vrem să facem posibilă utilizarea practică de astfel de
> certificate și de către utilizatorii non-Microsoft (în particular cei
> GNU/Linux), trebuie să pornim de la condițiile de utilizare impuse de
> legi și de Ministerul de Finanțe, *inclusiv* cu limitările absurde
> impuse de ei (nu doar de la ce știm noi despre criptarea cu chei
> publice, în general).
>

Limitarile absurde mai degraba vin din implementarile absurde de pe
pachetele software care prelucreaza documentele semnate si mai putin din
inventiile MF. Au inceput cu Adobe PDF pentru ca mai mult ca sigur ca
folosesc o solutie "server side" Adobe.
Problemele sunt legate de faptul ca Adobe a inventat semnatura digitala
pentru PDF si probabil nu e foarte bine documentat care duce la probleme de
implementare in software opensource.


> De asemenea, pentru a fi eficientă, cred că discuția trebuie redusă la
> acele modele de smartcarduri care sunt acceptate/agrementate de
> Ministerul de Finanțe (care constituie majoritatea covârșitoare printre
> cele utilizate practic în România) și la stilul oficial de înțelegere a
> „lanțului de încredere” (să nu-i spun „web-of-trust”...).
>

web-of-trust e simplu, se foloseste PKI si trust-ul vine din certificatele
root care vin cu OS-ul care il folosesti. Daca digisign sau altii
instaleaza root certificatul lor, e o mare prostie si o potentiala problema
de securitate pentru ca nu cred ca au acelasi nivel de audit si securitate
la care sunt supusi cei care au certificate root in windows/linux.


> Mie principala problemă mi se pare lipsa de drivere (libere sau
> cvasi-libere) pentru astfel de smartcarduri - și nu Java. Nefiind
> programator, poate greșesc...
>

Exista un pachet pe Linux, OpenSC, care suporta o gramada mare de tot de
token-uri (de ex. digisign are alladin etoken
https://www.mayrhofer.eu.org/aladdin-etoken-under-linux etc).


> Puținele date disponible despre hardware-ul token-urilor USB se găsesc
> la https://h-node.org/


https://github.com/OpenSC/OpenSC/wiki


> Numai bine,
> Răzvan
> _______________________________________________
> RLUG mailing list
> RLUG at lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
>


More information about the RLUG mailing list