Ahojte.
Ma niekto skusenosti s aplikaciou LockIt na podpisovanie ZEP? (http://lockitsk.webnode.sk) Viem s nou cez command line podpisat akykolvek subor (nie iba PDF) a to je fajn.
Ale ked si chcem potom dany subor pozriet v D.Viewer (oficialna aplikacia na prezeranie podpisanych suborov), tak mi pise, ze nepozna ten format.
Preco? Da sa to nejako obist?
D.viewer ma z mojej skusenosti velmi slabu podporu dokumentov podpisanych inde. mal som problem otvorit subor z qsignu alebo disig podpisovaca… obist sa to neda (mozno natlakom na ditec 
), len pouzivat nieco ine.
Lockit zasa nema nbu certifikaciu, ale to neviem co znamena po pravnej stranke po poslednej zmene zakona
A existuje alternativa k D.signeru s NBU certifikaciou? Resp. ma D.signer nejaky command line interface?
Autor LockItu je zamestnancom NBU, a celkom dobry odbornik na ZEP a PKI, takze tej chybajucej certifikacie by som sa nebal. Tipol by som, ze sa na standardoch o ZEPe priamo podielal.
Ja sa nebojim, mam rovnaky nazor, ale zakony idu velakrat proti logike, ono na sude by sa to asi tazsie obhajovalo, keby si mal podpis vytvoreny necertifikovanou aplikaciou, ale to asi pravnik povie viac. a sa aj vela zmenilo poslednym zakonom o zepe z novembra 2016 ci kedy.
Z principu (a viem ze aj zo zakona to tak bolo) nemoze byt, clovek MUSI vidiet co podpisuje, preto je problem aj s hromadnym podpisovanim.
Ine su automaticke sluzby kde sa podpisuje el. pecatou organizacie, ale tie su oficialne pre elektronicku podatelnu:
http://www.nbu.gov.sk/doveryhodne-sluzby/certifikacia-produktov/certifikovane-produkty/pre-elektronicku-podatelnu/index.html
podla toho co viem, tak comand line nemoze byt podla nbu, kedze sa podpisuje vizualna podoba, a nie je problem podpisat cokolvek, prave kontrola formatu je problem aby sa nepodpisal napriklad word ci pdf s makrom, schovanym textom a pod
Ja nechcem hromadne podpisovanie. Potrebujem len vediet z mojho softu zavolat appku na podpisanie dokumentu. To, ze sa potom zobrazi nejake GUI, kde to finalne pouzivatel odklikne, je pre mna uplne v poriadku. Len tam chcem vediet nejako podsunut cestu ku konkretnemu suboru…
@jsvitok Tiez som rovnakeho nazoru, ako @peterk. P. Rybar (autor LockItu) sa sice podielal na tvorbe standardov a je to odbornik, ale ak aplikacia nie je certifikovana, tak jednoducho nie je certifikovana… Taky je zivot.
Ja osobne som riesil som integraciu na qsign a dsigner.
Qsign ma viac moznosti integracie, idealne sa ozvat Ardacu.
Co sa tyka dsigneru, tak tam su .net komponenty (ale maju aj com interface), ktore vies pridat do svojho projektu a volat to priamo z kodu, alebo si vies spravit vlastny command line k tomu. Tam som to riesil pre organ verejnej moci - maju moznost “zadarmo” sublicencovat od nasesu. Takze tam nemam ponatia co to stoji. Ale pozor, maju len xades podpis.
S disigom nemam ziadne integracne skusenosti.
D.Signer ponuka dost velke moznosti cez svoje API (aj Java aj .NET). Viac info tu:
https://www.slovensko.sk/sk/na-stiahnutie/informacie-pre-integratorov-ap
Podla licencie, ktora je sucastou D.Signera je mozne zadarmo vyuzivat sluzby D.Signera pre ucely vytvarania ZEP.
Nie je to uplne take jednoduche, ze stiahnes a integrujes. Zadarmo licenciu maju len OVM a aj tu si musia vyziadat z nasesu.
Dakujem, toto by mi tiez mohlo pomoct.
.NET a Java 
Najde sa tu niekdo, kdo by bol schopny vytvorit modernu nativnu app na Win/macOS/iOS/Android napr. vo Swifte? s modernym UI/UX? Resp. myslite si ze by existoval dopyt po nmiecom takom? Vsetky riesenia co existuju su zastarale, tazkopadne, trpia “syndromom developera”.
Dôvod je, že LockIt podpisovany subor vklada do ZIP kontajnera, ktory nasledne ako celok podpise CAdES podpisom a vsetko to vlozi do ASiC-S.
Toto je podla mojich poznatkov v sulade so specifikaciou ASiC-S.
D.Viewer taketo ASiC subory zjavne nepodporuje.
V zmysle §57b Vynosu o standardoch c. 55/2014 Z.z. vsak verejna sprava musi prijimat a citat ASiC-S, v ktorom je podpisany ZIP 2.0 subor (oznacovany Vynosom o standardoch ako “degradovany ASiC”).
Ku certifikácii:
Používanie certifikovaných prostriedkov vyžaduje Výnos o štandardoch č. 55/2014 Z.z. v §57e, avšak to je požiadavka smerom na verejnú správu, nie na verejnosť.
Z vytvoreného podpisu sa obvykle priamo nedá jednoznačne overiť, akým prostriedkom bol vytvorený - či certifikovaným alebo necertifikovaným.
Žiaden predpis v SR pokiaľ viem nevyžaduje od verejnosti používať certifikovaný softvér. Pôvodne to vyžadovala vyhláška NBÚ, avšak táto povinnosť z nej vypadla už dávnejšie v rámci jej novelizácie a minulý rok bola úplne zrušená.
Skúšal som to aj osobne a vyzerá, že naozaj nie. Ale nakoľko LockIt vytvorí obyčajný CAdES v ZIP-e, tak z toho zipu ide manuálne vytiahnuť daný “.p7s” a ten už D.Viewer vie zobraziť. Súbor s podpisom sa v kontajneri nachádza v META-INF/signature.p7s
Dopĺňam, že LockIt-om vytvorený ASiC-S nie je v súlade s ASiC Baseline profile (škoda, to už by mohol LockIt byť uznávaný aj v EU). Čo ale presne vadí tomu D.Vieweru, neviem zistiť.
Mozno je za tym snaha DITECu potlacit konkurenciu. Napada mi este otazka - existuje nejaky free portable viewer pre ten format, co generuje LockIt?
a ten paragraf 10 z 272/2016?[quote=“shoki, post:15, topic:3143”]
existuje nejaky free portable viewer pre ten format, co generuje LockIt?
[/quote]
ja som sa snazil nieco spravit ale nemam cas to dokoncit, ale ak by sa niekto nasiel a povedal co vlastne potrebuje tak sa mozem znova do toho pustit. mam hotovy xades a vizualizaciu eformov.
Áno, je to tak ako napísal Štefan. Proces certifikácie existuje, viď. ten §10, pre použitie zo strany OVM je povinná certifikovaná aplikácia.
Fyzické/právnické osoby nemajú žiadnu povinnosť používať certifikovanú aplikáciu.
Vizualizácia pred podpisovaním by mala byť spravená, ale pokiaľ viem, nie je to normatívna požiadavka, teda de-facto je možné použiť aj softvér ktorý ju nerobí (a napr. si podpisovateľ “ručne” pozrie dokument pred podpísaním).
to sa zmenilo? pamatam si, ze bolo povinnostou vidiet dokument, ktory sa podpisoval + xades_zep vyzadoval podpisanu informaciu o tom aka vizualizacia sa pouzila.
V zákonoch (a EÚ nariadeniach) táto požiadavka nie je. V technických normách pre *ES je to niekde uvedené, ale nie ako mandatory, ak si správne pamätám.
Povedzme si otvorene, že z podpísaného dokumentu nie je možné spätne zistiť, či bol skutočne pred podpisom zobrazený, takže nemá ani zmysel na tom “trvať”. Zobrazenie pred podpisom je samozrejme vec dobrej praxe.
Pri elektronickej pečati, resp. akýchkoľvek automatizovaných podpisovačoch, samozrejme vizualizácia nedáva ani zmysel.
Asi preto bola/je nutna certifikacia tych produktov. Ano, pri EP to nema zmysel. A ak sa zrusia tie mandatne certifikaty tak to uplne straca zmysel…
Tym nariadenim sa dost zmenilo, akurat teraz ked ma kopec statnych institucii finishuje projekty na elektronizaciu… a viem povedat, ze su z toho zmateni aj dodavatelia a aj ovm.