Podpisovanie cez Disig Web Signer Mobile

Kvalifikovaný podpis v mobile je realitou (teraz.sk)

Zhruba tyzden od zverejnenia eIDmSDK - Overview je k dispozicii aplikacia pre mobilne zariadenia na vytvaranie kvalifikovaného elektronického podpisu v mobile s eID. Samozrejme tak ako doteraz, je to pre obcanov zadarmo.

Pekne! A zaroven krasna ukazka toho, ze kolko toto trva spravit v komercii a kolko sa treba doprosovat statu.

Je to posun, som rad ze ukazali ze sa to da, ale stale tam mam tie iste problemy.

1. Onboarding nefunguje na Safari (macOS)
2. Je potrebne spustat nejaku ich aplikaciu, ktora stale nieje skompilovana na Apple Silicon (ARM64)
3. V appke je možnosť načítať certifikát z Keychainu, ale žiaden certifikát v Keychaine nevidím (pravdepodobne pôjde o certifikát na zdokonalený el. podpis). Bohužiaľ, NFC OP nemám a neviem teda vyskúšať, ale prístup k NFC čítačke funguje, keďže mi vyskočil systémový prompt.
4. Interface je nepriateľský a neviem si predstaviť, že sa pomocou tohto systému podarí presvedčiť širšiu verejnosť (či už spotrebiteľov alebo komerciu) na používanie autorizácie dokumentov pomocou tejto appky v momentálnej podobe (chce to este vela prace).
5. To, že appka vyzerá ako webwrapper (co asi aj je) a nefungujú systémové integrácie (napr. na generáciu silného hesla a pod.) je ďalší dôvod, prečo toto bude naďalej obskúrne a nepoužívané

V konečnom dôsledku, ako som písal vyššie, som rád, že také niečo existuje a že to poukazuje na potenciál. Otázka je, či sa toho chytí nejaký lepší developer a prinesie použiteľnú appku a celkové riešenie.

1. Aky onboarding? Vydanie certifikatu na eID je predsa vec statneho eID klienta alebo klientskeho centra. Ale ano, safari zial doteraz nepodporuje technologie, ktore uz maju vsetky ostatne prehliadace x rokov a ktore by sme potrebovali, no podpisanie v mobile funguje, aj ked sa proces zacne v Safari. Na mobile, ci v portali.
2. Toto ma co s mobilnou aplikaciou? Ak sa bavime o WebSigner na Macu, tak ano, nie je kompilovany pre ARM. A ako to vadi, ze nie je kompilovana explicitne pre Apple Silicon. Rovnako ako desiatky ci stovky inych aplikacii. Nijako. Bezi v Rosete.
3. Uplne mimo temu, ako prve dve, jedna sa o propagaciu certifikatov cez KeyChain. Najprv treba mat na niecom kvalifikovany certifikat pripojeny k Macu, ktory sa cez KeyChain vypropaguje do apky. Nijako nesuvisi s podpisovanim v mobile s eID.

Na začiatku, keď človek nemá NFC OP (a vie o tom), tak si chce vytvoriť certifikát na podpisovanie (zdokonalený podpis) a ten onboarding okrem iného vyžaduje, aby som si nielenže inštaloval nejakú ďalšiu appku, ale povie mi, že si mám nainštalovať iný browser (pričom Safari je webkit, tak ako Chrome). Cez Safari podpisujem dokumenty normálne, takže netuším ktoré pokročilé technológie pouŽívajú developeri a niesú použiteľné v rámci Safari (najpoužívanejšom browseri na macOS).

Spoločné to má to, že je to potrebné inštalovať a používať pri autorizácii dokumentov počas vytvárania nového certifikátu.

Funguje to, jasné, ale Apple Silicon vyšiel v r. 2020, to je imo dostatočný čas, aby devs skompilovali verziu aj na ARM64, nie?

V keychaine nemusím mať len kvalifikovaný certifikát, môže tam byť aj obyčajný certifikát a pod. Ale appka ho to Keychainu neuloží. Upozornil som na to, možno by bolo fajn, ak by sa vygenerovaný certifikát priamo uložil do Keychainu tak, aby som ho poprípade vedel použiť aj na podpisanie v iných aplikáciach (napr. Mail.app). Opäť len upozorňujem, neútočím, tak neviem, prečo som si vyslúžil takú agresívnu reakciu. Snáď som nikoho neurazil

Nemalo to byt utocne, ak to tak vyznelo, tak to tak nebolo myslene. Ale boli tam na uvod rovno 3 veci ako nejaka vycitka, ktore s mobilnym podpisovanim s eID vobec nesuviseli. Na druhej strane komentar v style "Otázka je, či sa toho chytí nejaký ‘‘lepší developer’’ " … bola cez ciaru.

Uznavam, ze na aplikacii je co vylepsovat. Na druhej strane, ak to robi komercna firma ako vedlajsi produkt, za ktory nikdy nedostala ani cent od statu alebo z eurofondov, poskytuje obcanom sluzbu zadarmo a to vratane supportu a nic za to nedostava, tak aj zdroje v ramci firmy na takyto projekt su logicky limitovane.

Safari:
Ak sa bavime o zdokonalenom podpise, tak ano, tam vydanie certifikatu cez Safari nepojde, lebo ako som pisal, zial Safari je v niektorych veciach x rokov za inymi prehliadacmi. Zial. Roky. Funguje to v Edge, Chrome, FireFox, Opera, a vseobecme v prehliadacoch na Chromiu. Kym sa Apple nezobudi, Safari nebude. Technologicky to nejde. A jedna sa o jednorazovu vec, ktoru uzivatel snad prekusne v inom prehliadaci aj na Macu. Tento prispevok ale bol o kvalifikovanom podpise s certifikatom v eID, nie v mobile. Cize neriesime vydanie certifikatu do mobilu. Certifikat je na eID. Cize uz netreba nic vydavat do mobilu. Preto mimo temu. Vydanie certifikatu na eID kartu je vecou eID klienta. Mobil ani mobilna alpikacia s tym nema nic.

Apple Silicon
Cas je relativny pojem. Pre nas to znamena zdvihnut aj vsetky zavislosti, ktore mame vo WebSigner. Cize kniznice pre Linux, Windows aj Mac. A to uz je trosku vacsia sranda, aj ked sa to niekomu moze zdat, ze ved staci prekompilovat pre Apple Silicon. No nie. Nestaci. Treba to cele zladit. A znovu. Riesite tu desktop a nie mobilnu aplikaciu. Cize mimo temu.

KeyChain - V aplikacii su uloziska, z ktorych sa certifikat ziskava pre podpisanie, nie su to uloziska, kam sa certifikat uklada. eID je ulozisko, p12 je ulozisko, KeyChain je ulozisko, z ktoreho aplikacia moze certifikat ziskat pre vytvorenie podpisu. V pripade KeyChain ho tam napr. cipova karta moze napropagovat. A aplikacia pracuje vylucne s kvalifikovanymi certifikatmi a ine ani neponuka, lebo pred podpisanim sa certifikat overuje a musi byt pren jasny zdroj trustu. Mozete mat napr. kvalifikovany certifikat na YubiKey, vlozite YubiKey do iPhone a uvidite ich v aplikacii a to vdaka vypropagovaniu cez KeyChain.

Akože chápem, že za tento produkt ste od štátu naozaj asi nič nedostali, ale netreba sa tváriť, že z tohto vôbec nič nemáte. Je to normálne marketing

Úplne neutocna poznámka pod čiarou. Disig rozhodne nie je firma ktorú položí nejaké zaintegrovanie sdk do existujúceho portálu (ktory aj normalne komercne predavate) a mobilnej appky. Disig má obrat 10 mega ročne a so štátom veľmi čulo obchoduje. Nejaké drobné zo štátnych zákaziek určite ostanú aj na zafinancovanie tohto rozvoja/marketingu.

Som rád že toto vzniklo, ukazuje sa, že open api je obrovský driver pre inovácie. Teším sa čo všetko s týmto ešte vznikne.

To ani nikto netvrdil ze by to niekoho malo položiť finančne. To je o tom, že vývojárske aj iné kapacity sú v komerčnej firme alokované primárne tam, kde to nejaké peniaze nosí a nepáči sa mi, ak niekto útočí na vývojárov len preto, že má potrebu. Tým nemyslím Vás.
A neviem či je marketingom poskytovanie emailovej podpory občanom pri produkte, ktorý majú zadarmo, čo reálne nikto nevidí - myslím tú podporu. Ale áno. QES Portál predávame v komerčnej sfére.

Veď normálne máte vlastne taký freemium model. Bežná vec v komercii.

Osobne som presvedčený, že podporu pre nové Eid/NFC budú musieť dorobiť všetci hráči na trhu lebo inak budú mať problém. Je to proste nutný rozvoj.