Podpisovanie cez zep.disig.sk s inym ako slovenskym EID


#1

Toto ma zaujalo, ako rozbeham estonsky eid tak, aby to henten zep portal detekoval? Zatial mi to otvori web signer a tam skoncim lebo estonsku eid to nenajde. Ked naopak vytvorim dokument .asice podpisany cez estonsky eid - tak to zep.disig overit nevie. Napr. tento: 046d18ffeb53be1c4114914c562b278bfd495635.asice (10.3 KB)


eID, stat ako IdentityProvider a OAuth2
#2

Nainstaluj si oficialne ovladace pre EsteID a ked sa Ti spusti Web Signer, tak musis kliknut vpravo dolu na tlacidlo pre vyber certifikatu…

…ak nenajdes svoju kartu/certifikat v prednastavenych uloziskach, tak zvolis volbu “Definovat vlastne ulozisko”…

…kliknes na tlacidlo “Vybrat”…

…a navedies aplikaciu na kniznicu, ktora predstavuje ovladac pre pristup k Tvojej karte a implementuje rozhranie PKCS#11. Ak sa dobre pamatam, tak pre EsteID sa pouziva PKCS#11 kniznica onepin-opensc-pkcs11, ale mozem sa mylit. Web Signer nasledne vybratu kniznicu nacita a umozni Ti vybrat jeden z najdenych certifikatov. Treba nan kliknut a volbu potvrdit kliknutim na tlacidlo “OK”.

Nasledne mozes skusit dokument podpisat a pri spravnej konstelacii hviezd (PKCS#11 kniznica implementovana v zmysle standardu, certifikat overitelny cez TSL atd.) Ti to aj pojde :slight_smile:

Ak nepojde, tak sa nam ozvi a mrkneme sa na to.


#3

Zafungovalo.

Pre buduce generacie na Ubuntu je ta lib tu /usr/lib/x86_64-linux-gnu/onepin-opensc-pkcs11.so

Otazka teraz znie preco ten .asice podpisany cez estonsky digisign (ci ako to volaju) nevie zep.disig.sk spracovat.


#4

S velkou pravdepodobnostou preto, lebo linkovany ASiC-E kontajner nie je v sulade so standardom ETSI TS 103 174 V2.2.1 vyzadovanym eIDAS-om.

V kontajneri sa nachadza manifest 046d18ffeb53be1c4114914c562b278bfd495635.asice\META-INF\manifest.xml s nasledujucim obsahom:

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<manifest:manifest xmlns:manifest="urn:oasis:names:tc:opendocument:xmlns:manifest:1.0">
	<manifest:file-entry manifest:full-path="/" manifest:media-type="application/vnd.etsi.asic-e+zip"/>
	<manifest:file-entry manifest:full-path="046d18ffeb53be1c4114914c562b278bfd495635.png" manifest:media-type="application/octet-stream"/>
</manifest:manifest>

Overenie manifestu proti XSD scheme konci chybou:

The required attribute 'urn:oasis:names:tc:opendocument:xmlns:manifest:1.0:version' is missing.

Podla standardu by mal byt obsah takyto:

<?xml version="1.0" encoding="utf-8"?>
<manifest:manifest manifest:version="1.2" xmlns:manifest="urn:oasis:names:tc:opendocument:xmlns:manifest:1.0">
	<manifest:file-entry manifest:full-path="/" manifest:media-type="application/vnd.etsi.asic-e+zip" />
	<manifest:file-entry manifest:full-path="046d18ffeb53be1c4114914c562b278bfd495635.png" manifest:media-type="application/octet-stream"/>
</manifest:manifest>

Kedze ten manifest nie je v tomto konkretnom kontajneri podpisany, tak som ho preplacol spravnou strukturou a uz to ide - 046d18ffeb53be1c4114914c562b278bfd495635-fixed.asice (10.3 KB)

Problem treba reportovat vyrobcovi aplikacie, ktora linkovany ASiC-E kontajner vytvorila.


#5

OT: Toto je to slavne estonsko???


#6

Estonskom sa na Slovensku ohana kazdy druhy, no realnu skusenost ma malokto. Tvoj certifikat je v pohode lebo ho vydala CA ESTEID-SK 2015 a overuje sa cez OCSP, ale pri overovani certifikatov od ESTEID-SK 2011 sa musi stahovat CRL, ktore ma cez 60MB :fearful:

EDIT: Teraz mi napadlo, ze niekto by to mohol pochopit tak, ze v Estonsku je to cele zle. To urcite nie je. Urcite je to tam lepsie ako u nas uz len preto, ze k vacsine (eID) komponentov su dostupne zdrojove kody.


#7

Vidím, že idem neskoro :slight_smile: . Tak ja len poznamenám, že 22.02.2017 estónci updateli svoj Trusted list, môže byť problém v tom. Treba preinštalovať estónske podpisové appky - ak si inštaloval pred tým dátumom. Je šanca, že to veľa vyrieši - okrem iného v tom inštalačnom balíku sú aj pluginy a extensiony do prehliadačov.

U mňa napríklad certifikát našlo v pohode vo windowsovom úložisku certifikátov, ale bez preinštalácie mi prestalo fungovať podpisovanie práve kvôli tomu, že web.signer nevedel “vyvolať appku do ktorej ťukáš podpis” (i´m not an IT guy).

Po preinštalácií samozrejme odporúčam vymazať cookies, reštartovať komp a cez estónske appky vytvoriť podpis, nech sa znova všetok ten balast uloží niekde do PC, kde ho websigner nájde. Teraz som celý proces spravil na inom kompe a oilá - podarilo sa podpísať KontextletakPDF podpisane QES.pdf (511.9 KB)
(formát podpisu QES, aby bol súbor v PDF - podpisujem tak faktúry a obchodné podmienky, nech sa k nim dostane aj bežny smrteľník, ktorý podpis neoveruje)

Haha, no prvé dve daňové priznania za estónsku firmu (nulové) som si podal sám, že nech to preskúmam. Akože je obrovské plus, že sa snažia nielen o IT použiteľnosť ale aj jazykovú prístupnosť, a teda veľa vecí je v angličtine. Len občas človek narazí na to, že v anglickom zobrazení stránka poskytuje zhruba 30% funkcionality, lebo keď gombík nie je preložený, tak ho ani nie je vidno. Tzn. kľúčové prekliky treba robiť v estónčine, následne už zase formulár zobrazí aj po anglicky.

Multiplatformovosť tiež nemajú dokonalú - rovnako ako u nás niektoré kritické veci idú len cez IE (napr. finálny podpis podania na obchodný register)… Preto sa niekedy pousmievam nad sladkou nevedomosťou keď sa odvolávame na estónsko. On the other hand, majú veľa vecí čo my, ale hlavne čo je hlavné, nestojí pár malých úprav 15 miliónov eur našupu.


#8

Finta je v tom, ze Estonci maju celkom dobre zvladnuty backend - to je ten slavny x-road, ktory akoze riesi 1x a dost (diabol je v detailoch a take ruzove to neni aj keby sme to kupili zajtra). Frontend maju zvladnuti napriklad ovela lepsie v UK. My na slovensku mame zly backend aj frontend.


#9

For fun som skusil sluzbu overenia KEP na slovensko.sk na dokumente podpisanom estonskym eID.

:slight_smile: Btw úplne zúfalá je situácia v súboroch, ktoré vznikli zaručenou konverziou (tzn. súbory XZEP, nie ZEP ani ZEPX). Exekučný súd (OS BB) má problémy lebo jeho podateľňa nevie overiť platnosti podpisov vyhotovených mandátnymi certifikátmi. Takisto cez vyššie spomínanú službu na overenie KEP na slovensko.sk to vyhodnocuje podpis ako neplatný. Na stránke zep.disig.sk podpisy vyhodnocuje ako platné. Podľa info zo SAK je ministerstvo spravodlivosti upozornené a rieši to s dodávateľom ako technickú chybu podateľne. Smutné na tom je, že soft podateľne, ako aj soft na sprocesovanie zaručenej konverzie robil pokiaľ viem Ditec.


#10

Rovnaky problem u mna. Problem s manifestom reportovany, avsak odpoved nepotesila:

“We use OpenDocument version 1.0 for cross compatibility reasons.
Also there is no specific reason to use ver 1.2 over the ver 1.0 at the moment.” [03.07.2017]


#11

Mozem poprosit link na ten report? Skusim tam doplnit “specific reason”.

BTW minuly tyzden som upravoval nas ASiC-E parser, aby akceptoval aj starsie ODT manifesty, takze uz coskoro to by to mohlo fungovat aj bez manualnych uprav.


#12

Na Slovensko.sk zverejnili oznam, že fixli overovač podpisov a už by mal teda vedieť overovať aj .xzep… Tak som sa teraz trocha hral.

  1. Cez https://obcan.justice.sk/podpisovanie-dokumentov som podpísal PDF estónskym eID, vznikol mi .xzep.
  2. Cez D.Viewer to ukazuje, že podpis je môj, ale neukazuje ani či je platný and whatnot…
  3. Cez službu overenia podpisu na slovensko.sk to prebehne, výsledok ale nie ani “platný” ani “neplatný”, iba “OK” a popis nejakých chýb.
  4. Cez zep.disig.sk to ukazuje hlášku “Nebolo možné rozhodnúť o platnosti podpisu” s informačným okienkom:

Po porozklikávaní všetkých úrovní certifikátov je problém v takomto niečom:

Dá sa to chápať tak, že problém je v estónskej certifikačnej autorite? Na slovensko.sk som si myslel, že problém bude v štruktúre údajov, ktoré podpis obsahuje (napr. že nemá rodné číslo a bydlisko), ale tým, že problém je aj inde, tak to asi nebude ono, či hej?

Veľmi rád by som už bol v štádiu, že napr. do obchodného registra nebudem musieť všetko podpisovať slovenským eID ale tým estónskym, lebo tie dokumenty idú do zbierky listín v .zep formáte a rovnako sa z nej dajú v tom formáte vyžiadať, a všade tam trčí rodné číslo… Teda nehovoriac o tom, že to stále obmedzuje voľný digitálny trh, kedy nie je možné v elektronickej podobe popodpisovať veci s cezhraničným účastníkom, ak majú ísť na verejnú správu…


#13

Podľa popisu používaš už nepodporované šifrovanie SHA-1 s RSA

Zjednodušene, vytváral by si dokumenty, ktoré by mohli byť kompromitované (napr. V čase obsahovo pozmenené)

Ditec podpisovač na stránkach občan.justice.sk evidentne umožňuje vytváranie nepodporovaným sha1
Ditec.viewer ti žiadne overenie platnosti ukazovať nebude


#14

Zdravim, mam len mail info od podpory. Ziadal som zdovodnenie preco nepouzivaju verziu 1.2. Tu je odpoved:
"Every year there is an event called ETSI Plugtests. On the last event, there were about 50:50 ratio on countries who used version 1.0 versus 1.2. The newer version 1.2 is only optional and there is no “must” or “should” specified in any standard. DDS which is developed by ETSI treats this value as “optional”.
We have chosen the most optimal way so we do not use this value at all. This gives us more flexibility and compatibility.

If You desire to use this value, all You need to do is change the code a bit. You need to change schema file here https://github.com/open-eid/libdigidocpp/blob/master/src/digidoc-tool.cpp#L113-L125

You either need to convert the schemas or just change the existing schema and add the version number.

  1. OpenDocument-v1.2-os-manifest-schema.rng-> OpenDocument-v1.2-os-manifest-schema.xsd
  2. OpenDocument_manifest.xsd -> OpenDocument-v1.2-os-manifest-schema.xsd"

#15

Hm. A čo s tým viem spraviť? Znamená to asi, že môj certifikát má zlé šifrovanie, a teda ak by som chcel SHA-256 tak by som musel Estóncom zaslať svoj EID a požiadať ich nech mi nahrajú nový certifikát?

Tým by sa asi odstránil aj vyššie opísaný problém:

ktorý mi spôsobuje, že skôr ako niečo podpíšem, tak mi time-outne podpisovacia appka.

Alebo je ten SHA-1 problém niečo, čo viem vyriešiť nejakým nastavením?


#16

Tej chybovej hláške rozumiem tak, že certifikát certifikačnej autority ESTEID-SK 2011 nie je dôveryhodný, lebo používa nepodporovaný algoritmus sha1WithRSAEncryption (OID 1.2.840.113549.1.1.5). Odmietnutie tohto algoritmu vyplýva pravdepodovbne z toho, že nie je podporovaný v podpisovej politike, ktorá bola použitá na vytvorenie podpisu dokumentu. - To viem preto, že tento algoritmus nepodporuje žiadna aktuálne platná podpisová politika.

Akurát som netušil že sa to vzťahuje aj na kontrolu podpisov v nadradených certifikátoch. A ak áno, nemala podpisovacia aplikácia vôbec povoliť vytvorenie podpisu na základe tejto politiky?


#17

Dnes mi došlo od e-residency tímu upozornenie, že dostali echo, že majú nejakú bezpečnostnú zraniteľnosť a uzavreli PKI databázu. Nerozumiem tomu a je to vágny oznam, ale môže ísť práve o to, že tá certifikačná autorita používala nepodporovaný algoritmus ako si písal?

"Dear e-resident,

_A group of international security researchers has identified a potential security vulnerability that affects the use of Estonia’s ID cards and digital IDs. _

When notified, Estonian authorities immediately took precautionary measures, including closing the public key database, in order to minimise the risk while the situation can be fully assessed and a solution developed.

According to current information, this security risk is still theoretical and no one’s digital identity has been misused. You can continue to access your digital ID through your digital ID card. Should the situation change, you will be notified immediately.

This issue affects everyone with an Estonian ID card and digital ID issued after 16 October 2014 so the Estonian Prime Minister Jüri Ratas is speaking about this issue today to explain that the digital security of citizens, residents and e-residents will always be a top priority for Estonia.

We will keep you updated on any developments and you can also email us at e-resident@gov.ee if you have any questions.

We are grateful to the researchers for uncovering this issue and providing us with the opportunity to ensure our digital society can emerge stronger and more secure.

Kaspar Korjus
Managing Director, e-Residency "


#18

https://www.schneier.com/blog/archives/2017/09/security_flaw_i.html


#19

Hm, no tak to ani netrvalo dlho kým sa to prevalilo aj u nás.

Ale iné som chcel, nechcel som spamovať vlákno o slovenskom breache, len ma zaujalo to “prekódovanie” estónskych certifikátov na diaľku… Náhodou nejaké HOW-TO nevieš odporučiť? Vyrieši také prekódovanie ten problém pri podpisovaní cez zep.disig.sk, kedy to timeoutne skôr ako to dotiahne ten ich megarozsiahly trustedlist, či v čom to bol problém?


#20

V súvislosti s inými vecami som sa ňúral v predpisoch súvisiacich s obchodným registrom a našiel som túto zabudnutú vyhlášku MSSR, ktorá predpokladá registráciu “cudzích” certifikátov, teda takých, ktoré neobsahujú rodné číslo… Na slovensko.sk prirodzene takú službu neviem nájsť, ale teoreticky by sa mal dať zaregistrovať na používanie aj estónsky certifikát… Máte s tým nejaké skúsenosti?