LibreOffice Potpis dokumenta vlastitim sertifikatom
|
|
|||
U okviru Linux Minta imam instaliran GnuPG (1) i u okviru njega odgovarajuce kljuceve koje koristeci Thunderbird-a i uz pomoc Enigmail-a koristim za kriptovanje i potpisivanje e-mail poruka.
Kako trenutno nisam u situaciji da nabavim kvalifikovani elektronski potpis (CA) i sertifikat, moje pitanje bi bilo: Da li je moguce i naravno na koji nacin, dobiti interni (samopotpisani) sertifikat koji bih onda mogao koristiti za interno potpisivanje u okviru Libre office-a i za potpisivanje pdf dokumenata? Jasno mi je da takav sertifikat nema validnost, ni pravnu, ni bilo koju drugu "tezinu" ali bi to meni licno znacilo radi uvezbavanja i pripreme za upotrebu nekih buducih kvalifikovanih elektronskih sertifikata - potpisa (trazicu onaj besplatan SUP-ov cim promenim LK). Kako znam da autor ovog foruma ima na internetu par tekstova u vezi ove problematike, nadam se odgovoru. Hvala unapred, Pozdrav svima. PS Ako je odgovor na moje gornje pitanje negativan da li bi mi neko mogao objasniti poblize nacine na koji CACert potvrduje podatke o vama ako trazite njihov besplatan sertifikat? |
|||
|
|||
Važna napomena: Ovo je uputstvo kako da sami pravite sertifikate za elektronski potpis i namenjeno je naprednim korisnicima! Kako sertifikat izdajete sami sebi, takvim potpisima niko neće verovati. Ovo nije uputstvo kako da formirate sopstveno sertifikaciono telo - koristi se samo jedan samopotpisani sertifikat. Ako želite da koristite Libreofis za elektronsko potpisivanje, sertifikat vam izdaje neko sertifikaciono telo i ne treba ništa da radite sami!
Minimalno je da napravimo jedan samo-potpisani sertifikat koji onda zajedno sa privatnim ključem treba da zapakujemo u PKCS#12 datoteku. Koristićemo openssl koji je dostupan na većini Linux distribucija. 1) Napravimo datoteku cert.cnf Kod: [ req ] 2) Sada generišemo novi par ključeva i pravimo samopotpisani sertifikat: Kod: openssl req -x509 -newkey rsa -nodes -days 365 -config cert.cnf -extensions v3_req -keyout my.key -out my.crt 3) Zapakujemo u PKCS#12 datoteku koja sadrži i privatni ključ i sertifikat. Program će tražiti da zadamo lozinku (može biti i prazna). Kod: openssl pkcs12 -export -out my.pfx -inkey my.key -in my.crt Libreofis na Linuxu koristi NSS sa rad sa sertifikatima, tako da PKCS#12 datoteku treba da uvezemo u NSS kroz Fajerfoks (ili koristeći NSS direktno u komandnoj liniji). U Fajerfoksu idemo na [Podešavanja] pa na poslednju grupu [Dodatno] i na kartici [Sertifikati] kliknemo dugme [Pregled sertifikata]. Na prvoj kartici [Vaši sertifikati] kliknemo dugme [Uvoz] i izaberemo ranije generisanu datoteku my.pfx. Unesemo istu lozinku kao i pri izvozu u PKCS#12 (može biti i prazna). Sada će se u Libreofisu naš sertifikat pojaviti u listi i možemo ga koristiti za „neozbiljno“ potpisivanje. Isto kao i kada se koristi sertifikat nekog izdavaoca, otvorimo dokument koji želimo da potpišemo i biramo [Datoteka > Elektronski potpisi]. Libreofis će tražiti da pre potpisivanja sačuvamo dokument. U prozorčetu sa potpisima kliknemo na srednje dugme [Sign document...] Izaberemo sertifikat i kliknemo na dugme [OK]. Dokument je tako uspešno potpisan Sertifikat i ključ mogu odmah da se koriste i u Thunderbirdu za S/MIME potpisivanje poruka e-pošte. CAcert izdaje assured sertifikate koji sadrže i un-assured sertifikate koji ne sadrže ime potpisnika. Za ove druge dovoljna je potvrda emailom, dok je za prvo neophodno skupiti 50 poena. Poeni se skupljaju kontaktima u CAcert Web of Trust mreži (slično kao PGP) gde postojeći članovi potvrđuju identitet člana CAcert mreže. Kada se govori o CAcertu, treba istaći da je prihvaćenost CAcert korenskog sertifikata danas lošija nego ranije. Od FLOSS rešenja za podizanje CA može da se koristi openssl direktno, neki omotač oko openssl (npr. easy-rsa skriptovi) ili neki složeniji softver koji nudi više mogućnosti i integrisano rešenje za životni vek sertifikata (npr. EJBCA). |
|||
|
|||
Hvala puno. Ovako se pisu odgovori. Svaka cast! Uradjeno. Jos jednom hvala.
Pozdrav |
|||
|
|||
Ako još malo možemo da proširimo ovu temu vezano za sam sertifikat u smeru onoga šta sam ja nameravao uraditi i u velikoj meri i uspeo ali ne sasvim.
O čemu se radi: 1. Sertifikat funkcioniše besprekorno što se tiče potpisivanja u okviru Libre Office-a. Ja bih rađe koristio "vidljiv" potpis negde na početku ili kraju teksta (a ne onu gotovo nevidljivu ikonicu) ali pretpostavljam da to u okviru Libre Oficce-a nije moguće? 2. Pod OS Windows koristeći Acrobat Reader XI lako umetnem postojeći potpis (sertifikat) da bude vidljiv i čak tada Acrobat uopšte ne prijavljuje da je sertifikat samopotpisan, odnosno da se ne može validirati (naravno ovo je vidljivo kada se vrši provera samog potpisa). Problem je kod Linuxa - imam instaliran Acrobat Reader 9 (pretpostavljam da je to neko prilagodjavanje koje su napravili ljudi van Adobe-a, jer vidim da na njihovom zvaničnom sajtu Linux nije podržan) i u okviru njega od potpisivanja dokumenta (bilo kakvog - vidljivog ili skrivenog) nema ništa. Pitanje je da li ja negde u ovome grešim, jer iako je sertifikat vidljiv (uvežen u AR) to ne funkcioniše? Vezano za ovo postoji li neki Linux program koji otvara pdf fajlove, a da podržava potpisivanje? Odužih, hvala unapred na odgovorima. Pozdrav svima, blaki |
|||
|
|||
Adobe Reader ima opciju elektronskog potpisa tek u novijim verzijama, ranije je ova mogućnost bila rezervisana samo za komercijalni softver Adobe Acrobat Pro.
Elektronski potpis podrazumevano nema vidljivu reprezentaciju u dokumentu. To je svojstvo elektronskog dokumenta i proverava se prisustvom ikonice, u nekom posebnom panelu ili namenskim programima za proveru potpisa. Ovo je donekle i logično jer ako bi se dokument odštampao svako svojstvo elektronskog potpisa (koji je vezan za elektronski dokument) se gubi. PAdES potpis za PDF međutim ima i standardizovanu vizuelnu reprezentaciju. (ETSI TS 102 778-6, Part 6: Visual Representations of Electronic Signatures) To je ono što Adobe Reader koristi da napravi vidljiv potpis. Libreofis ima mogućnost da elektronski potpiše dokument u ODF formatu (radni format dokumenta) koristeći XML-DSig format i od Libreofis 4.4 mogućnost da potpiše PDF dokument koristeći PAdES ali za sada bez vidljive reprezentacije. Dalji razvoj se nastavlja pa od Libreofis 4.5 postojaće i opcija za dodavanje vremenskog žiga, što je neophodno za više profile PAdES potpisa. Postoji i zahtev za unapređenje kako bi se dodala i vidljiva oznaka, #83877. Još jednom da dodam da vidljiva oznaka ne utiče na „kvalitet“ potpisa. Na primer portal APR će uspešno primiti i priznati potpisani dokument bez obzira da li on ima ili nema vidljivu oznaku. Za PAdES potpis sa vidljivom oznakom pod Linuxom može se koristiti sjajno programče jSignPDF. U pitanju je Java program, pa je dovoljno raspakovati ga i onda u terminalu pokrenuti sa java -jar ./JSignPdf.jar ako distribucija već nema konfigurisan dvoklik na jar datoteke. Da bi iskoristili gore napravljeni samopotpisani sertifikat biramo PKCS12 kao Keystore type, zatim kliknemo [Browse...] da pronađemo PKCS12 datoteku (.pfx). Ukoliko datoteka ima lozinku, nju kucamo u polju Keystore password. Ispod izaberemo ulazni i izlazni (potpisani) PDF dokument. Uključimo opciju Visible signature i kliknemo na [Settings] da u prozorčetu preko opcije [Preview and select] odredimo položaj vidljive oznake i pod Display odaberemo opciju Signature name and description. Postoji mogućnost da se prilagodi svaki deo posebno (tekst, slika, pozadina...) iako podrazumevana prezentacija nema ništa od toga pa se razlikuje od onoga što podrazumevano nudi Adobe Reader. Na kraju kliknemo [Sign It] u glavnom prozoru. Programče jSignPDF radi i sa PKCS11 modulima, za rad sa USB tokenima i karticama, na primer za kvalifikovane elektronske sertifikate koje izdaje Pošta. Adobe Reader je ranije bio i zvanično dostupan za Unix (i Linux) ali je Adobe odustao od daljeg održavanja. Poslednja verzija je Adobe Reader 9.5.5-1. Imajući u vidu broj poznatih sigurnosnih bubica u ovom softveru, ja ne bih preporučio korišćenje ovako stare verzije osim za izolovano testiranje. U svakom slučaju obavezno treba isključiti NPAPI dodatak u veb pregledaču. |
|||
|
|||
Bio sam u guzvi par dana, pa nisam stigao ranije da isprobam jSignPDF. Sta reci, sve funkcionise besprekorno, posebno mi se dopada ubacivanje slike u potpis. Kapa dole za odgovor. Od Vas se zbilja moze puno toga nauciti. Verujem da ce ovaj odgovor jos mnogima koji se zanimaju za ovu problematiku biti od koristi.
Veliko Hvala! Pozdrav blaki |
|||