On Thu, 17 May 2018 at 11:12, Răzvan Sandu <razvan.sa...@mobexpert.ro> wrote:
> Bună ziua, > > Mă bag și eu în vorbă, neîntrebat... ;-) > (mă confrunt cu aceleași probleme). > heh, pe mine ma asteapta peste citeva zile. declaratii anaf. > Văd că noțiunea de „certificat digital calificat” (tehnic, a se > înțelege: pereche de chei asimetrice a cărei cheie privată este „fixată” > pe un stick USB) este specifică Uniunii Europene și este definită ca > atare în legislația comunitară. > e USB dar nu e mass storage device. Are o interfata prin care cheia nu paraseste niciodata token-ul si operatiunile de criptare se fac prin interfata token-ului. > Ca de obicei, legislația noastră internă preia legislația UE, uneori > fără s-o înțeleagă exact, adăugându-i unele birocrații și giumbușlucuri. > Ai dreptate dar in acelasi timp legislatia nu inventeaza noi standarde de criptografie si semnaturi digitale, sunt folosite cele existente care sunt implementate cam peste tot (pentru ca sunt standarde) > De aceea, dacă vrem să facem posibilă utilizarea practică de astfel de > certificate și de către utilizatorii non-Microsoft (în particular cei > GNU/Linux), trebuie să pornim de la condițiile de utilizare impuse de > legi și de Ministerul de Finanțe, *inclusiv* cu limitările absurde > impuse de ei (nu doar de la ce știm noi despre criptarea cu chei > publice, în general). > Limitarile absurde mai degraba vin din implementarile absurde de pe pachetele software care prelucreaza documentele semnate si mai putin din inventiile MF. Au inceput cu Adobe PDF pentru ca mai mult ca sigur ca folosesc o solutie "server side" Adobe. Problemele sunt legate de faptul ca Adobe a inventat semnatura digitala pentru PDF si probabil nu e foarte bine documentat care duce la probleme de implementare in software opensource. > De asemenea, pentru a fi eficientă, cred că discuția trebuie redusă la > acele modele de smartcarduri care sunt acceptate/agrementate de > Ministerul de Finanțe (care constituie majoritatea covârșitoare printre > cele utilizate practic în România) și la stilul oficial de înțelegere a > „lanțului de încredere” (să nu-i spun „web-of-trust”...). > web-of-trust e simplu, se foloseste PKI si trust-ul vine din certificatele root care vin cu OS-ul care il folosesti. Daca digisign sau altii instaleaza root certificatul lor, e o mare prostie si o potentiala problema de securitate pentru ca nu cred ca au acelasi nivel de audit si securitate la care sunt supusi cei care au certificate root in windows/linux. > Mie principala problemă mi se pare lipsa de drivere (libere sau > cvasi-libere) pentru astfel de smartcarduri - și nu Java. Nefiind > programator, poate greșesc... > Exista un pachet pe Linux, OpenSC, care suporta o gramada mare de tot de token-uri (de ex. digisign are alladin etoken https://www.mayrhofer.eu.org/aladdin-etoken-under-linux etc). > Puținele date disponible despre hardware-ul token-urilor USB se găsesc > la https://h-node.org/ https://github.com/OpenSC/OpenSC/wiki > Numai bine, > Răzvan > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro > _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro