(UPDATE) Šta je to elektronski potpis, kako se koristi i kako instalirati to čudo

KES_i_Vremenski zigovi

Svi, manje više, želimo da Srbija bude moderna zemlja. Zar ne? I želimo da pratimo moderne trendove, kako života tako i poslovanja. Zar ne? A kako da očekujemo da budemo moderna, napredna zemlja kada je jedan „obican“ čovek Slobodan Marković napisao bolje i korisnije uputstvo za instalaciju softvera i svih pratećih stvari za funkcionisanje elektronskog potpisa od firme Pošte, umesto njih koji se bavi prodajom upravo tih sertifikata?

Pritom ta ista firma ima najgori call centar ikada, gde je potrebno 10 minuta da bi se uopšte dobila podrška. A uz paket koji ti stigne na kućnu adresu ne daju nikakvo uputstvo već su uputstvo implementirali u sam govorni automat u call centru, koji ničemu ne služi btw. Čudno, u najmanju ruku? Da bude sve smešnije, Pošta je jedina u Srbiji koja ima podršku za Apple računare (odnosno OS X), kada su u pitanju digitalni potpisi i elektronski sertifikati. Kako sam ja „laik“ za elektronske sertifikate, ali kompjuterski pismena osoba koja prati trendove, ovim blogpostom želim da pomognem svim Apple korisnicima da kupe, instaliraju i koriste naprednu tehnologiju digitalnog potpisivanja. Jer, kao što rekoh, ako sam ja, koji sam kompjuterski pismen, imao problem da sve podesim (3 dana maltretiranja i dopisivanja sa Poštom) koristeći uputstvo „nekog tamo X lika“, kako je tek onima koji nisu možda toliko kompjuterski pismeni? Zato želim ovim blogpostom da prenesem svoja iskustva, i  pružim detaljno uputstvo za instalaciju kako bih pomognao svima koji žele da digitalno potpisuju fakture, PDF-ove, ugovore, da koriste e-servise, prijavljuju poreze…. ali i da sa jedne stručnije strane objasnimo šta su zapravo to sertifikati.

p.s. obavezno pročitati zaključak na kraju teksta

1. Šta je to elektronski potpis

 

sslPrvo pitanje je: šta je elektronski potpis? Ako pogledamo stranicu „najvažnije“ institucije u zemlji, MUP, videćemo gomilu „bla-bla-wtf?!“ teksta.

Digitalni potpis (eng. Digital Signature) je skup podataka u elektronskom obliku koji su dodati ili logički pridruženi elektronskim porukama ili dokumentima i služe kao metod za identifikaciju potpisnika. Svrha digitalnog potpisa je da potvrdi autentičnost sadržaja poruke (dokaz da poruka nije promenjena na putu od pošiljaoca do primaoca), kao i da obezbedi garantovanje identiteta pošiljaoca poruke.

Osnovu digitalnog potpisa čini sadržaj same poruke. Pošiljalac primenom kriptografskih algoritama prvo od svoje poruke koja je proizvoljne dužine stvara zapis fiksne dužine (pr. 512 ili 1024 bita) koji u potpunosti oslikava sadržaj poruke. To znači da svaka promena u sadržaju poruke dovodi do promene potpisa. Dakle, pošiljalac kreira digitalni potpis na osnovu poruke koju želi da pošalje. Šifruje ga svojim tajnim ključem i šalje zajedno sa porukom. Primalac po prijemu poruke dešifruje potpis pošiljaoca njegovim javnim ključem. Zatim kreira potpis na osnovu poruke koju je primio i upoređuje ga sa primljenim potpisom. Ako su potpisi identični, može biti siguran da je poruku zaista poslao pravi pošiljaoc (jer je njegovim javnim ključem uspešno dešifrovao potpis) i da je ona stigla nepromenjena (jer je utvrđeno da su potpisi identični).

Dakle, digitalni potpis je elektronska zamena rukom pisanog potpisa, a ne digitalna slika ručnog potpisa. Digitalni potis omogućava identifikaciju učesnika u komunikaciji i integritet podataka. Za proveru identiteta i integriteta koristi se javni ključ sadržan u digitalnom sertifikatu.

Sem zadnje rečenice koja je osnova svih osnova. Dakle, digitalni, elektronski potpis je 100% zamena za svojeručni offline potpis i potpuno je priznat na sudu. Dakle, to je vaš online svojeručni potpis. I to je jedino što treba da vas interesuje.

10327238_10152391322933890_47774843_n

2. Gde nabaviti (kupiti) taj online svojeručni potpis?

Drugo pitanje je dosta lakše ako koristite Windows računare. Jer, Srbija je monopolska zemlja, u mnogim stvarima pa što ne bi bila i u softveru. MUP besplatno izdaje digitalni potpis direktno na ličnoj karti (ugrađuje se u čip) ali radi isključivo na windows računarima. Tako da to ne važi za nas Apple korisnike. Jednostavno midleware i arhitektura im je takva da se ti elektronski potpisi (sertifikati) mogu jedino i isključivo koristiti na Microsoft Windows računarima. Da li je to zbog monopolskog ugovora države Srbije sa Microsoftom, ili prosto običnim javašlukom, neznanjem i kitoboljom MUPa, za sada nije poznato. Ali je tako.

Pa šta da rade Apple korisnici onda? Pa, odu u Poštu i plate za digitalni potpis. Dakle, Pošta je jedino sertifikaciono telo koje izdaje digitalne potpise za fizička lica koja se mogu koristiti gotovo na svim plaftormama (Windows, OS X, Linux). Što je zaista sjajno, a i nije toliko skupo. Za 4 godine trajanja sertifikata plaćate 4.110,00 dinara, a uz to dobijete i usb smart čitač kartice na kojoj se nalazi sertifikat.

Prvo, odete na sajt radne jedinice za Elektronsko poslovanje Pošte i skinete zahtev za dobijanje sertifikata. Možda će vas zbuniti sve to „elektronsko poslovanje“ ali ne postoji način da se online plati za sertifikat, potpiše nekako online i da se sve završi online. Žalosno, ali tako je. Nego vi lepo odštampate taj zahtev i odete u najbližu poštu da ga predate radniku. Tu ćete i popuniti uplatnicu i platiti.

No, da apsurdu ne bude kraj, kada plaćate Pošti za njihove usluge sve ide kroz objedinjeni platni promet pa plaćate i proviziju za platni promet 🙂 Znači, zamislite da odete u radnju da kupite stolicu koja košta 2.000,00 din, vi izvadite tih dve iljade dinara a oni vam kažu „još 38 dinara za proviziju“ 😀 Kako da čovek ne obožava Poštu. Elem, kada ste to popunili, platili i sve završili… čekate. Sad taj zahtev ide u RJ za elektronsko poslovanje i čekate da vam sve završe. Meni je sve to stiglo relativno brzo, za par dana, na kućnu adresu. Zapamtite, morate lično vi da primite ugovor i da ga potpišete.

E sada kreće veselje 🙂

3. Uputstvo za instalaciju svega što je potrebno kako bi digitalni potpis funkcionisao

question-mark

Kako sam već napomenuo da je ovo monopolska zemlja, neću objašnjavati proces instalacije za Windows korisnike jer oni već dobiju kompletno uputstvo za instalaciju svega. Za njih nema većih problema. Problem je za nas Apple korisnike. Stoga za njih sada ide uputstvo.

Uputstvo za podešavanje i korišćenje kvalifikovanog elektronskog potpisa na OS X Yosemite (10.10):
by Slobodan Marković

*** Uvod

Kvalifikovani elektronski potpis na elektronskom dokumentu (PDF, ODF itd) ima zakonsku snagu svojeručnog potpisa dokumenta na papiru, saglasno Zakonu o elektronskom potpisu i Zakonu o elektronskom dokumentu. Kako biste mogli da „stavljate“ kvalifikovane elektronske potpise na elektronske dokumente, neophodno je da posedujete kvalifikovani elektronski sertifikat (pored potpisivanja dokumenata, ovaj sertifikat može se upotrebiti za korišćenje portala eUprava (https://euprava.gov.rs/), portala ePorezi (https://eporezi.poreskauprava.gov.rs/) i drugih servisa e-uprave).

Kvalifikovane elektronske sertifikate izdaju sertifikaciona tela, koja su popisana u registru Ministarstva trgovine, turizma i telekomunikacija (http://epotpis.mtt.gov.rs/elektronski-potpis/#регистар).

Pošta Srbije jedino je sertifikaciono telo koje izdaje kvalifikovane elektronske sertifikate sa podrškom za OS X. Više informacija o pribavljanju Poštinog kvalifikovanog elektronskog sertifikata na smart kartici, možete naći ovde: http://www.ca.posta.rs/

Napomena: Ostala sertifikaciona tela izdaju kvalifikovane elektronske sertifikate koji se mogu koristiti samo u Microsoft Windows okruženju. Naravno, Windows se može instalirati u okviru virtuelne mašine pod OS X, ali takva upotreba kvalifikovanih elektronskih sertifikata izlazi izvan okvira ovog uputstva.

*** Osnovna podešavanja

Procedura za instalaciju i korišćenje Poštinog kvalifikovanog elektronskog sertifikata za OS X Yosemite (10.10):

1. Zatražite od Pošte najnoviju verziju sistemskog softvera A.E.T. SafeSign za OS X, na adresi http://www.ca.posta.rs/preuzimanje_softvera.htm (napomenite u poruci da vam treba poslednja verzija aplikacije za OS X Yosemite). Ovaj paket sadrži sistemski softver za rad sa Poštinom smart karticom i aplikaciju tokenadmin.app, koja služi za pregled sadržaja kartice i eventualnu promenu PIN-a.

2. Instalirajte poslednju verziju Smart Card Services za Yosemite sa adrese https://smartcardservices.macosforge.org/files/installers/SCS-10.10-Current.zip

3. Instalirajte A.E.T. SafeSign (koji ste dobili od Pošte u prvom koraku). Nakon instalacije, biće potrebno da se odjavite (Log Out) i ponovo prijavite u vaš korisnički nalog.

4. Priključite USB čitač smart kartica i stavite u njega vašu karticu sa kvalifikovanim elektronskim sertifikatom. Pokrenite tokenadmin.app. Trebalo bi da vidite vaše ime i prezime i broj sertifikata, a duplim klikom na njega više detalja o sadržaju kartice.

*** Podešavanje Firefoxa za korišćenje portala eUprava.gov.rs

Preuzeti sertifikate domaćih sertifikacionih tela

Pošta
http://www.ca.posta.rs/ca-sertifikati/PostaCARoot.der
http://www.ca.posta.rs/ca-sertifikati/PostaCA1.der

MUP
http://ca.mup.gov.rs/MUPCARoot.crt
http://ca.mup.gov.rs/MUPCARoot3.crt
http://ca.mup.gov.rs/MUPCAGradjani.crt
http://ca.mup.gov.rs/MUPCAGradjani2.crt
http://ca.mup.gov.rs/MUPCAGradjani3.crt

PKS
http://ca.pks.rs/certs/PKSCARoot.crt
http://ca.pks.rs/certs/PKSCAClass1.crt
http://ca.pks.rs/certs/PKSCAClass2.crt

Halcom
http://www.halcom.rs/UserFiles/File/HalcomBGCARoot.crt
http://www.halcom.rs/UserFiles/File/HalcomBGCAPLIntermediate.crt
http://www.halcom.rs/UserFiles/File/HalcomBGCAFLIntermediate.crt

E-Smart Systems
http://qca.e-smartsys.com/repo/ESS%20RQCA.cer
http://qca.e-smartsys.com/repo/ESS%20IQCA1(1).cer

Nakon što ste preuzeli sertifikate:

1. Odaberite u meniju Firefox -> Preferences… pa Advanced -> Certificates -> Security Devices

2. Kliknite na dugme Load i unesite za Module name „SafeSign PKCS#11 Module“, a za Module filename „/usr/local/lib/libaetpkss.dylib“ (sve bez znakova navoda) i pritisnite OK. Trebalo bi da vam se na spisku sa leve strane pojavi sertifikat sa vašim imenom i prezimenom, što znači da FireFox može da pristupi sertifikatu. Kliknite na dugme Log In i unesite vaš PIN za kvalifikovani sertifikat (dobili ste ga od u koverti sa karticom, kada ste je preuzimali u Pošti). Ako sve bude OK, status sa desne strane trebalo bi da se promeni u Logged In (Napomena: ako dobijete poruku o neuspešnom logovanju, probajte da izvadite karticu iz čitača, ponovo je stavite i onda ponovite Log In).

3. Na istom panelu (Firefox -> Preferences… pa Advanced -> Certificates) kliknite dugme View Certificates, pa odaberite Authorities.

4. Kliknite dugme Import… i ubacite sledeće sertifikate: PostaCARoot.der i PostaCA1.der (za ovaj sertifikat odaberite opciju „Trust this CA to identify websites“).

5. Sada pristupite portalu eUprava na https://www.euprava.gov.rs/ i odaberite u gornjem desnom uglu „Prijava“, a zatim „Prijavite se elektronskim sertifikatom“. Unesite vaš PIN za kvalifikovani sertifikat, ako je neophodno. Izaberite sertifikat sa spiska i kliknite OK. Trebalo bi da ste se uspešno ulogovali i sada možete koristiti elektronske usluge na portalu. Ako dobijete poruku o neuspešnom logovanju, probajte da izvadite karticu iz čitača, ponovo je stavite i onda ponovite prijavu.

*** Kako da podesite besplatan Adobe Acrobat Reader da digitalno potpisuje (Pisao Zverko):
Iako u početku nije htelo da radi, nekako sam uspeo da podesim Adobe Reader da potpisuje. Dobijao sam neku grešku sve vreme. Kao da ne postoji sertifikat. Logično, da potpišete dokument kliknete na veliku opciju „Fill & Sign“ pa kliknete na „Sign with Certificate“ pa mišem obeležite polje gde hoćete da vam se nađe potpis (mouse drag) i onda vam se otvori mali prozor gde vam traži sertifikat (jer ga niste još ubacili). Kada pokušam da ubacim kaže da ne postoji?
Screen Shot 2015-01-06 at 16.36.08
Onda sam pokušao da uradim isto kao sa FireFoxom i dodam onaj module „“SafeSign PKCS#11 Module“, a za Module filename „/usr/local/lib/libaetpkss.dylib““
Screen Shot 2015-01-06 at 16.37.21
Nakon što sam uspeo da dodam module i tokene, potpisivanje ide kao podmazano. Opet isti proces: Fill&Sign pa obeležite u PDF dokumentu pa će vam se pojaviti prozorčić sa vašim imenom i prezimenom i poljem za šifru (pin koji ste dobili od Pošte) i samo klikente „sign“ i to je to.
UPDATE: Ukoliko želite da očitate vašu ličnu kartu potrebno je da skinete besplatan program JFreeSteel program i pokrenete ga. Automatski će videti ličnu kartu i dobićete opciju „save to pdf“. U tri klika i 10 sekundi, gotovo. Nema na čemu 🙂
osx_step4

ZAKLJUČAK

Srbija je još uvek banana država, kao i u svemu, pa tako i u oblasti digitalnog potpisivanja. Dok druge zemlje imaju integraciju i podršku za sve operativne sisteme, uputstva za sve operativne sisteme, gde javne službe ne krše zakon o sprečavanju monopola i gde nastoje da pomognu građanima, ovde u Srbistanu to nije slučaj. Jedini razlog zbog kojeg sam uopšte uzeo sertifikat jeste što me je knjigovođa naterala, jer zbog novih procedura nikako drugačije nije moguće potpisati završen račune. Da se razumemo, podržavam tu novinu gde nema više potpisivanja i pečatirana sto miliona papira koje mi da knjigovođa, već jednim klikom online se sve završava. Za sve ostalo nema neku upotrebnu vrednost. Šta mislite, da možete potpisati neki ugovor sa tim? Pa ko će „shvatiti“ da je to uopšte moguće? Zamislite da digitalno potpišete ugovor o kupoprodaji automobila? Prvo, zamislite da postoji kupac/prodavac koji bi to razumeo/shvatio. Drugo, zamislite da overite taj ugovor u opštini. Dakle, nemoguće. Stoga, ako ne morate, nemojte se zamlaćivati sa sertifikatima jer mi smo još uvek zemlja iz 16. veka i dugo ćemo tu i biti.
thumb_IMG_5739_1024

Lako do dizajna preko online dizajn konkursa

 UPDATE: Od sada, putem programa TokenLounge možete raditi sve direktno iz Safarija! Skinite ovaj program, instalirajte ga i u svom KeyChainu ćete videti svoje ime. Ako ne vidite, izlogujte se pa ponovo ulogujte. Onda možete sve raditi što biste radili iz Mozille.
(UPDATE 04.10.2015.) Nakon što je izašao novi operativni sistem El Capitan može se desiti da potpisivanje više ne radi! Zato je potrebno uraditi sledeće, kako nalaže moj prijatelj Sloba:
Poštin kvalifikovani e-potpis radi na OS X El Capitan. Treba da se instaliraju novi SmartCardServices i ponovo TokenLoungeMinimal. Ko ima problema sa instalacijom SafeSign na OS X El Capitan, dok ne izdaju novu verziju, može da pomogne http://hackintoshosx.com/files/file/4573-siputilityapp-for-el-capitan/ (program pomoću koga privremeno može da se onemogući System Integrity Protection u novom OS X – dovoljno je da se označi druga opcija – nesmetan pristup fajl sistemu, pa posle instalacije može da se vrati na stara podešavanja tj. da sve bude prazno).
Možete uraditi to, ili sačekati nove verzije programa koji će se prilagoditi novom OS Xu. Srećno!

You may also like...

23 Responses

  1. Miskolino kaže:

    Odličan tekst. Pošto niko u ovoj našoj državi ne vodi računa o nama korisnicima modernih tehnologija, možda je dobro napraviti jedan sajt sa Q/A bazom podataka. Eto ideje ko ima vremena da se upusti u posao.

    BTW, zaboravio si da na kraju dodaš da kada potpišete elektronski morate otići kod notara da vam zaveže jemstvenikom, zalije voskom i pečatira. 😀

  2. zverko kaže:

    Hvala 🙂

    I potpuno si u pravu, zaboravih da pomenem notare naše divne 🙂

  3. Ojdana kaže:

    Postovanje Zverko!
    Hvala na uputstvima. 🙂
    Kod update-a, klikom na link „skinite ovaj program“ za Token Lounge, nazalost izbaci error. Da li imate neku drugu stranicu gde moze da se skine ovaj program za Safari ili preporucujete da se odradi u Firefox-u?
    Hvala!

    • Darko Vidić kaže:

      Zdravo, nažalost middleware Safesign ne radi na El captain (pretpostavljam da imaš najnoviji softver na Meku). kontaktirao sam ljude iz Pošte i iz SafeSign i rekli su da u martu možemo očekivati novu verziju programa kada će sve biti ok 🙂

  4. ajdnezezaj kaže:

    Sve ovo sa Postinim sertifikatom je proradilo jos prosle godine. Ali sta raditi sa MUPovim sertifikatom???? Uspesno je instaliran na jednom racunaru, i potpisan i uspesno uploadovan ulanzni dokuemnt na APR, ali kad treba da se finalno potpise. Apr ne regauje na sertifikat. Na drugm racunaru ne prolazim verifikaciju potpisa jedna korak prosao dva se crvene.

  5. PDF kaže:

    Mozda se odgovori mogu dobiti na predavanju: Korišćenje kvalifikovanih elektronskih sertifikata za elektronsko potpisivanje elektronskih PDF dokumenata (http://www.ingkomora.rs/programi/kursevi/?gr=80&sifra=6740&prijava=1&post=0).

  6. Ljiljana Kostic kaže:

    Postovani
    Probala sam po vasim uputstvima da napravim elektronski potpis u Adobe reader XI ali nisam uspela
    Mozete li nam poslati detaljnije uputsvo kako da to uradimo
    ili neki drugi program sa kojim bi mogla najlakse da ubacim elektronski potpis na dokument
    Koristimo citac licnih karti i licnu kartu za potpisivanje
    Hvala

    • Darko Vidić kaže:

      Ovaj blogpost je namenjen Apple korisnicima. Ako imate Windows upistvo možete videti na Mupovom sajtu ili na Postinom sajtu.

      Ako koristite Apple racunare ovo je vazece upustvo koje trenutno ne radi iz razloga sto pojavom novog operativnog sistema El Captain prestao da radi deo softvera. Ceka se update SafeSign softvera kako bi sve ponovo profunkcionisali.

      Ako vam je za utehu ja sada jurim prijatelje sa Windows masinama kako bih odradio potpisivanje 🙂

  7. Dusan kaže:

    Svaka cast na tekstu i kritici koja je vise nego opravdana. Nisam mek korisnik vec linux i od pristupa servisima e porezi i slicno nema nista iako sam sertifikat (postin naravno) radi ok. Inace problem na svim ne win os-ovima je sto nisu ok putanje u java apletima tj ti java apleti imaju putanje samo za win masine.

  8. Miksha kaže:

    Ovo je odlicno uputstvo za Win7 i Win 8.1. Obratite paznju da se ne instalira x64 vec x86 verzija Trust Edge???!!!
    http://www.fisar.rs/elektronski-sertifikat-za-windows-8/

  9. NenaA kaže:

    Meni je certifikat u other people umesto u personal kod internet options/contents/sertifikati i ne mogu da potpisem PDF ali normalno ulazim na poresku upravu sa pinom…

  10. Nebojsa kaže:

    Nešto mi se čini da Nitro Reader neće da e-potpisuje, kao zamena za AR? I ne pitajte zašto se koristi NR. 😉
    Nitro, kao da ima samo opciju ubacivanja potpisa koji je skeniran sa papira (svojeručni). It seems that we’re doomed. Ako zna neko nešto o ovome… molim dato i kaže.

  11. alex kaže:

    A sta je sa elektronskim pecatom?
    Meni licno na poslu ne priznaju dokumenta samo sa elek.potpisom ako tu nema i firminog i mog licnog elektronskig pecata…

  12. Sreca kaže:

    Može li neko poslati link ili odgovoriti na kom mestu u dokumentu pdf formata sa stavlja elektronski potpis

  13. Nenad kaže:

    Super sajt, hteo bih samo da dodam da nikako ne treba uzimati elektronski potpis kod privredne komore Srbije, jer jednostavno ne radi. Posedujem upravo njihov sertifikat i sajtu CROSO.RS ne mogu da pristupim, tehnička podrška je praktično nepostojeća, nude rešenja koja nisu adekvatna i ne rešavaju problem…sva komunikacija ide preko emaila, na računar korisnika neće da se konektuju i neće da pričaju telefonom….bežite od sertifikata koje izdaje privredna komora Srbije

  14. Gandra kaže:

    Meni je MUP izdao kvalifikovani elektronski ssertifikat na licnoj karti. Otisao u SUP. podneo zahtev, potpisao ugovor i uneo lozinku.
    Ako ja zelim da potpisjume dokumente na MacBook-u sta ja sad treba da uradim? Ovde postoji vise vrsta sertifikata: http://www.ca.posta.rs/cenovnik.htm

    U cemu je razlika izmedju sertifikata na USB tokenu i sertifikata na smart kartici sa citacem? Koje su prednosti jednog medija u odnosu na drugi?

  1. januar 30, 2015

    […] Digitalni, elektronski potpis je 100% zamena za svojeručni offline potpis i potpuno je priznat na sudu. Dakle, to je vaš online svojeručni potpis. LINK […]

Ostavite odgovor

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *