Έχει δοκιμάσει τελικά κανείς να εγκαταστήσει τα νέα πιστοποιητικά σε κάποιο άλλο USB token, εκτός από τα 2 που αναφέρονται από την ΑΠΕΔ; Μόλις λήξουν αυτά που χειρίζομαι θα το δοκιμάσω σε Gemalto ID Prime 840 και θα ενημερώσω.
Εμφάνιση 151-165 από 238
Θέμα: Ψηφιακή υπογραφή
-
23-03-22, 13:13 Απάντηση: Ψηφιακή υπογραφή #151
Τελευταία επεξεργασία από το μέλος yyy : 23-03-22 στις 14:02.
-
23-03-22, 13:57 Απάντηση: Ψηφιακή υπογραφή #152
Εγώ τα δικά μου τα εγκατέστησα κανονικά. Σε συμβατό στικάκι, σε ένα από 2 που αναφέρονται ως συμβατά, συγκεκριμένα σε αυτό. Στην φωτογραφία δεν είναι ακριβώς το ίδιο αλλά μοιάζει αρκετά και γράφει Thales επάνω. Το προχώρησα σε Windows 10 πλήρως ενημερωμένο, με τον Microsoft Edge επίσης πλήρη ενημερωμένο, σε φυσικό μηχάνημα (δεν διακινδύνευσα να το κάνω σε εικονικό γιατί έχουν αναφερθεί προβλήματα). Εγκατέστησα εννοείται πρώτα 2 εφαρμογές που συνοδεύουν το στικάκι (τον driver και ένα άλλο πρόγραμμα) και η διαδικασία ολοκληρώθηκε κανονικά εντός 1-2 λεπτών χωρίς κάποιο πρόβλημα.
-
23-03-22, 14:03 Απάντηση: Ψηφιακή υπογραφή #153
-
23-03-22, 14:20 Απάντηση: Ψηφιακή υπογραφή #154
-
23-03-22, 14:56 Απάντηση: Ψηφιακή υπογραφή #155
-
23-03-22, 19:27 Απάντηση: Ψηφιακή υπογραφή #156
Βλέπω ότι από την ΑΠΕΔ, μπαίνοντας με τους προσωπικούς μου κωδικούς, μπορώ να δω τα ψηφιακά πιστοποιητικά μου. Μου δίνει επιλογή να το κατεβάσω (συγκεκριμένα ένα αρχείο με την κατάληξη *.cer). Επίσης βλέπω ότι η εφαρμογή / tool του τόκεν έχει επιλογή για εισαγωγή του πιστοποιητικού. Θεωρητικά θα μπορούσες να το εισάγεις, αλλά δεν ξέρω το κατά πόσο θα δουλέψει, ας μας πει κάποιος που το έχει δοκιμάσει.
-
23-03-22, 22:15 Απάντηση: Ψηφιακή υπογραφή #157
-
23-03-22, 22:51 Απάντηση: Ψηφιακή υπογραφή #158
-
24-03-22, 11:57 Απάντηση: Ψηφιακή υπογραφή #159
Εννοούσα αν μπορείς να κατεβάσεις το αρχείο και αυτό να εγκαταστήσεις στο στικ. Ώστε να γλυτώσεις την επίσκεψη στο ΚΕΠ τη δεύτερη φορά, αν δε δουλέψει στο παλιό. Ή ακόμα και σε περίπτωση που χαλάσει το ένα, να το έχεις και να το εγκαταστήσεις σε νέο. Εσύ μάλλον αναφέρεσαι στο soft certificate που μπορούσες (παλιότερα μάλλον μόνο, στη νέα ΑΠΕΔ δε βρήκα καμία αναφορά) να έχεις, αντί του hard που είναι αυτό σε στικ.
-
24-03-22, 12:06 Απάντηση: Ψηφιακή υπογραφή #160
-
24-03-22, 12:09 Απάντηση: Ψηφιακή υπογραφή #161
-
24-03-22, 13:44 Απάντηση: Ψηφιακή υπογραφή #162
Το private κλειδί παράγεται από τον κρυπτοεπεξεργαστή/smartcard[*] που υπάρχει στο stick και ΔΕΝ μπορεί με κανένα τρόπο να εξαχθεί από το chip. Ακόμα και αν προσπαθήσεις να διαβάσεις το τσιπ με κάποιον πλάγιο τρόπο (οχι μέσω software / card reader δηλαδή) ενεργοποιούνται anti-tampering τεχνικές και το τσίπ διαγράφει όλα τα κλειδιά και κλειδώνει. Αυτό που μπορεί να εξαχθεί είναι μόνο το public key, το οποίο στο δείχνει μετά μέσω του interface της ΑΠΕΔ ή από το εργαλείο διαχείρισης της smartcard σαν X.509 πιστοποιητικό. Προσοχή, άλλο το πιστοποιητικό-public key, άλλο το private key και άλλο η ψηφιακή υπογραφή.
Από το παραπάνω προκύπτει ότι δεν μπορείς να μεταφέρεις πλήρως το ζευγάρι κλειδιών από τη μια κάρτα στην άλλη. Μπορείς να μεταφέρεις μόνο το public key αλλά για να υπογράψεις θέλεις το private key. Αν την χάσεις ή αν χαλάσει απλά παίρνεις άλλη και κάνεις πάλι την διαδικασία.
Να σημειωθεί αν δεν έχει γίνει ήδη ξεκάθαρο ότι η ΑΠΕΔ δεν βλέπει ποτέ το private key. Το middleware απλώς δίνει εντολή στον κρυπτοεπεξεργαστή να παράξει νέο ζευγάρι κλειδιών με τα κατάλληλα χαρακτηριστικά (πχ RSA 2048) και κατόπιν να της δώσει το CSR για να το υπογράψει και να παραχθεί τελικά το x.509 πιστοποιητικό. Ολο αυτό γίνεται μέσω του crypto API του λειτουργικού. Δεν το έχω δοκιμάσει αλλά θεωρώ απίθανο να μπορείς να χρησιμοποιείς παλιά smartcards/tokens με την νέα ΑΠΕΔ καθώς το middleware που έχει γίνεi develop το ολο σύστημα ξέρει να χειρίζεται μόνο τις a) Thales (πρώην Gemalto) ID Prime MD 940 και β) IDEMIA Cosmo v8.1 R2. To "stick" που λέμε είναι απλώς ένα enclosure/μια γέφυρα μεταξύ της smartcard και του υπολογιστή μέσω του USB interface και τίποτε άλλο. Όλη η τεχνολογία και η δουλειά γίνεται στον κρυπτοεπεξεργαστή.
Soft certs και certs κρυπτογράφησης (data encryption) δεν υπογράφονται πλέον από την ΑΠΕΔ. Υποστηρίζει μόνο πιστοποιητικά για intentend-use: digital signature και στα οποία η ΑΠΕΔ κολλάει το μαγικό flag του non-repudiation (άπαξ και υπογράψεις κάτι δεν μπορείς μετά με κανένα νομικό τρόπο να αποποιηθείς την ευθύνη της υπογραφής που έβαλες). Η φυσική παρουσία (φυσική ταυτοποίηση σε όρους PKI) στο ΚΕΠ και κατόπιν η υπογραφή του public cert από το αναγνωρισμένο (απο την EE) CA της ΑΠΕΔ που δίνεις μέσω της διαδικασίας enrolment ολοκληρώνει την αλυσίδα της εμπιστοσύνης του εν λόγω PKI συστήματος .
Η ψηφιακή υπογραφή για να παραχθεί χρειάζεται το private key το οποίο ο κρυπτοεπεξεργαστής αποκτά πρόσβαση αφού ρωτήσει τον χρήστη για το PIN του ώστε να ικανοποιηθεί εκτός από τον πρώτο (something you have: η smartcard στην περίπτωση μας) και ο δεύτερος παράγοντας αυθεντικοποίησης (something you know: το PIN).
* Η smartcard είναι κατασκευασμένη και λειτουργεί με συγκεκριμένα πρότυπα ασφαλείας (CC EAL 5+ / PP QSCD) τα οποία ικανοποιούν τον eIDAS 2.0 κανονισμό της ΕΕ.
-
24-03-22, 19:57 Απάντηση: Ψηφιακή υπογραφή #163
Υπάρχει πολύ πράγμα απο πίσω σε σχέση με αυτό που βλέπουμε!
Ευχαριστώ για την ενημέρωση
-
25-03-22, 14:06 Απάντηση: Ψηφιακή υπογραφή #164
@dpap76 ευχαριστούμε για την αναλυτική και κατατοπιστική ενημέρωση!
-
26-03-22, 10:21 Απάντηση: Ψηφιακή υπογραφή #165
- Εγγραφή
- 08-01-2004
- Περιοχή
- Espoo, FI
- Ηλικία
- 51
- Μηνύματα
- 20.944
- Downloads
- 41
- Uploads
- 0
- Άρθρα
- 4
- Τύπος
- FTTH
- Ταχύτητα
- 1000/400
- ISP
- Elisa
- Router
- pfsense
Ευχαριστούμε για την ενδελεχή περιγραφή.
Η ταυτοποίηση μπορεί να αντικατασταθεί με άλλη διαδικασία στην οποία δεν απαιτείται η φυσική παρουσία; Εννοώ αν υπάρχουν επίσημες διαδικασίες και πρακτικές, ώστε να μη χρειάζεται η φυσική παρουσία και ταυτόχρονα να διασφαλίζεται η εμπιστοσύνη.Ανυπόγραφος
Bookmarks