Ψηφιακή υπογραφή

[yyy]

Έχει δοκιμάσει τελικά κανείς να εγκαταστήσει τα νέα πιστοποιητικά σε κάποιο άλλο USB token, εκτός από τα 2 που αναφέρονται από την ΑΠΕΔ; Μόλις λήξουν αυτά που χειρίζομαι θα το δοκιμάσω σε Gemalto ID Prime 840 και θα ενημερώσω.

[goku]

Έχει δοκιμάσει τελικά κανείς να εγκαταστήσει τα νέα πιστοποιητικά σε κάποιο άλλο USB token, από τα 2 που αναφέρονται από την ΑΠΕΔ; Μόλις λήξουν αυτά που χειρίζομαι θα το δοκιμάσω σε Gemalto ID Prime 840 και θα ενημερώσω.

Εγώ τα δικά μου τα εγκατέστησα κανονικά. Σε συμβατό στικάκι, σε ένα από 2 που αναφέρονται ως συμβατά, συγκεκριμένα σε αυτό. Στην φωτογραφία δεν είναι ακριβώς το ίδιο αλλά μοιάζει αρκετά και γράφει Thales επάνω. Το προχώρησα σε Windows 10 πλήρως ενημερωμένο, με τον Microsoft Edge επίσης πλήρη ενημερωμένο, σε φυσικό μηχάνημα (δεν διακινδύνευσα να το κάνω σε εικονικό γιατί έχουν αναφερθεί προβλήματα). Εγκατέστησα εννοείται πρώτα 2 εφαρμογές που συνοδεύουν το στικάκι (τον driver και ένα άλλο πρόγραμμα) και η διαδικασία ολοκληρώθηκε κανονικά εντός 1-2 λεπτών χωρίς κάποιο πρόβλημα.

[yyy]

Εγώ τα δικά μου τα εγκατέστησα κανονικά. Σε συμβατό στικάκι, σε ένα από 2 που αναφέρονται ως συμβατά, συγκεκριμένα σε αυτό. Στην φωτογραφία δεν είναι ακριβώς το ίδιο αλλά μοιάζει αρκετά και γράφει Thales επάνω. Το προχώρησα σε Windows 10 πλήρως ενημερωμένο, με τον Microsoft Edge επίσης πλήρη ενημερωμένο, σε φυσικό μηχάνημα (δεν διακινδύνευσα να το κάνω σε εικονικό γιατί έχουν αναφερθεί προβλήματα). Εγκατέστησα εννοείται πρώτα 2 εφαρμογές που συνοδεύουν το στικάκι (τον driver και ένα άλλο πρόγραμμα) και η διαδικασία ολοκληρώθηκε κανονικά εντός 1-2 λεπτών χωρίς κάποιο πρόβλημα.

Η ερώτησή μου αφορούσε κάποιο άλλο στικάκι, εκτός των 2 που αναφέρονται στην ΑΠΕΔ. Το διόρθωσα να είναι πιο σαφές.

[goku]

Η ερώτησή μου αφορούσε κάποιο άλλο στικάκι, εκτός των 2 που αναφέρονται στην ΑΠΕΔ. Το διόρθωσα να είναι πιο σαφές.

Δεν το πρόσεξα. Εγώ προσωπικά δεν θα το διακινδύνευα σε άλλο στικάκι. Εκτός αν φυσικά δεν έχεις πρόβλημα να κάνεις και 2η φορά αίτηση για επανέκδοση των πιστοποιητικών και να ξαναπάς στο ΚΕΠ, σε περίπτωση αποτυχίας.

[yyy]

Δεν το πρόσεξα. Εγώ προσωπικά δεν θα το διακινδύνευα σε άλλο στικάκι. Εκτός αν φυσικά δεν έχεις πρόβλημα να κάνεις και 2η φορά αίτηση για επανέκδοση των πιστοποιητικών και να ξαναπάς στο ΚΕΠ, σε περίπτωση αποτυχίας.

Επειδή δε θυμάμαι, όταν κάνεις έκδοση των πιστοποιητικών, δεν μπορείς να τα αποθηκεύσεις κάπου, ώστε να κάνεις πάλι την εγκατάσταση σε άλλο στικάκι;

[goku]

Επειδή δε θυμάμαι, όταν κάνεις έκδοση των πιστοποιητικών, δεν μπορείς να τα αποθηκεύσεις κάπου, ώστε να κάνεις πάλι την εγκατάσταση σε άλλο στικάκι;

Βλέπω ότι από την ΑΠΕΔ, μπαίνοντας με τους προσωπικούς μου κωδικούς, μπορώ να δω τα ψηφιακά πιστοποιητικά μου. Μου δίνει επιλογή να το κατεβάσω (συγκεκριμένα ένα αρχείο με την κατάληξη *.cer). Επίσης βλέπω ότι η εφαρμογή / tool του τόκεν έχει επιλογή για εισαγωγή του πιστοποιητικού. Θεωρητικά θα μπορούσες να το εισάγεις, αλλά δεν ξέρω το κατά πόσο θα δουλέψει, ας μας πει κάποιος που το έχει δοκιμάσει.

[yyy]

Βλέπω ότι από την ΑΠΕΔ, μπαίνοντας με τους προσωπικούς μου κωδικούς, μπορώ να δω τα ψηφιακά πιστοποιητικά μου. Μου δίνει επιλογή να το κατεβάσω (συγκεκριμένα ένα αρχείο με την κατάληξη *.cer). Επίσης βλέπω ότι η εφαρμογή / tool του τόκεν έχει επιλογή για εισαγωγή του πιστοποιητικού. Θεωρητικά θα μπορούσες να το εισάγεις, αλλά δεν ξέρω το κατά πόσο θα δουλέψει, ας μας πει κάποιος που το έχει δοκιμάσει.

Κάτι τέτοιο είχα και γω στο μυαλό μου, αρκεί να δουλεύει :-)

[sdikr]

Επειδή δε θυμάμαι, όταν κάνεις έκδοση των πιστοποιητικών, δεν μπορείς να τα αποθηκεύσεις κάπου, ώστε να κάνεις πάλι την εγκατάσταση σε άλλο στικάκι;

Οχι δεν μπορείς, το ότι μπορείς να το κατεβάσεις μπορείς, δεν πληρεί όμως το hard certificate και δεν γίνεται δεκτό, καταλαβαίνει οτι δεν έχει γίνει Install σε stick

[yyy]

Οχι δεν μπορείς, το ότι μπορείς να το κατεβάσεις μπορείς, δεν πληρεί όμως το hard certificate και δεν γίνεται δεκτό, καταλαβαίνει οτι δεν έχει γίνει Install σε stick

Εννοούσα αν μπορείς να κατεβάσεις το αρχείο και αυτό να εγκαταστήσεις στο στικ. Ώστε να γλυτώσεις την επίσκεψη στο ΚΕΠ τη δεύτερη φορά, αν δε δουλέψει στο παλιό. Ή ακόμα και σε περίπτωση που χαλάσει το ένα, να το έχεις και να το εγκαταστήσεις σε νέο. Εσύ μάλλον αναφέρεσαι στο soft certificate που μπορούσες (παλιότερα μάλλον μόνο, στη νέα ΑΠΕΔ δε βρήκα καμία αναφορά) να έχεις, αντί του hard που είναι αυτό σε στικ.

[minas]

Εννοούσα αν μπορείς να κατεβάσεις το αρχείο και αυτό να εγκαταστήσεις στο στικ. Ώστε να γλυτώσεις την επίσκεψη στο ΚΕΠ τη δεύτερη φορά, αν δε δουλέψει στο παλιό. Ή ακόμα και σε περίπτωση που χαλάσει το ένα, να το έχεις και να το εγκαταστήσεις σε νέο. Εσύ μάλλον αναφέρεσαι στο soft certificate που μπορούσες (παλιότερα μάλλον μόνο, στη νέα ΑΠΕΔ δε βρήκα καμία αναφορά) να έχεις, αντί του hard που είναι αυτό σε στικ.

Η λογική είναι ότι μπορεί να γραφτεί στο στικ μόνο απευθείας από την CA (ΑΠΕΔ). Από τη στιγμή που το αντιγράφεις αλλού, δεν εξασφαλίζεται η ιδιωτικότητα του, εξ' ορισμού πλέον είναι soft. Δεν ξέρω καν εάν εξάγει το private key, ή μόνο το public.

[yyy]

Η λογική είναι ότι μπορεί να γραφτεί στο στικ μόνο απευθείας από την CA (ΑΠΕΔ). Από τη στιγμή που το αντιγράφεις αλλού, δεν εξασφαλίζεται η ιδιωτικότητα του, εξ' ορισμού πλέον είναι soft. ...

Και γω που είδα τις οδηγίες, μου φαίνεται ότι δεν υπάρχει πια η δυνατότητα για soft, που υπήρχε στην παλιά ΑΠΕΔ.

... Δεν ξέρω καν εάν εξάγει το private key, ή μόνο το public.

Αυτό είναι ένα ενδιαφέρον ερώτημα!

[dpap76]

Το private κλειδί παράγεται από τον κρυπτοεπεξεργαστή/smartcard[*] που υπάρχει στο stick και ΔΕΝ μπορεί με κανένα τρόπο να εξαχθεί από το chip. Ακόμα και αν προσπαθήσεις να διαβάσεις το τσιπ με κάποιον πλάγιο τρόπο (οχι μέσω software / card reader δηλαδή) ενεργοποιούνται anti-tampering τεχνικές και το τσίπ διαγράφει όλα τα κλειδιά και κλειδώνει. Αυτό που μπορεί να εξαχθεί είναι μόνο το public key, το οποίο στο δείχνει μετά μέσω του interface της ΑΠΕΔ ή από το εργαλείο διαχείρισης της smartcard σαν X.509 πιστοποιητικό. Προσοχή, άλλο το πιστοποιητικό-public key, άλλο το private key και άλλο η ψηφιακή υπογραφή.

Από το παραπάνω προκύπτει ότι δεν μπορείς να μεταφέρεις πλήρως το ζευγάρι κλειδιών από τη μια κάρτα στην άλλη. Μπορείς να μεταφέρεις μόνο το public key αλλά για να υπογράψεις θέλεις το private key. Αν την χάσεις ή αν χαλάσει απλά παίρνεις άλλη και κάνεις πάλι την διαδικασία.

Να σημειωθεί αν δεν έχει γίνει ήδη ξεκάθαρο ότι η ΑΠΕΔ δεν βλέπει ποτέ το private key. Το middleware απλώς δίνει εντολή στον κρυπτοεπεξεργαστή να παράξει νέο ζευγάρι κλειδιών με τα κατάλληλα χαρακτηριστικά (πχ RSA 2048) και κατόπιν να της δώσει το CSR για να το υπογράψει και να παραχθεί τελικά το x.509 πιστοποιητικό. Ολο αυτό γίνεται μέσω του crypto API του λειτουργικού. Δεν το έχω δοκιμάσει αλλά θεωρώ απίθανο να μπορείς να χρησιμοποιείς παλιά smartcards/tokens με την νέα ΑΠΕΔ καθώς το middleware που έχει γίνεi develop το ολο σύστημα ξέρει να χειρίζεται μόνο τις a) Thales (πρώην Gemalto) ID Prime MD 940 και β) IDEMIA Cosmo v8.1 R2. To "stick" που λέμε είναι απλώς ένα enclosure/μια γέφυρα μεταξύ της smartcard και του υπολογιστή μέσω του USB interface και τίποτε άλλο. Όλη η τεχνολογία και η δουλειά γίνεται στον κρυπτοεπεξεργαστή.

Soft certs και certs κρυπτογράφησης (data encryption) δεν υπογράφονται πλέον από την ΑΠΕΔ. Υποστηρίζει μόνο πιστοποιητικά για intentend-use: digital signature και στα οποία η ΑΠΕΔ κολλάει το μαγικό flag του non-repudiation (άπαξ και υπογράψεις κάτι δεν μπορείς μετά με κανένα νομικό τρόπο να αποποιηθείς την ευθύνη της υπογραφής που έβαλες). Η φυσική παρουσία (φυσική ταυτοποίηση σε όρους PKI) στο ΚΕΠ και κατόπιν η υπογραφή του public cert από το αναγνωρισμένο (απο την EE) CA της ΑΠΕΔ που δίνεις μέσω της διαδικασίας enrolment ολοκληρώνει την αλυσίδα της εμπιστοσύνης του εν λόγω PKI συστήματος .

Η ψηφιακή υπογραφή για να παραχθεί χρειάζεται το private key το οποίο ο κρυπτοεπεξεργαστής αποκτά πρόσβαση αφού ρωτήσει τον χρήστη για το PIN του ώστε να ικανοποιηθεί εκτός από τον πρώτο (something you have: η smartcard στην περίπτωση μας) και ο δεύτερος παράγοντας αυθεντικοποίησης (something you know: το PIN).

* Η smartcard είναι κατασκευασμένη και λειτουργεί με συγκεκριμένα πρότυπα ασφαλείας (CC EAL 5+ / PP QSCD) τα οποία ικανοποιούν τον eIDAS 2.0 κανονισμό της ΕΕ.

[sdikr]

Υπάρχει πολύ πράγμα απο πίσω σε σχέση με αυτό που βλέπουμε!
Ευχαριστώ για την ενημέρωση

[yyy]

@dpap76 ευχαριστούμε για την αναλυτική και κατατοπιστική ενημέρωση!

[euri]

...

Η φυσική παρουσία (φυσική ταυτοποίηση σε όρους PKI) στο ΚΕΠ και κατόπιν η υπογραφή του public cert από το αναγνωρισμένο (απο την EE) CA της ΑΠΕΔ που δίνεις μέσω της διαδικασίας enrolment ολοκληρώνει την αλυσίδα της εμπιστοσύνης του εν λόγω PKI συστήματος .

...

Ευχαριστούμε για την ενδελεχή περιγραφή.

Η ταυτοποίηση μπορεί να αντικατασταθεί με άλλη διαδικασία στην οποία δεν απαιτείται η φυσική παρουσία; Εννοώ αν υπάρχουν επίσημες διαδικασίες και πρακτικές, ώστε να μη χρειάζεται η φυσική παρουσία και ταυτόχρονα να διασφαλίζεται η εμπιστοσύνη.