Praktyka podpisu elektronicznego w Polsce

Poniżej prezentujemy zbiór najróżniejszych informacji praktycznych związanych z korzystaniem z podpisu elektronicznego w Polsce i Europie - adresy URL serwerów LDAP, list CRL, certyfikatów "root" itd. Informacje pochodzą ze stron centrów certyfikacji i mają na celu wyłącznie skoncentrowanie ich w jednym miejscu dla wygody np. osób piszących aplikacje.

Katalogi LDAP

Katalogi LDAP pozwalają na pobieranie certyfikatów wystawionych przez dane centrum certyfikacji. W praktyce jest to użyteczne np. dla aplikacji umiejących pobierać informacje z LDAP - na przykład programów pocztowych. Większość centrów nie umożliwia prostego przeglądania  katalogu np. tylko po nazwisku, by nie stały się one źródłem informacji dla spammerów.

Centrum certyfikacji Kwalifikowany LDAP Inne LDAP
KIR ? ?
Sigillum ldap://193.178.164.4 ldap://193.178.164.16
Certum ldap://ldap.certyfikat.pl  

Serwery znacznika czasu (TSA)

Wszystkie polskie centra kwalifikowane udostępniają usługę znakowania czasem (TS). Wraz z certyfikatem kwalifikowanym klient otrzymuje zwykle pulę 100 darmowych znaczników do wykorzystania w ciągu miesiąca. Serwery nie pozwalają na wykonywanie znacznika czasu od nieautoryzowanych klientów, co jest zazwyczaj realizowane przez żądanie przysłania TSR (TS Request) podpisanego certyfikatem danego centrum.

Centrum certyfikacji Kwalifikowane TSA Inne TSA
KIR http://www.ts.kir.com.pl/HttpTspServer [CMS]  
Sigillum http://193.178.164.5/ [CMS]  
Certum http://qtime.certum.pl/tsserver/server [X] http://time.certum.pl [CMS]
http://www.cebit.unizeto.pl/tsaserver
Cencert http://tsp.cencert.pl.  
  • [CMS] wymaga TSP enkapsulowanego w podpisanym CMS
  • [X] nie wymaga TSP enkapsulowanego w podpisanym CMS, ale nie odpowiada na TSR od "nie swoich" klientów

Listy CRL

Nazwa danego centrum jest linkiem do strony repozytorium zawierającego oryginalne listy CRL. Standardowo listy CRL można znaleźć na stronach "Repozytorium" poszczególnych centrów ceryfikacji. W przypadku centrów kwalifikowanych publikowanie list CRL jest obowiązkowe.


Centrum certyfikacji Okres publikacji Kwalifikowane CRL Inne CRL
NCC 7 dni http://www.nccert.pl/arl/nccert.crl  
KIR 1 h http://www.kir.com.pl/certyfikacja_kluczy/CRL_OZK22.crl http://www.kir.com.pl/certyfikacja_kluczy/rootozk.crl
http://www.kir.com.pl/certyfikacja_kluczy/ozk1.crl
http://www.kir.com.pl/certyfikacja_kluczy/ozk21.crl
Sigillum 12 h http://193.178.164.4/repozytorium/ca1.crl http://193.178.164.16/repozytorium/ca2.cr
Certum 24 h http://crl.certum.pl/qca.crl
http://crl.certum.pl/cck-ca.crl (2003-2005)
http://crl.certum.pl/ca.crl
http://crl.certum.pl/class1.crl
http://crl.certum.pl/class2.crl
http://crl.certum.pl/class3.crl
http://crl.certum.pl/class4.crl
http://ocsp.certum.pl (OCSP)
Cencert 30 minut http://cencert.pl/crl/ostatni_kwal.crl http://ocsp.cencert.pl
Mobicert http://crl1.mobicert.pl/ca1.crl

http://crl2.mobicert.pl/ca1.crl
 

 

Uwaga: linki podane na tej stronie powinny być traktowane wyłącznie jako testowe ponieważ integralność tej strony nie może być zagwarantowana. Autoryzowane adresy zaświadczeń i list CRL uzyskasz na stronach poszczególnych centrów - a przynajmniej na tych, które są uwierzytelnione przez SSL :)

Wiarygodność stron centrów

Strona centrum certyfikacji powinna być moim zdaniem dostępna przez SSL/TLS uwierzytelniony certyfikatem wiarygodnym dla popularnych systemów operacyjnych po to, by można było zaufać opublikowanym na nich zaświadczeniom i listom CRL nie mając ich wcześniej w "kotwicy zaufania". Jak to wygląda w Polsce?

  • Certum/Unizeto (SSL) - jest podpisana certyfikatem Certum CA od kilku lat zaufanym przez Windows
  • Sigillum/PWPW (SSL) - jest podpisana certyfikatem Sigillum/PWPW niezaufanym przez Windows - konieczne jest zaakceptowanie ostrzeżenie co niweczy zaufanie; błąd ten jest powielony np. na stronie E-Poltax ale już na przykład bramka e-Deklaracji jest podpisana przez zaufany certyfikat Thawte
  • KIR - w ogóle nie da się wejść przez SSL/TLS
  • Centrast/NCC - w ogóle nie da się wejść przez SSL/TLS

Nie należy robić z tego dramatu, bo root Centrastu dostaniemy i tak na CD dostarczanym wraz z certyfikatem kwalifikowanym co zapewnia pewien poziom bezpieczeństwa przy instalacji nowej kotwicy. Ale w certyfikatach SSL root Centrastu nie występuje!

Darmowe certyfikaty testowe

Kilka polskich centrów wydaje darmowe certyfikaty niekwalifikowane o różnym okresie ważności i różnym poziomie weryfikacji danych.

"Bezpieczne urządzenie"

W Polsce podpis kwalifikowany może być składany wyłącznie przy pomocy oprogramowania posiadającego "deklarację zgodności z ustawą". Takie oprogramowanie zainstalowane pod Windows nosi nazwę "bezpiecznego urządzenia", choć ani to bezpieczne ani urządzenie. W praktyce deklaracja zgodności daje przede wszystkim zgodnej z ustawą procedury składania i weryfikacji podpisu elektronicznego, nie zaś ogólnie rozumianego bezpieczeństwa.
W Polsce dostępne są następujące aplikacje posiadające deklarację zgodności:

  • Certum - oferuje aplikację Certum Secure Sign (format CMS) podpisującą dane jako ciąg bitowy
  • Sigillum - oferuje aplikacje Sigillum Sign (prywatny format SDOC) i Sigillum Sign Pro (S/MIME, PKCS#7, CMS, XAdES) podpisujące dane jako ciąg bitowy
  • KIR - oferuje aplikację Szafir (format PKCS#7) podpisującą dane jako ciąg bitowy
  • ebCommunicator - napisana w Javie wieloplatformowa aplikacja podpisująca formularze w prywatnym formacie EBF (opartym o XML i XAdES)
  • Enigma - Centaur WER
  • Unizeto - Elektroniczna Skrzynka Podawcza - przykładowe esp.mrr.gov.pl

Uwaga: ponieważ deklaracja zgodności jest dokumentem wystawianym przez samego producenta aplikacji i nie podlega centralnej weryfikacji czy rejestracji, powyższa lista nie musi być kompletna. Zawiera ona produkty, których producenci opublikowali deklarację zgodności a autor tej strony o tym się dowiedział. Równocześnie zapraszam do przysyłania aktualizacji i uzupełnień.

Inne ciekawe

Comments

Comment viewing options

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Select your preferred way to display the comments and click "Save settings" to activate your changes.

Szafir podpisuje również w formacie XAdES - (można sprawdzić wersją demo 1.0.3 (build 165)).

jasne taki case study:

ww. szafir
komp 512MB RAM jakiś XP

podpisanie pliku 11MB (losowe dane z /dev/urandom) poszło całkiem gładko

weryfikacja kończy się (chyba w zależności od stopnie zachmurzenia) javowymi wyjątkami "NullPointerException" lub "OutOfMemory" (no pełny determinizm panowie).

Z praktyki wiadomo że trochę trudno walczyć z wyjątkami OutOfMemeory ale przegapienie NullPointerException to prawdziwy ratytas. Aż strach pomyśleć co jeszcze się kryje w tym "bezpiecznym urządzeniu"