Svi, manje više, želimo da Srbija bude moderna zemlja. Zar ne? I želimo da pratimo moderne trendove, kako života tako i poslovanja. Zar ne? A kako da očekujemo da budemo moderna, napredna zemlja kada je jedan običan čovek Slobodan Marković napisao bolje i korisnije uputstvo za instalaciju softvera i svih pratećih stvari za funkcionisanje elektronskog potpisa od firme Pošta, umesto njih koji se bave prodajom upravo tih sertifikata?
Pritom ta ista firma ima najgori call centar ikada, gde je potrebno 10 minuta da bi se uopšte dobila podrška. A uz paket koji ti stigne na kućnu adresu, ne daju nikakvo uputstvo već su uputstvo implementirali u sam govorni automat u call centru, koji ničemu ne služi btw. Čudno, u najmanju ruku? Da bude sve smešnije, Pošta je jedina u Srbiji koja ima podršku za Apple računare (odnosno OS X) kada su u pitanju digitalni potpisi i elektronski sertifikati. Kako sam ja laik za elektronske sertifikate, ali, s druge strane, kompjuterski pismena osoba koja prati trendove, ovim blog postom želim da pomognem svim Apple korisnicima da kupe, instaliraju i koriste naprednu tehnologiju digitalnog potpisivanja. Jer, kao što rekoh, ako sam ja, koji sam kompjuterski pismen, imao problem da sve podesim (3 dana maltretiranja i dopisivanja sa Poštom) koristeći uputstvo nekog tamo X lika, kako je tek onima koji nisu možda toliko kompjuterski pismeni? Zato želim ovim blog postom da prenesem svoja iskustva i pružim detaljno uputstvo za instalaciju kako bih pomognao svima koji žele da digitalno potpisuju fakture, PDF-ove, ugovore, da koriste e-servise, prijavljuju poreze… Ali i da sa jedne stručnije strane objasnimo šta su zapravo to sertifikati.
P.S. obavezno pročitati zaključak na kraju teksta.
1. Šta je to elektronski potpis?
Prvo pitanje je: Šta je elektronski potpis? Ako pogledamo stranicu najvažnije institucije u zemlji, a to je MUP, videćemo gomilu bla-bla-wtf?! teksta.
Digitalni potpis (eng. Digital Signature) je skup podataka u elektronskom obliku koji su dodati ili logički pridruženi elektronskim porukama ili dokumentima i služe kao metod za identifikaciju potpisnika. Svrha digitalnog potpisa je da potvrdi autentičnost sadržaja poruke (dokaz da poruka nije promenjena na putu od pošiljaoca do primaoca), kao i da obezbedi garantovanje identiteta pošiljaoca poruke.
Osnovu digitalnog potpisa čini sadržaj same poruke. Pošiljalac primenom kriptografskih algoritama prvo od svoje poruke koja je proizvoljne dužine stvara zapis fiksne dužine (pr. 512 ili 1024 bita) koji u potpunosti oslikava sadržaj poruke. To znači da svaka promena u sadržaju poruke dovodi do promene potpisa. Dakle, pošiljalac kreira digitalni potpis na osnovu poruke koju želi da pošalje. Šifruje ga svojim tajnim ključem i šalje zajedno sa porukom. Primalac po prijemu poruke dešifruje potpis pošiljaoca njegovim javnim ključem. Zatim kreira potpis na osnovu poruke koju je primio i upoređuje ga sa primljenim potpisom. Ako su potpisi identični, može biti siguran da je poruku zaista poslao pravi pošiljaoc (jer je njegovim javnim ključem uspešno dešifrovao potpis) i da je ona stigla nepromenjena (jer je utvrđeno da su potpisi identični).
Dakle, digitalni potpis je elektronska zamena rukom pisanog potpisa, a ne digitalna slika ručnog potpisa. Digitalni potis omogućava identifikaciju učesnika u komunikaciji i integritet podataka. Za proveru identiteta i integriteta koristi se javni ključ sadržan u digitalnom sertifikatu.
Sem poslednje rečenice koja je osnova svih osnova. Dakle, digitalni, elektronski potpis je 100% zamena za svojeručni offline potpis i potpuno je priznat na sudu. Dakle, to je vaš online svojeručni potpis. I to je jedino što treba da vas interesuje.
2. Gde nabaviti (kupiti) taj online svojeručni potpis?
Drugo pitanje je dosta lakše ako koristite Windows računare. Jer, Srbija je monopolska zemlja, u mnogim stvarima pa što ne bi bila i u softveru. MUP besplatno izdaje digitalni potpis direktno na ličnoj karti (ugrađuje se u čip) ali radi isključivo na Windows računarima. Tako da to ne važi za nas Apple korisnike. Jednostavno midleware i arhitektura im je takva da se ti elektronski potpisi (sertifikati) mogu jedino i isključivo koristiti na Microsoft Windows računarima. Da li je to zbog monopolskog ugovora države Srbije sa Microsoftom ili prosto običnim javašlukom, neznanjem i kitoboljom MUPa, za sada nije poznato. Ali je tako.
Pa šta da rade Apple korisnici onda? Pa, odu u Poštu i plate za digitalni potpis. Dakle, Pošta je jedino sertifikaciono telo koje izdaje digitalne potpise za fizička lica koja se mogu koristiti gotovo na svim plaftormama (Windows, OS X, Linux). Što je zaista sjajno, a i nije toliko skupo. Za 4 godine trajanja sertifikata plaćate 4.110,00 dinara, a uz to dobijete i usb smart čitač kartice na kojoj se nalazi sertifikat.
Prvo, odete na sajt radne jedinice za Elektronsko poslovanje Pošte i skinete zahtev za dobijanje sertifikata. Možda će vas zbuniti sve to elektronsko poslovanje, ali ne postoji način da se online plati za sertifikat, potpiše nekako online i da se sve završi online. Žalosno, ali tako je. Nego vi lepo odštampate taj zahtev i odete u najbližu poštu da ga predate radniku. Tu ćete i popuniti uplatnicu i platiti.
Radna Jedinica za elektronsko poslovanje a popunjavaj uplatnicu i cekas red. Koja zemlja sarkazma i ironije pic.twitter.com/L3dQFbHu2w
— Darko Vidić (@1zverko) December 18, 2014
No, da apsurdu ne bude kraj, kada plaćate Pošti za njihove usluge, sve ide kroz objedinjeni platni promet, pa plaćate i proviziju za platni promet. Znači, zamislite da odete u radnju da kupite stolicu koja košta 2.000 dinara, vi izvadite tih dve ‘iljade, a oni vam kažu još 38 dinara za proviziju. Kako da čovek ne obožava Poštu. Elem, kada ste to popunili, platili i sve završili… čekate. Sad taj zahtev ide u RJ za elektronsko poslovanje i čekate da vam sve završe. Meni je sve to stiglo relativno brzo, za par dana, na kućnu adresu. Zapamtite, morate lično vi da primite ugovor i da ga potpišete.
E sada kreće veselje.
3. Uputstvo za instalaciju svega što je potrebno kako bi digitalni potpis funkcionisao
Kako sam već napomenuo da je ovo monopolska zemlja, neću objašnjavati proces instalacije za Windows korisnike jer oni već dobiju kompletno uputstvo za instalaciju svega. Za njih nema većih problema. Problem je za nas Apple korisnike. Stoga za njih sada ide uputstvo.
Uputstvo za podešavanje i korišćenje kvalifikovanog elektronskog potpisa na OS X Yosemite (10.10):
*** Uvod
Kvalifikovani elektronski potpis na elektronskom dokumentu (PDF, ODF itd) ima zakonsku snagu svojeručnog potpisa dokumenta na papiru, saglasno Zakonu o elektronskom potpisu i Zakonu o elektronskom dokumentu. Kako biste mogli da „stavljate“ kvalifikovane elektronske potpise na elektronske dokumente, neophodno je da posedujete kvalifikovani elektronski sertifikat (pored potpisivanja dokumenata, ovaj sertifikat može se upotrebiti za korišćenje portala eUprava, portala ePorezi i drugih servisa e-uprave).
Kvalifikovane elektronske sertifikate izdaju sertifikaciona tela, koja su popisana u registru Ministarstva trgovine, turizma i telekomunikacija.
Pošta Srbije jedino je sertifikaciono telo koje izdaje kvalifikovane elektronske sertifikate sa podrškom za OS X. Više informacija o pribavljanju Poštinog kvalifikovanog elektronskog sertifikata na smart kartici, možete naći ovde.
Napomena: Ostala sertifikaciona tela izdaju kvalifikovane elektronske sertifikate koji se mogu koristiti samo u Microsoft Windows okruženju. Naravno, Windows se može instalirati u okviru virtuelne mašine pod OS X, ali takva upotreba kvalifikovanih elektronskih sertifikata izlazi izvan okvira ovog uputstva.
*** Osnovna podešavanja
Procedura za instalaciju i korišćenje Poštinog kvalifikovanog elektronskog sertifikata za OS X Yosemite (10.10):
- Zatražite od Pošte najnoviju verziju sistemskog softvera A.E.T. SafeSign za OS X, na adresi http://www.ca.posta.rs/preuzimanje_softvera.htm (napomenite u poruci da vam treba poslednja verzija aplikacije za OS X Yosemite). Ovaj paket sadrži sistemski softver za rad sa Poštinom smart karticom i aplikaciju tokenadmin.app, koja služi za pregled sadržaja kartice i eventualnu promenu PIN-a.
- Instalirajte poslednju verziju Smart Card Services za Yosemite sa adrese https://smartcardservices.macosforge.org/files/installers/SCS-10.10-Current.zip
- Instalirajte A.E.T. SafeSign (koji ste dobili od Pošte u prvom koraku). Nakon instalacije, biće potrebno da se odjavite (Log Out) i ponovo prijavite u vaš korisnički nalog.
- Priključite USB čitač smart kartica i stavite u njega vašu karticu sa kvalifikovanim elektronskim sertifikatom. Pokrenite tokenadmin.app. Trebalo bi da vidite vaše ime i prezime i broj sertifikata, a duplim klikom na njega više detalja o sadržaju kartice.
*** Podešavanje Firefoxa za korišćenje portala eUprava.gov.rs
Preuzeti sertifikate domaćih sertifikacionih tela
Pošta
http://www.ca.posta.rs/ca-sertifikati/PostaCARoot.der
http://www.ca.posta.rs/ca-sertifikati/PostaCA1.der
MUP
http://ca.mup.gov.rs/MUPCARoot.crt
http://ca.mup.gov.rs/MUPCARoot3.crt
http://ca.mup.gov.rs/MUPCAGradjani.crt
http://ca.mup.gov.rs/MUPCAGradjani2.crt
http://ca.mup.gov.rs/MUPCAGradjani3.crt
PKS
http://ca.pks.rs/certs/PKSCARoot.crt
http://ca.pks.rs/certs/PKSCAClass1.crt
http://ca.pks.rs/certs/PKSCAClass2.crt
Halcom
http://www.halcom.rs/UserFiles/File/HalcomBGCARoot.crt
http://www.halcom.rs/UserFiles/File/HalcomBGCAPLIntermediate.crt
http://www.halcom.rs/UserFiles/File/HalcomBGCAFLIntermediate.crt
E-Smart Systems
http://qca.e-smartsys.com/repo/ESS%20RQCA.cer
http://qca.e-smartsys.com/repo/ESS%20IQCA1(1).cer
Nakon što ste preuzeli sertifikate:
- Odaberite u meniju Firefox -> Preferences… pa Advanced -> Certificates -> Security Devices
- Kliknite na dugme Load i unesite za Module name „SafeSign PKCS#11 Module“, a za Module filename „/usr/local/lib/libaetpkss.dylib“ (sve bez znakova navoda) i pritisnite OK. Trebalo bi da vam se na spisku sa leve strane pojavi sertifikat sa vašim imenom i prezimenom, što znači da FireFox može da pristupi sertifikatu. Kliknite na dugme Log In i unesite vaš PIN za kvalifikovani sertifikat (dobili ste ga od u koverti sa karticom, kada ste je preuzimali u Pošti). Ako sve bude OK, status sa desne strane trebalo bi da se promeni u Logged In (Napomena: ako dobijete poruku o neuspešnom logovanju, probajte da izvadite karticu iz čitača, ponovo je stavite i onda ponovite Log In).
- Na istom panelu (Firefox -> Preferences… pa Advanced -> Certificates) kliknite dugme View Certificates, pa odaberite Authorities.
- Kliknite dugme Import… i ubacite sledeće sertifikate: PostaCARoot.der i PostaCA1.der (za ovaj sertifikat odaberite opciju „Trust this CA to identify websites“).
- Sada pristupite portalu eUprava na https://www.euprava.gov.rs/ i odaberite u gornjem desnom uglu „Prijava“, a zatim „Prijavite se elektronskim sertifikatom“. Unesite vaš PIN za kvalifikovani sertifikat, ako je neophodno. Izaberite sertifikat sa spiska i kliknite OK. Trebalo bi da ste se uspešno ulogovali i sada možete koristiti elektronske usluge na portalu. Ako dobijete poruku o neuspešnom logovanju, probajte da izvadite karticu iz čitača, ponovo je stavite i onda ponovite prijavu.
*** Kako da podesite besplatan Adobe Acrobat Reader da digitalno potpisuje (Pisao Zverko):
Iako u početku nije htelo da radi, nekako sam uspeo da podesim Adobe Reader da potpisuje. Dobijao sam neku grešku sve vreme. Kao da ne postoji sertifikat. Logično, da potpišete dokument kliknete na veliku opciju „Fill & Sign“ pa kliknete na „Sign with Certificate“, pa mišem obeležite polje gde hoćete da vam se nađe potpis (mouse drag) i onda vam se otvori mali prozor gde vam traži sertifikat (jer ga niste još ubacili). Kada pokušam da ubacim kaže da ne postoji?
Onda sam pokušao da uradim isto kao sa FireFoxom i dodam onaj module „“SafeSign PKCS#11 Module“, a za Module filename „/usr/local/lib/libaetpkss.dylib““
Nakon što sam uspeo da dodam module i tokene, potpisivanje ide kao podmazano. Opet isti proces: Fill&Sign pa obeležite u PDF dokumentu pa će vam se pojaviti prozorčić sa vašim imenom i prezimenom i poljem za šifru (pin koji ste dobili od Pošte) i samo klikente „sign“ i to je to.
Ukoliko želite da očitate vašu ličnu kartu potrebno je da skinete besplatan program JFreeSteel program i pokrenete ga. Automatski će videti ličnu kartu i dobićete opciju „save to pdf“. U tri klika i 10 sekundi, gotovo. Nema na čemu!
Zaključak
Srbija je još uvek banana država, kao i u svemu, pa tako i u oblasti digitalnog potpisivanja. Dok druge zemlje imaju integraciju i podršku za sve operativne sisteme, uputstva za sve operativne sisteme, gde javne službe ne krše zakon o sprečavanju monopola i gde nastoje da pomognu građanima, ovde u Srbistanu to nije slučaj. Jedini razlog zbog kojeg sam uopšte uzeo sertifikat jeste što me je knjigovođa naterala, jer zbog novih procedura nikako drugačije nije moguće potpisati završen račune. Da se razumemo, podržavam tu novinu gde nema više potpisivanja i pečatirana sto miliona papira koje mi da knjigovođa, već jednim klikom online se sve završava. Za sve ostalo nema neku upotrebnu vrednost. Šta mislite, da možete potpisati neki ugovor sa tim? Pa ko će shvatiti da je to uopšte moguće? Zamislite da digitalno potpišete ugovor o kupoprodaji automobila? Prvo, zamislite da postoji kupac/prodavac koji bi to razumeo/shvatio. Drugo, zamislite da overite taj ugovor u opštini. Dakle, nemoguće. Stoga, ako ne morate, nemojte se zamlaćivati sa sertifikatima jer mi smo još uvek zemlja iz 16. veka i dugo ćemo tu i biti.
(UPDATE) Nakon što je izašao novi operativni sistem El Capitan može se desiti da potpisivanje više ne radi! Zato je potrebno uraditi sledeće, kako nalaže moj prijatelj Sloba:
Poštin kvalifikovani e-potpis radi na OS X El Capitan. Treba da se instaliraju novi SmartCardServices i ponovo TokenLoungeMinimal. Ko ima problema sa instalacijom SafeSign na OS X El Capitan, dok ne izdaju novu verziju, može da pomogne http://hackintoshosx.com/files/file/4573-siputilityapp-for-el-capitan/ (program pomoću koga privremeno može da se onemogući System Integrity Protection u novom OS X – dovoljno je da se označi druga opcija – nesmetan pristup fajl sistemu, pa posle instalacije može da se vrati na stara podešavanja tj. da sve bude prazno).
Možete uraditi to, ili sačekati nove verzije programa koji će se prilagoditi novom OS Xu. Kako sam kontaktirao ljude iz evropske firme koja pruža usluge middleware softvera za Poštu, očekuje se sredinom marta update programa kako bi se omogućilo nesmetano korišćenje na Apple računarima.
I ne samo to, nego je Pošta prestala trenutno sa izdavanjem digitalnih sertifikata, pa ukoliko koristite Apple računar jedino je moguće do njega doći prijavom na elektronsko bankarstvo za pravna lica kod Banke Poštanska štedionica.
Autor: Darko Vidić
Rođen 1984. godine / Završio osnovne i master studije na privatnom fakultetu / Osnivač i CEO @ GreenDesign.rs / Osnivač i COO @ Dirura.com / Osnivač, Editor in Cheaf @ Carz.rs / Marketing / Social Media / Petrolhead / Veliki borac za dovođenje 21. veka u Srbiju / Edukuje ljude i kompanije o važnosti interneta, modernih tehnologija i proaktivnih načina komunikacija / Veliki #apple fan
Foto: pixabay.com
