Milyen magyar tanúsítványkiállítót?

Security-all

Sziasztok!

Vállalati munkatársak (pl. vezérigazgató) számára kell jogi értelemben elfogadott (pl. a kiállító felelősségbiztosításával megtámogatott) digitális aláírásokhoz széles körben elfogadott (az oprendszerek, böngészők, stb. tanúsítványtárában gyárilag benne levő főtanúsítvánnyal rendelkező) digitális X.509 tanúsítványokat beszereznem. Ezt korábban a Netlocknál intéztem, de úgy tudom, egy ideje nincsenek benne egyes főtanúsítványaik a Windows (és egyéb rendszerek) tanúsítványtáraiban, hanem importálni kell őket. Tudtok róla, hogy javult ez a helyzet, vagy tudtok-e olyan Magyarországon (is) működő tanúsítványkiállítóról, aki megfelel a fenti követelményeknek?

Előre is köszönöm a válaszokat.

  • 2564 megtekintés

( n.balazs v | 2018. 12. 11., k – 12:03 )

2-ből választhatsz: Netlock, Microsec.
Mindkettő széles körben elfogadott, egyik root CA tanúsítványát se kell importálni.

( NevemTeve | 2018. 12. 12., sze – 09:36 )

(Mit kellene tanúsítani: szervert vagy személyt? Az utóbbihoz talán 2017-es (vagy újabb) chipes szig is elég.)

( persicsb | 2018. 12. 12., sze – 09:44 )

Ember számára digitális aláírás? E-személyi.

Aha. Ezek szerint az e-személyiben egy kártya méretű, X.509 szabványnak megfelelő titkos kulccsal dolgozó kriptográfiai smartcard is van? Milyen kártyaolvasó kell hozzá, hogy a Windowsban megjelenjen rendes aláíró tanúsítványként? PIN kóddal is védett a titkos kulcsa?

Ha igen, még kérdés, hogy a partnereink elfogadják el hitelesítő érvényűnek. Úgy hallottam, nem túl széles körű az elfogadottsága, pedig tök menő, hogy ilyen is van.

Az e-Személyi alkalmas digitális aláírásra, a törvény erejénél fogva ugyanolyan hitelességgel rendelkezik az így aláírt irat, mint a teljes bizonyító erejű magánokiratot eredményez.

Figyelembe kell viszont venni, hogy az e-Személyi igénylése során aláírt szerződés szerint a kártya nem használható semmilyen gazdasági tevékenységhez:

"Cég képviselőjeként is használhatom-e az e-aláírást?
Az elektronikus tároló elemet tartalmazó személyazonosító igazolványhoz kapcsolódó e-aláírást a tulajdonosa csak mint magánszemély használhatja fel (pl. ha magánszemélyként szeretne beadni az illetékes hatósághoz egy kérelmet). Az eSzemélyivel létrehozott e-aláírás nem használható fel munkavállalói, cégképviseleti minőségben. Például, ha valaki osztályvezető egy hivatalban, akkor a hivatali dokumentumokat nem írhatja alá a személyazonosító igazolványához kapcsolódó e-aláírással, vagy egy cég ügyvezetője nem írhat alá céges dokumentumokat cégvezetői minőségben a személyazonosítói igazolványához kapcsolódó e-aláírással. Az eSzemélyi e-aláírás funkciójához kibocsátott tanúsítványban ugyanis nem szerepeltethetők cégekre, a cégeknél betöltött pozíciókra vonatkozó információk (pl. hogy az adott személy X cég képviselője, ügyvezetője)."
https://eszemelyi.hu/gyik/gyik_elektronikus_alairas

Igen, teljesen szabványos X.509 aláíró tanúsítvány van benne, védett PIN kóddal.
Az elfogadása érdekes kérdés, nem tudom, miért ne fogadnák el, a magyar CertGov gyökértanúsítványa szerepel Windowsban is, így a vele aláírt dokumentumokat minden egyéb nélkül hitelesnek jeleníti meg a megfelelő szoftver.

Én tudtam a saját nevemben aláírni PDF-et, Word dokumentumot t a Word beépített (azaz végül az OS-t, és így a kártyaolvasót használó) aláírójával. Van hozzá kormányzati aláíró szoftver is, meg egy kártyamenedzser alkalmazás, amivel a PIN-t tudod menedzselni. Maga a kártya és az aláírás külön-külön PIN-nel védett, 8, illetve 7 számjegy.

Van hozzá sokféle kártyaolvasó, a hivatalosat a Magyar Posta forgalmazza. Ebből is kétféle van, az egyik hardveresen kéri be a PIN-t (van rajta gombsor), a másik esetben a hozzá készült szoftver kéri el a PIN-t és teszi az OS felé elérhetővé az aláíró funkciót. Az előbbi persze biztonságosabb, mert az utóbbi nem véd a keylogger ellen.

Arra vonatkozóan nem találok infót, hogy az e-személyihez és a Microsec által kiállított "e-Szignó" kártyás tanúsítványhoz lehet-e ugyanazt a kártyaolvasót használni, azaz technikai értelemben kompatibilisek-e egymással. Erről esetleg tudtok valamit?

SZERK: Időközben látom, hogy az e-Személyi érintésmentes RFID technológiával működik, míg a Microsec kártyái fizikai érintkezőket használnak, tehát nem kompatibilisek egymással. Amit még mindig nem találtam meg, hogy vannak-e a kártya-kártyaolvasó interfészre vonatkozó szabványok (és ha igen, melyek ezek) vagy inkább egyedi megoldások vannak használatban.

Azért az örömöd ne legyen túl korai: hasonlítsd össze az e-személyit egy piaci aláírói csomaggal. Elég sok különbség van köztük.

Csak néhány szempont:
- Mekkora a felelősségvállalás mértéke?
- Adott összegért milyen tanúsítványokat is kapsz?
- Mennyibe kerül az időbélyeg?
- Adnak-e olvasót?
- Mi történik, ha elromlik az olvasó? Ki, hogyan, mennyi idő alatt cseréli?
- Mi történik, ha elromlik a kártya? Ki, hogyan, mennyi idő alatt cseréli?
- Hogyan tudod a tanúsítványod megújítani? Mire van hozzá szükség?
- Hogy működik a tanúsítvány felfüggesztés/visszavonás?

( _Franko_ v | 2018. 12. 12., sze – 11:11 )

Magyar seggbe magyar lófaszt... én eddig csak szívtam a hazai tanúsítványokkal... többnyire pont azzal, amit írsz, egyszerűen túl kicsi a piac ahhoz, hogy normális és korrekt szolgáltatást tudjanak nyújtani, egy felosztott piacon állami megrendelésekből élnek leginkább.

--
https://iotguru.live

Leginkább azt szívtam, hogy néhány helyen nem volt valid a cert, mert nem tudták beimádkozni magukat a láncba. Például Android esetén ez probléma volt sokáig, pár hónapja is sikerült valamelyiknek olyan cert-et eladni a MÁV-nak, ami Android-on nem volt valid. Az ügyintézés körülményes, ami máshol automatikus, azzal szopni kell, meg ilyesmik. A klienseik fosul néznek ki (lásd például az e-Szignó Windows 3.1 stílusú kliensét), a support lassú és körülményes... egyszerűen ezek a cégek elvannak különösebb verseny nélkül az állami langyos vízben, ahova ez pont elég.

--
https://iotguru.live

Akkor nézzük csak:
- Bizalmi lánc
Netlock (https://www.netlock.hu/html/ssl/bongeszok.html) Android 2.3-as verziótól benne van.
Microsec (https://e-szigno.hu/hitelesites-szolgaltatas/tanusitvanyok/bongeszo-tam…) Android 2.3-as verziótól benne van.
Akkor milyen régi Android volt az, amiben nem volt benne? 1.0? Milyen tanúsítványnál nem épült fel a bizalmi lánc (aláíró, titkosító, authentikációs)?
- Ügyintézés/support körülményes
Mi a körülményes benne konkrétan? A személyes azonosítás, amit az életben egyszer kell megcsinálni? A tanúsítvány megújítás, amit elintézhetsz 2 perc alatt automatikusan? Tényleg érdekel konkrétum is a puffogáson kívül.
- Kliens kinézete
Az e-Szignó windowsos kliens kinézete tényleg puritán. Bár a 3.3.x-s verziók már korszerűbbnek hatnak egy fokkal.

Az állami rendszer pont az e-személyi. Ott próbálj meg ügyet intézni pl: tanúsítvány megújítás menete.

"Akkor milyen régi Android volt az, amiben nem volt benne? 1.0?"

8.1-es Android volt. Idén év elején, egészen pontosan január 10-én sikerült olyan tanúsítványt kiadni valamelyik cégnek (szerintem a NetLock lehetett, mert most is az van), ami Android esetén nem volt megbízható. Két nap alatt sikerült kicserélni jó tanúsítványra, addig mindenki szopott az Elvira jegyvásárlással, aki Android-ot használt volna.

Ugyanígy volt szívás például M2M kommunikációban, amikor a másik oldalon Microsec vagy Netlock cert volt és előfordult, hogy az oprendszer (desktop, server és embedded vegyesen) bizony nem tartja valid cert-nek ezeket, és akkor szopni kellett a tanúsítványokkal és ellenőrizgetni, hogy működik-e még... és nem mindenhol lehetett megoldani a kivételek kezelését, mert nem volt rá lehetőség.

"Tényleg érdekel konkrétum is a puffogáson kívül."

Nem puffogás. Leginkább a lassúság és a hozzá nem értés rémlik, nem ma volt, évekkel ezelőtt, amikor még volt a rokonságban könyvelő, aki ezekkel szívott. De csodálkoznék, ha jelentősen javult volna a szolgáltatás színvonala.

"Az e-Szignó windowsos kliens kinézete tényleg puritán."

Hát, az utoljára Windows 3.1-ben használt ikonkészletet, layout-ot és működésmódot lehet így is hívni. :D

--
https://iotguru.live

Valami főzött romot használtál? Nálam ez teljesen jónak tűnik épp egy hardreset után: https://prnt.sc/lu2w7p
"ami máshol automatikus, azzal..." - nem egy ssl cert igénylése a téma egy random weboldalhoz. :D
A MÁV-os sztorit keresem... de csak ezt találtam, ahol ha jól értem, lejárt a tanúsítvány: https://szagertoivelemeny.blog.hu/2016/01/07/a_mav_es_az_elektronikus_a…
Nincs valami linked?

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Tudsz mondani a PDF olvasóra egy példát? Esetleg lett már ez a hiba jelezve a Netlocknak?
Amiket ismerek, azok között kétféle van: a Windows tanúsítványtárát használja vagy saját tanúsítványtárat használ. Ha az utóbbi, akkor simán el tudom képzelni ezt a hibát. Adobenél tudom, hogy saját tanúsítványtár van. Ott benne van a Microsec és a Netlock root CA-ja is.

Javanál kézzel kell importálni. Oracleből simán kinézem, hogy egy rakás pénzt kérne azért, hogy a tanúsítvány bekerüljön.
A biztonságos megoldás, ha beállítod, hogy milyen CA-kat fogadsz el az alkalmazás szerverben/alkalmazásban. Sehol se a default truststoret használták, amikkel eddig találkoztam.

> The Oracle Java Root Certificate program is in a steady state and generally not accepting new participants. Only widely recognized Certificate Authorities with a significant customer base and global reach should consider applying.

A (főleg) magyar piac significant méretű customer base és global reach?

nem, valójában az oldaná meg a problémát, ha az {Oracle,Apple,Google,Microsoft,amerikai tech cégek} nem tennének magasról a CEE piacra, ami viszont nyilván sosem fog megtörténni a CEE piac mérete és fragmentáltsága miatt

nem kell mosdatni az Oracle-t sem, másnak sikerült berakni magyar root CA-kat a termékeibe

"Aha. Értem. Jó ötlet, de szerintem ezt senki nem fogja bevállalni, feltéve ha nem teljesen őrült."

Ha körülnézel a világban, akkor látod, hogy egy csomó példa van erre.

"Javasolt olvasmány a Symantec CA sztori: https://wiki.mozilla.org/CA:Symantec_Issues"

Speciel ezt a Symantec úgy művelte, hogy volt Root CA-ja...

--
https://iotguru.live