Elektronikus aláírás / online jóváhagyás

Fórumok

Sziasztok!

Online "jóváhagyó" rendszert keresek, amivel az alábbi munkafolyamat valósítható meg: iktató személy a bejövő számlát feltölti > megfelelő jóváhagyókat kiválasztja > ők ezt emailen megkapják > bármiféle letöltés / varázslás nélkül 2 kattintással aláírják a személyünkre kiállított digitális aláírással (mindenféle trusted persze) > visszakerül az iktatóhoz digitálisan aláírva.

Sajnos az a mód nem játszik, hogy letölti a PDF-et, és akár Adobe Acrobat-al (vagy bármilyen más desktop programmal) beilleszti a tanúsítványát. Nem elég faék.

A DocuSign már nagyon közel áll a jóhoz, már csak azt az opciót nem találom, hogy a más szolgáltatótól megvásárolt tanúsítványomat be tudjam importálni a rendszerükbe és azt használni alásírásra, ne a "DocuSign, Inc" tanúsítványukkal legyen a doksi hitelesítve.

Management nem beszél magyarul, így csak natív angol szolgáltatás játszik.

szerk: self hosted is jó, fizetős is jó, a lényeg a kinyomtatás > aláírás > visszascannelés folyamatának egyszerűsítése, de ha már ott vagyunk, akkor legyen az a digitális aláírás tisztességes és emberhez köthető.

Hozzászólások

Mégis, hol tárolnád a privát kulcsát a tanúsítványokhoz tartozó kulcspárnak? Nagyon veszélyes terep az összes ember privát kulcsát egy helyen tárolni, majd azt mondani, hogy a rendszer annyira biztonságos, hogy illetéktelen nem tud a nevedben aláírni.

Az AVDH sem csinál ilyet (hasonló, mint a DocuSign, csak kormányzati), csak a saját privát kulcsát ismeri, azzal tud aláírni, és hozzáilleszti egy mellékletben, hogy kinek a nevében írta alá KAÜ azonosítás után.

Nálunk Finnországban már sok éve olyan rendszer van, hogy az ember a ebankos azonosítójával azonosíthatja magát. Ezt a szolgáltatást az összes bank elektronikus rendszere tudja, hogy a bank felé pontosan hogyan azonosítja magát az ember, az bank függő (pl token, pinkártya, mobilos app, stb.) 

Erre a rendszerre egyre több szolgáltatás épül rá, kezdve az összes állami irathalmot (pl adóbevallás, végalapítási iratok, stb) digitálisan így kell aláírni (fizikailag sokszor nem is lehet), de újabban már a magánszerződéseket is így írjuk alá. Az ember kap egy linket a szolgáltatásból, az átdob a banki beléptető rendszerbe, az azonosít, visszadob a dokumentumkezelőbe, ott rákattintok, hogy aláírom, és letölthetem, vagy emailben megkapom az aláírt PDFet én is, meg a másik (többi) szerződő fél is. Ez azért is jó, mert az egész könyvelés teljesen elektonikus amúgy is, oda meg eleve PDF kell.

Lehet, hogy ilyen rendszerre Magyarországon is lenne igény, meg piac, és ez pont megoldaná a hol tárolom a kulcsokat problémát nem? Pl az ügyfélkapu azonosítás nem ad ilyen szolgáltatást 3rd party felé, ami alapján böngészőből alá lehetne írni a dolgokat?

Az sem emberrel ír alá, hanem mint fentebb írtam, a saját aláírását rakja rá, meg egy PDF csatolmányt ad, amiben benne van, hogy kinek a nevében írta alá. Próbáld ki.

Ha meg ASIC módon írsz alá (mondjuk egyszerre több file-t, vagy mivel több emberről van szó, aláírási láncot akarsz), akkor meg ZIP lesz (az ASIC egy ZIP file) és benne a PDF melléklet.
Például AVDH-val aláírt PDF-et nem tudsz újra aláírni, hogy két aláírás legyen rajta, az ASIC módban megy csak.

A libreoffice friss 6.3-asban is van digitális aláírás lehetőség pdf-re

Ezeknél mindig a privátkulcs-menedzsment a nehéz kérdés. Mert a rendszer biztonságát, megbízhatóságát az adja, hogy a privát kulcsot csak az ismeri, aki a tulajdonosa.
Például Kovács Józsi pribát kulcsát csak Kovács Józsi ismeri, senki más - mert ekkor nem tud (vagyis nagyon-nagyon-nagyon nehezen tud) Kovács Józsi nevében Szabó Béla aláírni. És Szabó Béla lehet egy szoftverrendszer is.
Amint azt mondod, hogy ez legyen "egykattintásos", az azt jelenti, hogy a privát kulcsot vagy ismeri és a memóriában tartja a számítógép, aki az aláírást végzi, vagy a gép, ami az aláírást végzi, tele van dugva olyan secure elemekkel, amin a privát kulcsok vannak, és aláírni is tud. Például Yubikey, vagy PIV Smart Card.

Nem triviális a probléma, és nem a technikai oldala miatt (leprogramozni egy ilyet nem olyan nagy wasistdas egy pluginolható workflow+doclib rendszerben, pl. Alfreco vagy Liferay), a neheze a biztonság, megbízhatóság.

Például az, hogy a szerver filerendszerén, vagy adatbázisában ott vannak a privát kulcsok, és azt mondjuk felhasználótól függetlenül tárolod titkosítva (azaz aki egy jelszót megszerez, megszerzi az összes privát kulcsot), az nem igazán menne át biztonsági auditon.

Mennyire akarsz biztonságos, megbízható rendszert, és mennyire kényelmeset? Mert ami igazány kényelmes, az nem megbízható.

Köszönöm a hozzászólásaidat, az igazat megvallva még nem szerintem nem vagyok az információk 100%-os birtokában, egyrészről mert az új CEO IT területen nem túl képzett, sok még a fogalomzavar, illetve az USA-ban él, ami nem segíti a kommunikáció gyorsaságát. Ha jól értem az ő kérése a következő: ne kelljen a bejövő számlákat letölteni, kinyomtatni, aláírni, scannelni, visszaküldeni, hanem csak 2 kattintással tudja hitelesíteni. Erre a folyamatra amúgy tökéletes a DocuSign, nem kizárt, hogy ebben fogunk megállapodni.

A többi már csak a mi agymenésünk(?), hogy ha már úgyis rákerül egy digitális aláírás, akkor legyen hiteles az által, aki aláírta, ne a valamilyen harmadék fél szoftvere által. Például szerződésnél azért csak nem mindegy, hogy a CEO írja alá a szerződő cég nevében, vagy egy teljesen harmadik fél DocuSign, Inc.

Legjobb lenne biztonsági és kényelmi szempontból DocuSign self-hosted verzió, ahol mégis csak 2 kattintással meg tudja oldani az aláírást, és a privát kulcs se kerülne külső szolgáltatóhoz.

Annak idején azt hiszem erre volt kitalálva a ThinkPad T440/T450-ben a SmartCard reader. A felhasználó a gép oldalába bedugja a kártyáját, amit egyébként fizikailag magával hord a nyakában. Nem tűnik túl nagy durranásnak desktop géphez sem egy kártyaolvasó, a kártya meg a beléptető rendszer miatt úgyis kell.

Hát igen, iktatás excel, ERP egy külsős alkalmazás, ami nem teszi lehetővé a kért jóváhagyó rendszer szolgáltatást. Ők az Andoc nevű szoftvert javasolják, lehet megér egy misét, addig is marad a DocuSign, mert természetesen tegnapelőttre kell. A saját névben aláírt digitális hitelesítés meg valószínűleg leves.

Mostanában én is agyaltam valami ilyesmin, de szerintem sincs rá tökéletes megoldás... ha nem akarsz semmi külön programot, böngészőben kell megoldanod. Egy ideje van a WebCrypto standard (vagy ajánlás, vagy miaszösz...), JavaScriptből elérsz egy csomó kripto primitívet. Speciel X509 cert managementet pont nem (arra mondjuk ott van a pkijs).

A teljes pkijs behúzása nélkül talán úgy kerülhetsz legközelebb ehhez a mókához, ha valami ilyesmi workflowt csinálsz: Béla a kedvenc böngészőjében generál egy kulcspárt, a publikus részét elküldi a szervernek, ami csinál hozzá egy tanúsítványt (ezen a ponton természetesen kezdődik a parttalan jogászkodás, hogy ki ismeri a CA privát kulcsát és milyen feltételekkel ad ki tanúsítványt) és elmenti magának (ehhez valószínűleg bele kell magad ásnod valamelyik x509 lib API-jába, mert userfacing tool csak az aláírt CSR-rel lesz hajlandó dolgozni - pkijs tud CSR-t is generálni, de ugye a cél, hogy ne kelljen behúzni); a kliens gépen meg mondjuk PBKDF2-vel jelszóból generált kulccsal titkosítva elrakod a kulcspárt.

Ezután amikor jön egy kérés, hogy alá kéne írni valamit (e-mail), a levélhez csatolt fájl hash-ét tartalmazó linket is beleteszed a levélbe, azt Béla megnyitja a böngészőjében, a jelszavával megnyitja a gépén tárolt titkos kulcsot, aláírja a hash-t és visszaküldi a szervernek, ami szépen belepakolássza a PDF-be a teljes aláírást (végülis két kattintás, plusz egy passphrase bepötyögés).

A gond ezzel a rendszerrel az, hogy kell, hogy legyen benne két trusted party: a CA kezelője (aki ugye bárkinek a nevében adhat ki tanúsítványt, így bárki nevében aláírhat; külső CA-nál annyi előnyöd van, hogy általában csak nagyon nagy ügyfél tud annyit fizetni, hogy a saját policyjukba ütköző tanúsítványt kiállítsanak, mert ha egy ilyennel bebuknak, kb. bezárhatják a boltot [láttunk már ilyet, na...]) és a szerver (az üzemeltető úgy gondolja, hogy meglepi magát egy yachttal karácsonyra, úgyhogy küld a CEO-nak egy számla aláírási kérést, ahol a csatolt számla szól egy tízezer forintos irodaszer-beszerzésről, a ténylegesen aláírt hash meg a százmilliós yacht számlájához tartozik... Alá van írva? Alá. Érvényes az aláírás? Érvényes. A CEO kulcsával van aláírva? Igen.). Na meg persze feltételezi, hogy mindenki egy gépet (és böngészőt) használ, vagy tudja valahogy mozgatni a tárolt certet biztonságosan az eszközei között... Meg...
De lehet olyan felhasználási mód, amire elég lehet, ha elég körültekintően implementálod.

BlackY

"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

IBM (Lotus) Domin/Notes ezt már 20 éve tudta...

Épp ezt akartam írni, bár a Notes itt erős fujjogást vált ki.

Ennél azt nehéz elmagyarázni a felhasználóknak, hogy miért nem lehet egyszerűen olyan e-mailt írni ami úgy néz ki mintha más írta volna - írja a titkárnő, de látsszon teljesen úgy, mintha a főnök írta volna.