Problémové zřízení elektronického podpisu

Dnes jsem konečně naznal, že přišel čas zřídit elektronický podpis - ano, ten od České pošty. Je to mnohem jednodušší, než kvůli každé blbosti běhat na czechpoint a ještě posílat doporučený dopis (je to nudné, zdlouhavé a ještě ke vsemu vyžaduje ruční vypsání adresy). Zřízení je (na poměry tohoto státu) kupodivu celkem jednoduché. Zřizoval jsem elektronický podpis pro nepodnikatele.

Zřízení a nastálé problémy

Nejdříve je třeba vytisknout smlouvu (2x - jedna pro vás, jedna pro poštu) a list s údaji pro vydání certifikátu (1x). Vše je možné stáhnout z webu [postsignum. Jedná se o PDF formuláře - snadno je tedy vyplníte na PC, vytisknete, podepíšete a vydáte se na poštu. Tady začaly problémy. Na poště mě obsluhovala paní, která podpis/certifikát ještě nikdy nevydávala. Takže jsem se stal exemplářem při zaučování další paní z pošty. Tím se vše protáhlo na cca 30-35 minut. Pro zřízení dále potřebujete dva doklady (OP/pas + řidičák, pas, rodný list) a vygenerovanou žádost (.req) na flash disku.

Generování žádosti na Linuxu je možné pomocí OpenSSL:

openssl req -out request.req -new -newkey rsa:4096 -keyout privatekey.key

Na flashce mějte raději pouze daný soubor, jelikož jej prověřují antivirovou kontrolou (jako by to něčemu pomohlo, že...). Po všech podpisech byla práce hotova, já zaplatil 396,- (pouze v hotovosti, na to pozor) a dostal vygenerovaný certifikát na flashce. Jak asi tušíte, po příchodu domů jsem zjistil, že na flashce certifikát není, takže jsem jej musel stáhnout z e-mailu, který je použit jako záložní kanál. Flashka byla formátována na NTFS, takže nechápu, proč tam certifikát nebyl (že by jej neuměly nakopírovat?).

Instalace do počítače a mega průser

Váš certifikát není důvěryhodný - nelze s ním tedy dobře pracovat. Je třeba nainstalovat kořenové certifikáty PostSignum. No a tady nastává ten průser. Certifikáty můežete stáhnout z jejich webu. Můžete si všimnout, že se stahují pomocí nezabezpečeného protokolu http - certifikáty je tedy možné velice snadno podvrhnout, což si ani nemůžete zkontrolovat, jelikož na webu nejsou ani MD5 součty daných souborů (a ani web není na https, takže je to vlastně jedno). Pro jistotu tu uvádím sha256 potřebných souborů, takže ironicky řečeno si můžete zkontrolovat, že vám falešné certifikáty podhodil někdo jiný než mně.

postsignum_qca2_root.pem
952729291c6d55ef53e7b6ee220704f1f400561ed8b7a6de047a29c11e27e0c2

postsignum_qca2_sub.pem
991978cb1832bf67b2e15e7108cd0a4112eec8aa7e150ba9897f0d8311b77eec

postsignum_qca3_sub.pem
04cb2e112e00c0ca1f353bc7c23b19df4d16b9624e1863600b933e00a71db81e

Pro podepsání dokumentů používám LibreOffice (umí dokonce export odt -> pdf a pdf podepsat). LibreOffice si certifikáty k podpisu tahá z Thunderbirdu, případně Firefoxu. Do Thunderbirdu je tedy třebá importovat kořenové certifikáty (do Authorities) a váš certifikát ve formátu pfx. PFX vytvoříte opět pomocí OpenSSL, kde privatekey je privátní klíč (vzniknul při žádosti) a certificate.pem je certifikát, který dostanete na poště:

openssl pkcs12 -export -out cert.pfx -inkey privatekey.key -in certificate.pem

Takto vytvořený soubor importujete do Your Certificates.

Pokud se nezdaří import (proběhne bez chyby, ale přesto certifikát není naimportován), smažte soubor ~/.thunderbird/something.default/cert8.db. Přijdete tak o doposud uložené certifikáty v Thunderbirdu, na to pozor. Jiné řešení chyby s importem bohužel neznám.

Podepisování dokumentu

Podepisování odt souboru je jednoduché - "podepisovací" okno vyvoláte ve Writeru pomocí "File -> Digital Signatures". Pro podepsání exportovaného PDF je nutné spustit "File -> Export to PDF" a na kartě Digital Signatures zvolit požadovaný certifikát pro podpis.

(NE)Bezpečnosti s PostSignumm zdar...