MJU Vlada RS SIGEN-CA Overitelj na MJU English

SPLOŠNA VPRAŠANJA

   

Vprašanje: V kakšni obliki dobim potrdilo?

Odgovor: Prevzem digitalnega potrdila je mogoč z referenčno številko, ki jo dobite po e-pošti in avtorizacijsko kodo, ki jo prejmete s poštno pošiljko.

Za prevzem spletnega potrdila se povežete na stran za prevzem digitalnega potrdila in začnete s postopkom prijave. Postopek prijave je podrobno opisan v "Navodilih za prevzem spletnega kvalificiranega digitalnega potrdila SIGEN-CA", ki ste ga prejeli ob vložitvi vloge.

Prevzem posebnega digitalnega potrdila opravite po navodilih.


 

 

 

 

Vprašanje: Kdaj bom potrdilo dobil?

Odgovor: V roku 10 delovnih dni po vložitvi vloge na prijavni službi SIGEN-CA boste od SIGEN-CA prejeli referenčno številko preko e-pošte in avtorizacijsko kodo s poštno pošiljko. Obe številki potrebujete za prevzem vašega digitalnega potrdila, kar opravite prek svojega brskalnika v 60 dneh.


 

 

 

 

Vprašanje: Zakaj tako komplicirate? Zakaj moram hoditi na upravno enoto, ko pa bi mi lahko poslali eno številko po e-mailu, pa bi bila zadeva rešena...

Odgovor: Digitalno potrdilo SIGEN-CA je neke vrste elektronska osebna izkaznica. Če bi potrdilo lahko dobili prek zahtevka po elektronski pošti, bi prihajalo do zlorab, saj nihče ne preverja, kdo se skriva za nekim elektronskim naslovom. Tako bi lahko kdo zahteval in dobil digitalno potrdilo v vašem imenu, ne da bi vi to vedeli. Kraja identitete je v internetu vedno hujši problem.

Potrdila SIGEN-CA so kvalificirana, kar pomeni, da je elektronski podpis, narejen s takim potrdilom, enakovreden lastnoročnemu.
Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) v 31. členu določa: Overitelj, ki izdaja kvalificirana potrdila, mora s pomočjo uradnega osebnega dokumenta s fotografijo za fizične osebe ali z uradno potrjenimi dokumenti za pravne osebe zanesljivo ugotoviti identiteto in druge pomembne lastnosti osebe, ki zahteva potrdilo.

Da zmanjšamo možnost, da bi nekdo drug prevzel vaše potrdilo, Vam geslo za prevzem pošljemo ločeno na dva dela - en del na elektronski naslov in en del s poštno pošiljko, oboje na naslova, ki ste ju navedli na prijavnici.



 

 
Vprašanje: Kje lahko po varni poti preverim prstni odtis sha1 vašega overiteljskega potrdila (CA certificate sha1 fingerprint/thumbprint)?

Odgovor: Podatki o overitelju SIGEN-CA (med drugim tudi prstni odtis potrdila) so dostopni na naslovih:
https://www.sigen-ca.si/ - prek varne povezave
http://www.sigen-ca.si/identiteta.php - prek navadne povezave.


 

 

 

 

Vprašanje: Ali potrebujem pametno kartico in kako jo dobim?

Odgovor: Pametna kartica je medij za shranjevanje zasebnega ključa, ki je del digitalnega potrdila. Izdajatelj digitalnih potrdil uporabo pametne kartice priporoča, saj se tako poveča varnost uporabe digitalnega potrdila. Digitalno potrdilo je lahko nameščeno na zunanjem mediju npr. pametni kartici, ali pa v shrambi brskalnika, kjer je varnost uporabe manjša. Za pametno kartico se lahko odločite sami, predvsem iz varnostnih razlogov. Celoten strošek za nabavo ustrezne opreme (kartica, programska oprema in ustrezen čitalec) se giblje do 60 evrov. V primeru, da čitalec že imate, potrebujete samo še kartico.

 

 

 

 

Vprašanje: Skrbi nas navedba na strani http://www.sigen-ca.si/prevzem-posebno.php, kjer piše " Posebna digitalna potrdila SIGEN-CA lahko uporabljate za šifriranje, digitalno podpisovanje in varno brisanje datotek s pomočjo programskega paketa Entrust Desktop Solutions. V ta namen morate naložiti programsko opremo Entrust Desktop Solutions. ".

  • Ali programska oprema Entrust Desktop Solutions deluje tudi pod drugimi operacijskimi sistemi poleg Oken?
  • Ali je možno uporabljati drugačno (kompatibilno) programsko opremo za uporabo posebnih kvalificiranih digitalnih potrdil, na primer Pretty Good Privacy ali GNU Privacy Guard?

Odgovor: Obstaja več različnih sistemov zagotavljanja verodostojnosti imetnika javnega ključa: PKI, PGP, SPKI, ...

Za zagotavljanje verodostojnosti imetnika javnega ključ je najprimernejši sistem PKI s skupnim overiteljem, ki se lahko povezuje z overitelji drugih področij oziroma držav. Take overitelje omenjajo tudi zakoni o elektronskem poslovanju, ki so bili sprejeti do sedaj (nemški, avstrijski, italijanski, slovenski, ...). PGP uporablja sistem mreže zaupanja (web of trust), kjer ni nekega skupnega overitelja in gre za samopodpisana (self-signed) digitalna potrdila, ki si jih med seboj izmenjujejo uporabniki.

Overitelj na Ministrstvu za javno upravo RS za informatiko je overitelj, ki izdaja digitalna potrdila po priporočilih PKI. Jamči za verodostojnost digitalnih potrdil, ki povezujejo imetnikov javni ključ in njegove podatke, in izda digitalno potrdilo v obliki X509v3. Potrdila in seznami preklicanih potrdil se hranijo v imeniku po standardu X.500, ki je dosegljiv po protokolu ldapv2 in ldapv3.

Izdajatelj digitalnih potrdil SIGEN-CA overitelja na MJU izdaja dve skupini kvalificiranih digitalnih potrdil:

  • "spletna" so namenjena za uporabo v spletu po protokolih SSL oziroma TLS ter S/MIME. Programska oprema za ta potrdila mora znati tvoriti par 2048-bitnih ključev po algoritmu RSA , zahtevek za digitalno potrdilo po priporočilu PKCS#10 ter vključiti potrdilo, ki ga dobi podpisano od SIGEN-CA v formatu PKCS#7. To pa so priporočila, ki jih podpira večina brskalnikov in spletnih strežnikov.
  • "posebna" so namenjena predvsem uslužbencem oziroma aplikacijam v državni upravi. Ta oprema mora podpirati ločena para ključev za podpisovanje in šifriranje. Omogočati mora tudi, da se da zasebni ključ za šifriranje restavrirati, če postane neuporaben. To je potrebno zato, da ne bi izgubili pomembnih službenih zašifriranih podatkov. Uporabniki na svojih delovnih postajah zaenkrat uporabljajo programsko opremo Entrust/Entelligence, ki deluje na Oknih (95, 98, 2000, NT), poleg tega še na Macintosh Power PC od 7.5 navzgor. Starejša različica te opreme Entrust/Client deluje tudi na unix sistemih.

Vse o lastnostih digitalnih potrdilih SIGEN-CA:
profil kvalificiranih digitalnih potrdil in registra preklicanih potrdil

Sporočila v obliki S/MIME so standardna, ne glede ali se uporabi "spletno" ali "osebno" digitalno potrdilo. Tako lahko sporočilo, podpisano in/ali šifrirano s spletnim digitalnim potrdilom, odšifrira oziroma preveri podpis odjemalec, ki uporablja posebno digitalno potrdilo.

Programska oprema PGP ali GNU Privacy Guard ni kompatibilna s standardi PKI, lahko pa, da bo v prihodnosti. Nekaj poskusov v tej smeri je že bilo.



 

 

 

 
Vprašanje: Kaj pomenijo izrazi: ASN.1, DER, base64, PEM, PKCS#7, PKCS#10, na katere naletimo ob opisih digitalnih potrdil oziroma zahtevkov zanje?

Odgovor:

ASN.1

Abstract Syntax Notation One

je del sistema OSI (Open Systems Interconnection) za komunikacijske standarde. ASN.1 je neke vrste jezik za opis strukture podatkov. Možno je določiti enostavne tipe podatkov (integer, bit string, ...) ter sestavljene (set, sequence, ...).

DER

Distinguished Encoding Rules
Ta pravila določajo, kako vsak objekt, predstavljen v notaciji ASN.1, na en sam način predstavimo kot zaporedje oktetov (8-bitov). Je podmnožica pravil BER (Basic Encoding Rules), kjer pa za isto vrednost ASN.1 lahko dobimo več rezultatov in zato niso primerna za področje šifriranja podatkov.

base64

Da bi se izognili težavam pri prenosih prek različnih naprav v internetu, se je uveljavil način prekodiranja base64:

zaporedje 3 oktetov (24 bitov) razdelimo na 4 sklope po 6 bitov. Dobimo 4 števila v vrednostih 0 - 63, te pa pretvorimo v znake, ki jih vse naprave interpretirajo enako in se jih da izpisati:

   0 - 25  :  A - Z (angleška abeceda)
  26 - 51  :  a - z
  52 - 61  :  0 - 9
       62  :  +
       63  :  /

Nepopolne bloke zapolnimo z znaki =.

PEM

Privacy Enhanced Mail

V RFC 1421 - 1424 so določeni postopki za šifrirano pošiljanje sporočil.

Če gledamo samo digitalna potrdila, pa PEM pomeni DER, prekodiran na način base64, ki mu dodamo začetno in končno oznako, n.pr.

-----BEGIN CERTIFICATE----- in -----END CERTIFICATE-----.

PKCS

Public Key Cryptography Standards (zdaj 1 - 15, se dopolnjuje)

je pripravilo podjetje RSA Security za razvijalce računalniških sistemov, ki uporabljajo asimetrične kriptografske algoritme.

PKCS#7 določa sintakso za kriptografsko obdelane podatke, kot so digitalni podpisi in digitalne ovojnice. Uporablja se n.pr. za pošiljanje digitalnih potrdil in seznamov preklicanih potrdil.

PKCS#10 določa sintakso za zahtevek za overitev javnega ključa, imena in drugih atributov.

PKCS#12 določa sintakso za prenos posebnih podatkov, ki vključujejo zasebni ključ in digitalno potrdilo. Tako lahko prenesemo (izvozimo) svoj zasebni in javni ključ ter pripadajoče digitalno potrdilo na drug računalnik ali pa naredimo rezervno kopijo.

PKCS#11 in PKCS#15 določata standarde za uporabo pametnih kartic in podobnih naprav za hranjenje kriptografskih ključev in izvajanje kriptografskih operacij.

 


 

Morebitna vprašanja pošljite na .

© Overitelj na Ministrstvu za javno upravo RS