Support for PKCS11
[datovka #657746]:
Pridanie podpory certifikátov uložených nielen v PFX súboroch, ale aj na tokenoch/čipových kartách, ideálne cez multiplatformný štandard PKCS#11. Na Windows by sa navyše možno hodila aj podpora systémového úložišťa (My/Personal certificates, prýstup cez konzolu certmgr.msc) cez rozhranie CAPI alebo CNG.
[datovka #1271832]:
Rad dych se zeptal, zda neuvazujete implementaci PKCS11 pro „poskytnuti“ certifikatu pro prihlaseni. Vyuzivam i elektronicky podpis a nakolik je pro nejvyssi duveru podpisu vyzadovan kvalifikovany prostredek (uloziste), logicky mam i komercni certifikat ulozen s kvalifikovanym na tomto zarizeni ...
Elektronicky podpis pouzivam jiz roky, ala datovou schranku mam od letosniho roku, takze se seznamuji s moznostmi. Primarne pracuji na Linuxu, ale mam dual boot s Windows („nezahodil“ jsem licenci, ktera byla s HW) ...
Zatim pouzivam datovku jen na Linuxu, ale neni vyloucene, ze bych vyuzival i na Windows. Jeste nez jsem nasel datovku, mel jsem na Windows jiz rozchozeny signer od 602 (primarne kvuli kvalifikovanemu podpisovani - vyuzil jsem akci z„darma pro skoly a osvc“ - https://www.602.cz/signer-pro-skoly-a-osvc-zdarma ). Nicmene co jsem zkousel poslat par zprav, sedi mi vice datovka nez signer na spravu DS.
Chapu, ze vetsina lidi ma datovou schranku prave proto, aby mohli komunikovat s urady (Electronic Registered Delivery Service) a nemuseli si kupovat na komercni bazi authentikacni prostredky kvuli podpisum (Qualified Electronic Signature), pripadne casove znacky (Qualified Timestamp)...
Jinak datove schranky funguji jiz delsi dobu a do cca 2018 "stacilo" na kvalifikovany certifikat / respektive na podpis uvorne kvalifikovany mit ulozen klic v souboru. I pokud by nekdo mel certifikat a pouzival ho, pravdepodobne ho mel tak jako tak v souboru. Po roce 2018 jiz pro uroven podpisu "kvalifikovany" musi byt klic vygenerovan (nestaci ani import) primo v kvalifikovanem zarizeni (token, karta, HSM). Jak jsem zminoval v puvodnim mailu, pokud to nekdo pouziva, je jiz i logicka varianta "pridat" kvalifikovany certifikat na toto zarizeni (v pripade komercniho certifikatu staci import)... Potencialni problem by nastal, pokud by nekdo vyuzil pro zjednoduseni generovani zadosti nastroje poskytovatelu (postsignum ma sve iSignum, Ica ma webovou aplikaci na generovani zadosti) a zvolil by ulozeni primo na takovem zarizeni - v tom pripade dochazi jiz i ke generovani klice primo v zarizeni neni jiz z principu mozne takovy klic vyexportovat... V pripade pristupu pres webove rozhrani to neni problem, nakolik prohlizec dokaze takovy certifikat zpristupnit - at jiz pres pkcs11, nebo v pripade Windows skrze svou sluzbu registrovanych certifikatu (kdy klic muze byt i na hw zarizeni, tedy mimo samotny system).
Jinak koukal jsem, ze moznost prihlaseni s bezpecnostnik kodem ma na male : "Přihlášení bezpečnostním kódem nebude do budoucna podporováno. Doporučujeme přechod na přihlášení Mobilním klíčem."
Jak jsem psal, da se s tim zit, jen je potreba negenerovat takovy klic primo na danem tokenu / karte, co pro me neni problem, ale mozna by to stalo za zminku v dokumentaci. Pokud byste to vyhledove pridali, urcite bych se nezlobil. Kazdopadne v takovem pripade bych ale nechal moznost "vybrat" externi modul / knihovnu pro zpristupneni daneho PKCS11 zarizeni (.so, .dll,...).
Jinak ja osobne pouzivam TokenME (bit4ID) od postsignum a StarcOS kartu od ICA - oboje jsem vicemene rozbehal pod linuxem.
Pokud bych mohl jakkoli pomoci (treba i s testovanim), klidne se na me obratte.