KDirSign / KDirVerify, podrobny návod KDirSign Program KDirSign je určen pro ověření výsledku zeměměřické činnosti v elektronické podobě podle § 18 odst. 5 vyhlášky č. 31/1995 Sb. Zajišťuje vytvoření textového souboru s otisky souborů tvořících ověřovaný výsledek, jeho opatření externím elektronickým podpisem a externím časovým razítkem. Program není určen k ověření geometrického plánu ve formátu pdf. Pro úspěšné ověření (podepsání a připojení časového razítka) a následnou úspěšnou verifikaci (tj. ověření platnosti a pravosti podpisu a časového razítka) je třeba zajistit: 1) Kvalifikovaný certifikát vydaný akreditovaným poskytovatelem certifikačních služeb (dále jen „certifikační autorita“)- viz http://www.mvcr.cz/clanek/prehled-udelenych-akreditaci.aspx, který obsahuje údaje o úředně oprávněném zeměměřickém inženýru (viz kapitola „Záznam údajů o ÚOZI“). Certifikát musí být uložen ve formátu PKCS#12 (obvyklé přípony *.PFX a *.P12). 2) Možnost žádat o kvalifikovaná časová razítka (opět od akreditovaných poskytovatelů), s dobou platnosti alespoň 5 let od okamžiku vydání (platnost je daná obdobím platnosti certifikátu vystavujícího serveru). To vyžaduje znalost následujících údajů (sdělí příslušná certifikační autorita): URL TSA (adresa serveru vydávajícího časová razítka) Způsob ověření žadatele (tj. certifikátem nebo pomocí jména a hesla). 3) Správné vyplnění údajů v nastavení programu KDirSign. S velkou pravděpodobností bude záležet na každém znaku (malá/velká písmena apod.). Chybné vyplnění končí nevydáním časového razítka certifikační autoritou a tím neověřením výsledku zeměměřické činnosti! KDirSign ukládá nastavení do souboru signConfig.txt v adresáři aplikace. Pro uložení nastavení musí mít uživatel právo zapisovat do tohoto adresáře. KDirSign je tzv. „portable aplikace“, tj. nevyžaduje instalaci (stačí dekomprese) a lze jej přenášet např. kopírováním nebo umístit na flash-disk.
Popis nastavení Nastavení umožňuje zvolit mezi prostým vytvořením textového souboru s otisky, vytvořením textového souboru s jeho podepsáním, nebo vytvořením textového souboru s jeho podepsáním a opatřením časovým razítkem. Podle volby se zpřístupní (přestanou být neaktivní) příslušná pole formuláře. Program umožnuje uložení hesel. Obě hesla, tj. heslo k souboru .PFX s osobním certifikátem a heslo pro ověření u TSA (podle nastavení způsobu ověření u TSA použité buď jako heslo k uživatelskému jménu nebo jako heslo k .PFX s certifikátem pro ověření u TSA) budou chráněna (zašifrována) jedním heslem, označovaným jako „master“ heslo. Bez znalosti tohoto hesla není možné uložená hesla dešifrovat, je možné pouze uložená hesla smazat a/nebo uložit nová.
Upozornění: Hesla je vhodné ukládat až po praktickém ověření správnosti nastavení (tj. po úspěšném ověření výsledku zeměměřické činnosti).
Všechna aktivní pole musí být správně vyplněna (viz kapitola „Časté dotazy“)! Pokud není uživateli známo, zda je v síti použit proxy server, je třeba zvolit možnost automatické detekce (nebo žádná proxy), popř. se poradit se správcem sítě.
Postup při ověření výsledku zeměměřické činnosti 1. Ověřovaný výsledek zeměměřické činnosti musí být uložen samostatně v adresáři (složce), tento adresář by neměl obsahovat žádné další soubory, které netvoří výsledek zeměměřické činnosti.
2. Po spuštění programu se tlačítkem vybere adresář s ověřovaným výsledkem zeměměřické činnosti. Program lze spustit také přetažením příslušného adresáře myší na ikonu
spouštěcího souboru programu, čímž je nahrazena nutnost výběru adresáře. Program načte soubory z vybraného adresáře a pomocí hashovacího algoritmu SHA-512 vytvoří otisky těchto souborů. V případě, že ve zvoleném adresáři jsou i soubory, které netvoří výsledek zeměměřické činnosti, je možné tyto soubory vyloučit z ověřování zatržením příslušného políčka. Upozornění: Program tyto soubory nezahrne do ověření, v adresáři však zůstávají. Jejich přítomnost v adresáři však může být nežádoucí (např. z pohledu nechtěného zaslání těchto souborů spolu s ověřeným výsledkem zeměměřické činnosti). Do příslušného pole se vyplní číslo z evidence ověřovaných výsledků, datum se načítá při spuštění ze systémového nastavení počítače. Při ověřování okolo půlnoci je proto třeba dát pozor na správné vyplnění data vzhledem k připojovanému časovému razítku.
3. Po stisku tlačítka se otevře dialogové okno, ve kterém se nastavuje požadovaná akce, umístění certifikátu pro připojení elektronického podpisu a autentizační údaje pro připojení časového razítka (viz odstavec Popis nastavení). 4. Po stisku tlačítka program vyzve uživatele k zadání hesla k certifikátu použitému pro připojení elektronického podpisu a hesla nutného k autentizaci pro připojení časového razítka, popřípadě „master“ hesla (viz odstavec Popis nastavení).
Program vytvoří textový soubor s údaji podle § 18 odst. 5 vyhlášky č. 31/1995 Sb., který opatří externím elektronickým podpisem v podobě souboru s příponou .p7s a externím časovým razítkem v podobě souboru s příponou .tsr. Pokud bylo vše nastaveno správně, bylo dostupné připojení k internetu a server vydal časové razítko, zobrazí se zpráva o úspěchu s detaily časového razítka.
Vytvořené soubory jsou umístěny v adresáři se soubory ověřovaného výsledku zeměměřické činnosti.
Upozornění: Zpráva v této podobě:
NENÍ zpráva o úspěšném ověření výsledku zeměměřické činnosti. Jak naznačuje červený kříž a informace o tom, že časové razítko nemá dostatečnou dobu platnosti, časové razítko sice bylo vydáno, ale nevyhovuje požadavkům zákona.
KDirVerify Program KDirVerify slouží k verifikaci (ověření původnosti) výsledku zeměměřické činnosti ověřeného podle § 18 odst. 5 vyhlášky č. 31/1995 Sb. Program očekává, že jako parametr obdrží název adresáře se soubory výsledku zeměměřické činnosti, který má verifikovat. Nejsnadnější způsob jak toho dosáhnout je „přetáhnout“ adresář na spouštěcí soubor, popř. zástupce KDirVerify. Program načte soubory z adresáře, pomocí hashovacího algoritmu SHA-512 vytvoří otisky těchto souborů a porovná je s otisky uvedenými v textovém souboru. Dále program vyhodnotí platnost elektronického podpisu, časového razítka a zobrazí vybrané informace z obsahu použitého certifikátu, důležité z hlediska kontroly náležitostí ověření. Výsledek verifikace se zobrazí ve formátu .HTML v aplikaci, se kterou je tento typ dokumentu na dané stanici asociován.
KDirVerify v cílovém adresáři hledá:
soubor Overeni_UOZI.txt (a všechny soubory v něm zmíněné; krom toho kontroluje i přítomnost přebytečných souborů) podpis časové razítko
Soubor Overeni_UOZI.txt
musí mít stanovenou strukturu (viz § 18 odst. 6 vyhlášky č. 31/1995 Sb. a webové stránky ČÚZK) jméno v něm uvedené musí odpovídat jménu uvedenému v certifikátu, kterým bylo podepsáno datum v něm uvedené musí odpovídat datu v časovém razítku
hashe souborů v něm uvedených musí odpovídat souborům přítomným při ověření o soubory se mezi tím nesmí změnit o soubory nesmí chybět (soubory zmíněné v Overeni_UOZI.txt musí být přítomné) o soubory nesmí přebývat (adresář nesmí obsahovat soubory nezmíněné v souboru Overeni_UOZI.txt; výjimkou jsou soubory s podpisem, razítkem a samotný Overeni_UZOI.txt)
Podpis
musí být ve formátu PKCS#7 musí odpovídat souboru Overeni_UOZI.txt certifikát použitý k podpisu musí o být platný ještě 24h po doručení (vzhledem k tomu že publikace odvolání certifikátu na CRL může mít tuto prodlevu) o být vydaný akreditovaným poskytovatelem certifikačních služeb obsahovat údaje o ÚOZI (viz kapitola Záznam údajů ÚOZI)
Soubor s podpisem může volitelně obsahovat i časové razítko, potom by další časové razítko ve zvláštním souboru bylo zbytečné.
Časové razítko
musí být [pro „externí“ časové razítko mimo .P7S soubor] ve formátu TimeStampResponse resp. TimeStampToken (obvykle přípony .TSR resp. TST) musí [pro „externí“ časové razítko mimo .P7S soubor] odpovídat souboru Overeni_UOZI.txt nebo souboru s el. podpisem musí platit alespoň 5 let od vydání musí být vydáno akreditovaným poskytovatelem certifikačních služeb
KDirVerify se snaží soubor s podpisem a popř. časovým razítkem najít.
Pokud je v adresáři nalezen jen jeden soubor .P7S, předpokládá se že obsahuje podpis i razítko. Pokud je v adresáři nalezen jen jeden soubor .P7S a jen jeden soubor .TSR/.TST, předpokládá se že podpis je v .P7S a razítko v druhém souboru (a patří buď souboru Overeni_UOZI.txt nebo souboru s podpisem) Jinak se program nabídne výběr souborů s podpisem a razítkem (výběr stejného souboru pro podpis i razítko vytváří předpoklad, že by mělo jít o .P7S se zahrnutým podpisem).
Záznam údajů o ÚOZI Údaje o ÚOZI se v certifikátech nacházejí na různých místech a v různé podobě. Program proto hledá „zlomky záznamů“ (více níže) na několika místech
v části Alternate Subject Name, pole „Other Name“ (v běžných nástrojích zpravidla nečitelné prostým zrakem, viditelné jen jako sekvence hexadecimálních čísel) v části Subjekt
Z pohledu programu „ideální“ záznam obsahuje (pokud možno pouze) následující: „Úředně oprávněný zeměměřický inženýr, rozsah oprávnění: X, číslo oprávnění: XXXX/YYYY“. Zmiňované „zlomky záznamů“, které musí být nalezeny (program počítá s variantami velikosti písmen, rozdílnými oddělovacími znaky apod.):
Zkratky „UOZI“ nebo „ÚOZI“, nebo slova „úředně“ „oprávněný“ „zeměměřický“ a „inženýr“ slova „číslo“ nebo „položka“ (takže kromě „číslo oprávnění“ akceptuje i variantu „položka seznamu oprávnění ČÚZK“ apod.) slovo „rozsah“
Pokud program detekuje alespoň předchozí údaje, zobrazí všechna pole, ve kterých byl objeven zlomek záznamu. Konečná kontrola je ponechaná lidskému zraku.
Formát souboru Overeni_UOZI.txt Formát textového souboru je stanoven sdělením zveřejněném na webových stránkách ČÚZK. Verifikace vychází striktně ze stanoveného formátu. Program KDirVerify přitom počítá s běžnými kódováními souboru:
UTF-8 (jak varianta s BOM, tak bez BOM, tj. obě možné podoby UTF-8) ISO-8859-2 CP-1250 (také známé jako Windows-1250)
Program KDirVerify očekává konce řádků:
CR/LF (DOS/Windows varianta) LF (unix varianta)
V souladu se stanoveným formátem program očekává, že: 1. První řádek souboru obsahuje větu: Náležitostmi a přesností odpovídá právním předpisům. 2. Na druhém řádku je „číslo z evidence ověřovaných výsledků“, např.: 1234/5678 3. Na třetím řádku je datum ve formátu „DD. MM. RRRR“ (tedy „Den. Měsíc. Rok“, a to čísly; údaj program porovnává s datem v časovém razítku, které je připojeno), např.:
1. 7. 2014 4. Na čtvrtém řádku je jméno ÚOZI (údaj program porovnává s údajem v certifikátu), např.: Ing. František Brambora, Ph.D. 5. Na pátém řádku je oddělovací znak - čtyři pomlčky: ---6. Další řádky obsahují název souboru (relativní vzhledem k podepisovanému adresáři) a jeho SHA2-512 hash, např.: nazev_souboru.pripona;e4e3bbd939c430ab8d96d4cebe8eb5c7f62321216bd47b9fa9f2f2340 15910fbe66750de568a614b630a4bbef36d7e222f859f6e08d1083bf0ec0fc07ed87560 dalsi_soubor.vfk;c4c0360732d2442ed2958523dd4f34c041f82c54cfb23bf49fa388fa32e9d86a e5e326f9b3d485884d5e5d57f99ccbee7c6b4f92dec78f53f4f127c3ddd825fa Za posledním řádkem může, ale nemusí, následovat znak konce řádku.
Časté dotazy / problémy
1) Podporuje KDirSign jiné úložiště certifikátů než PFX? Ne, KDirSign podporuje pouze úložiště podle PKCS#12 (obvyklé přípony souborů: .pfx nebo .p12). 2) Ale vždyť soukromý klíč musím mít uložený na tokenu... Údajně tomu tak má být v budoucnu. V současnosti takový požadavek není aktuální. 3) Ale jak mám podepsat, když mám klíč na tokenu, to pak nemohu KDirSign použít? Program KDirSign je možné použít k vytvoření souboru Overeni_UOZI.txt. Podpis (ve formátu .P7S / externí el. podpis podle PKCS#7) je pak možné připojit libovolnou jinou aplikací, která podporuje Váš token. Obdobně i časové razítko. 4) Nedaří se mi podepsat Pravděpodobně program neobdržel certifikát ve formátu .PFX. Pokud nevíte jak vyexportovat .PFX soubor, vyhledejte si na internetu slova „Záloha certifikátu“. Výsledný .PFX soubor je potom použitelný nejen jako zdroj certifikátu pro KDirSign, ale take jako případná kompletní záloha, ze které můžete cert + soukr. klíč v případě potřeby obnovit / nainstalovat na další počítač. 5) Podpis prý není důvěryhodný Pokud jste si jistí tím, že máte kvalifikovaný certifikát podepsaný důvěryhodnou CA (http://www.mvcr.cz/clanek/prehled-udelenych-akreditaci.aspx), mohlo by jít o to, že jste použili .PFX se zálohou soukromého klíče (kterou CA velice rozumně nabádají provést při žádosti o certifikát). Zálohu soukromého klíče z doby žádosti nelze použít, neobsahuje totiž důvěryhodný (od CA podepsaný) certifikát. Obsahuje tzv. self-signed certifikát (certifikát podepsaný sám sebou), který je později nahrazen importem důvěryhodného certifikátu vystaveného CA. Teprve po té, co je soukr. klíč spárovaný s důvěryhodným certifikátem je možné vyexportovat .PFX které bude obsahovat jak soukromý klíč, tak důvěryhodný certifikát. 6) Podpis prošel, ale stále se mi nedaří vyžádat časové razítko Pravděpodobně nemáte nastaveny správné údaje pro ověření u TSA, máte špatně URL TSA, nebo nemáte aktivovaný účet u TSA. Zkuste o razítko požádat pomocí programu poskytovaného Vaší CA (např. Postsignum TSA klient, I.CA QTSA Klient ...).
Neúspěch konzultujte s technickou podporou Vaší CA (ta by měla být schopná bez problémů podporovat svůj vlastní program). Jakmile budete mít fungující nastavení, stačí ho správně přepsat do KDirSignu. Nežádejte o podporu/radu pokud Vám časové razítko nepůjde vystavit z aplikace poskytované / podporované Vaší CA, v takové chvíli Vám nikdo jiný než Vaše CA nepomůže. 7) Neukládá se mi nastavení Nejspíš nemáte právo zapisovat do adresáře, ve kterém je KDirSign (konkrétně vytvořit/ zapsat do souboru signConfig.txt). Nepříliš obvyklý omyl je spouštění aplikace rovnou z archivu, ve kterém ji stáhnete. Program, ve kterém archiv otevřete, ho rozbalí do náhodného adresáře, ve kterém se konfigurace také uloží. Ovšem při dalším spuštění je program rozbalený do nového náhodného adresáře, ve kterém soubor s konfigurací není. Řešení: rozbalte aplikaci do nějakého adresáře, odkud ji budete spouštět. Potom svou konfiguraci najde. 8) Nechci nebo nemůžu použít KDirSign Program KDirSign byl vyhotoven pro potřeby resortu ČÚZK a odpovídá potřebám a vybavení tohoto resortu. Program byl uvolněn k využití i pro jiné subjekty, ale využití tohoto programu není a nemůže být nijak vynucováno. K vyhotovení textového souboru a opatření jej podpisem a časovým razítkem je možné využít libovolné existující nebo ad hoc vyhotovené nástroje.
