abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 14:00 | Komunita

Na konferenci DevConf.CZ 2020 proběhl workshop věnovaný Fedoře CoreOS. Pro zájemce zůstává popis úkolů s odkazy na požadované soubory k dispozici i po konferenci.

Ladislav Hagara | Komentářů: 0
dnes 13:00 | Zajímavý článek

Na MojeFedora.cz byl publikován článek 5 triků pro lepší práci se správcem souborů Nautilus. Jeden z triků je speciální uri: “admin://” pro procházení souborového systému jako root.

Ladislav Hagara | Komentářů: 2
dnes 07:00 | Nová verze

Po 9 týdnech vývoje od vydání Linuxu 5.4 oznámil Linus Torvalds vydání Linuxu 5.5 (LKML). Přehled nových vlastností a vylepšení na stránce Linux Kernel Newbies. Kódové jméno Linuxu 5.5 zůstává Kleptomaniac Octopus.

Ladislav Hagara | Komentářů: 8
dnes 05:00 | Nová verze

Byla vydána nová verze 0.32.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Vývojáři mpv nedoporučují používat mpv na GNOME na Waylandu. Nejnovější mpv na to přímo upozorňuje (commit).

Ladislav Hagara | Komentářů: 2
dnes 03:00 | Komunita

Před dvěma týdny proběhla v Austrálii konference linux.conf.au 2020 (LCA 2020). Na programu byla celá řada zajímavých přednášek. Jejich videozáznamy jsou k dispozici na YouTube.

Ladislav Hagara | Komentářů: 0
včera 04:00 | Komunita

S ukončením podpory Windows 7 spustila Nadace pro svobodný software (FSF) kampaň Upcycle Windows 7 s peticí žádající Microsoft, aby zveřejnil zdrojové kódy tohoto již nepodporovaného operačního systému pod svobodnou licencí. S uvedením Windows 7 v roce 2009 byla spuštěna kampaň Windows 7 Sins.

Ladislav Hagara | Komentářů: 25
včera 03:00 | Komunita

Sedmý ročník největší české konference o redakčním systému WordPress WordCamp Praha 2020 se uskuteční v sobotu 29. února v pražském Cubex Centru na Pankráci. Na účastníky letos čekají tři tracky přednášek českých i zahraničních řečníků, několik workshopů, případových studií a samozřejmě i Happiness bar, kam se můžete přijít poradit s odborníky. Je to také ideální příležitost potkat stovky dalších WordPress nadšenců i profesionálů.

… více »
smíťa | Komentářů: 0
včera 02:00 | IT novinky

Společnost Proton Technologies stojící za virtuální privátní sítí ProtonVPN otevřela všechny aplikace ProtonVPN pod licenci GPLv3. Současně oznámila, že tyto aplikace prošly bezpečnostním auditem. Také díky spolupráci s organizací Mozilla.

Fair | Komentářů: 0
25.1. 04:00 | Komunita

Na Youtube byl zveřejněn videozáznam jednání odvolacího soudu ve sporu Grsecurity (Open Source Security) vs. Bruce Perens [reddit].

Ladislav Hagara | Komentářů: 5
25.1. 03:00 | Komunita

Byl vyhlášen vítězný wallpaper soutěže o nejlepší wallpaper pro KDE Plasmu LTS 5.18. Vítězným a tedy výchozím wallpaperem je Volna. Autor wallpaperu Nikita Babin získává notebook od TUXEDO Computers.

Ladislav Hagara | Komentářů: 12
Zdají se vám sny s IT tématikou?
 (9%)
 (1%)
 (12%)
 (17%)
 (54%)
 (7%)
Celkem 276 hlasů
 Komentářů: 10, poslední 18.1. 16:18
Rozcestník

Ověření podpisu PDF vygenerovaného přes mBank IB

18.7.2009 02:47 | Přečteno: 1938× | programování | poslední úprava: 18.7.2009 02:47

Když jste zákázníky mBank, nejspíš víte, že výpis z účtu si můžete stáhnout jako digitálně podepsané PDF. Jenže typicky v PDF prohlížeči chybí certifikační autorita, která by potvrdila platnost podpisu daného PDF.

Návod pro ověření podpisu PDF bude pro Acrobat Reader (nevím jestli nějaký jiný linuxový nástroj umí ověřovat PDF podpisy, když tak dejte tip v diskuzi).

Kořenový certifikát VeriSign

Asi nejjednodušší způsob jak získat kořenový certifikát, je exportovat ho z Firefoxu, nebo jiného prohlížeče (předpokládám že když věříte CA root certifikátu v prohlížeči, budete mu věřit i teď). Uvádím příklad exportu root certifikátu z Firefoxu, z jiného prohlížeče by to malo fungovat podobně, jenom ověřte serial number a SHA-1 fingerprint.

Export Verisign root CA z linuxového Firefoxu (vyzkoušeno na Firefoxu 3.5):

  1. Vyberte z hlavního menu Edit-Preferences
  2. Vyberte "Advanced" z ikonoidního menu
  3. Vyberte tab "Encryption"
  4. Klikněte na tlačítko "View certificates"
  5. Vyberte tab "Authorities"
  6. Najděte autoritu "Verisign Class 2 Public Primary Certification Authority - G2", G2 na konci je podstatné
  7. když zmáčknete "View" na tenhle certifikát, měl by mít následovné vlastnosti:
    • Serial number: 00 B9 2F 60 CC 88 9F A1 7A 46 09 B8 5B 70 6C 8A AF
    • SHA-1 fingerprint: B3 EA C4 47 76 C9 C8 1C EA F2 9D 95 B6 CC A0 08 1B 67 EC 9D
  8. Zavřete okno detailů certifikátu
  9. Exportujte tenhle certifikát tlačítkem "Export"
  10. Jako typ souboru vyberte "X.509 Certificate (PKCS#7)", jako název souboru "verisign_c2_g2.p7c"

Doplnění certifikátů v řetezci (certificate chain)

Mám pocit, že v informaci o certifikátu v PDF vygenerovaném přes mBank IB chybí řetězec certifikátů (certificate chain), proto je nutné naimportovat "mezilehlé" certifikáty ručně. (Normálně u SSL/TLS je běžné, že server pošle nejenom samotný certifikát, kterým je obsah podepsán, ale navíc i celou certificate chain).

Neumím nastopro říct jestli certificate chain chybí nebo ho jenom Acrobat nezobrazuje správně (tip na nástroj zobrazující skutečný certificate chain PDF by se hodil).

Z Global TrustPoint stáhněte dva certifikáty nazvané "VeriSign Class 2 OnSite Individual CA". Dva jsou tam proto, že jeden je platný do 10/2009 a druhý do 10/2010. Tyhle dva certifikáty by měly být rovnou rozbaleny z daného linku, odskrolujte trocha níž. (Pozn. oba tyhle certifikáty jsou podepsány certifikátem, který jsme v předchozím kroku exportovali z Firefoxu).

Jsou tam u každého z certifikátů dvě ikony, "Validate" a "Download". Stáhněte oba certifikáty přes "Download", validaci uděláme při importu do Acrobat Readeru. Nazvěte ty dva soubory třeba "verisign_g2_2009.cer" a "verisign_g2_2010.cer". (Oba jsou v PEM formátu)

Import do Adobe Readeru

Nyní máme všechny potřebné certifikáty, uděláme import do Adobe Readeru, nejprve importujeme certifikát root CA.

  1. Z hlavního menu vyberte "Document-Manage Trusted Identities"
  2. Zmáčkněte "Add Contacts", pak "Browse"
  3. Ve file dialogu vyberte "verisign_c2_g2.p7c"
  4. Zmáčkneme "Import" v pravém dolním rohu
  5. Na "Import complete" odklikněte OK
  6. Z "Display" comboboxu nahoře v dialogu vyberte "Certificates"
  7. Klikněte na právě importován CA root certifikát "VeriSign, Inc."
  8. Zmáčkněte tlačítko "Edit Trust" napravo
  9. V novém dialogu zaškrtněte "Trust this certificate for: Signatures and as a trusted root", pak OK
Pak naimportujeme oba "mezilehlé" certifikáty (zopakujte pro oba soubory "verisign_g2_2009.cer" a "verisign_g2_2010.cer")
  1. Jsme ve stejným menu "Manage Trusted Identities"
  2. Zmáčkněte "Add Contacts", pak "Browse"
  3. Ve file dialogu vyberte "verisign_g2_20xx.cer"
  4. Zmáčkneme "Import" v pravém dolním rohu
  5. Na "Import complete" odklikněte OK
  6. Z "Display" comboboxu nahoře v dialogu vyberte "Certificates"
  7. Klikněte na právě importován certifikát VeriSign
  8. Zmáčkněte tlačítko "Edit Trust" napravo
  9. V novém dialogu by již mělo být zaškrtnuto "Trust this certificate for: Signatures and as a trusted root" (kvůli tranzitivitě důvěry přes dříve naimportován root CA certifikát, "key usage" a "basic constraints"), pak OK
  10. vyberte právě importovaný certifikát, zmáčkněte "Show Certificate" napravo, pak tab "Details" a zkontrolujte serial number a SHA-1 fingerprint podle údajů níže
Ty dva "mezilehlé" certifikáty by měly mít nasledovní serial number a SHA-1 hash (bacha na rozdíl "SHA1 digest of public key" a "SHA1 digest" certifikátu):
Soubor verisign_g2_2009.cer
Subject:
ou=VeriSign Class 2 OnSite Individual CA
o=VeriSign
Validity starts: 1998/05/19 01:00:00 +01'00'
Validity ends: 2009/10/13 00:59:59 +01'00'
serial: 43 DE 45 06 7E 91 ED 3B B6 70 E4 17 52 66 49 B5
SHA1 digest: E8 68 8B 4F 9B 55 07 53 7E 95 37 E6 BB C4 94 8A 5A B8 7F EC

Soubor verisign_g2_2010.cer
Subject:
ou=VeriSign Class 2 OnSite Individual CA
o=VeriSign
Validity starts: 1998/05/19 01:00:00 +01'00'
Validity ends: 2010/10/13 00:59:59 +01'00'
serial: 60 38 0B A2 8B C6 50 E2 09 C1 B6 FF 18 34 8F B4
SHA1 digest: 5E A3 4E D5 4D C1 D3 9A A1 7C DD E8 C0 3C 5E 8F C3 DF 78 BF

Výsledek (vytoužený/doufaný)

Spusťte znova Acrobat Reader, otevřete opět PDF výpis z mBank, po klikuntí na ikonu podpisu vlevo by se místo "Signature is unknown" mělo objevit "Signature is valid".

Na závěr

Uvedený návod má celkem netypický trust chain/trust web, využívá několik zdrojů, podrobnosti když tak v diskuzi.        

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.