Elektronická podatelna EPO berňáku

Zdravím

Snažil jsem se podat daňové přiznání pomocí Elektronické podatelny finančního úřadu s podpisem přes certifikát. Oficiálně jsou podporované i minoritní OS s prohlížečem s Java applety. Po několika hodinách výzkumů a neúspěšných pokusů jsem dospěl k názoru, že process podpisu vypadá tak, že se stáhne nedůvěryhodý (= nedůvěryhodně nepodepsaný) Java applet, který musí dostat hodně vysoká oprávnění ( plné čtení a zápis na disk, spouštění binárek, ... ) a do tohoto appletu se vloží privátní (!) klíč a následně je XML(?) podepsáno a odesláno. Z mého pohledu je tento proces za hranou přiměřené bezpečnostní paranoie, takže v mém případě ani k elektronickému podpisu ani nedošlo.

Nemáte někdo návod/skript k podepisu dokumentu a jeho odeslání, bez zmíněného appletu? Dokumentace je k dispozici. Dříve než budu vyvíjet něco vlastního, tak bych chtěl přepoužít nějaké existující řešení.

Díky

P.S. Oficiální podporu jsem už zkoušel. ( Odpověď byla jak z deníčku systémového administrátora ;-) )

Odpovědi

Heleď, portál je podepsaný "PostSignum Public CA 2", takže toto je ok.
Java Applet je podepsaný "Symantec Class 3 SHA256 Code Signing CA / VeriSign Class 3 Public Primary Certification Authority - G5" s platností do 22.4.2017, + se načítá ze stejné url jako výše uvedený portál, takže také ok.
Kde je tedy problém?
Zdar Max

Měl jsem sen ... :(

25.5.2016 16:40 jka | skóre: 10
Rozbalit Rozbalit vše Re: Elektronická podatelna EPO berňáku

Já měl s EPO problém, že PostSignum vypadlo z debianích certifikačních autorit a linky na stažení jejich certifikátu přes https byly podepsané tím certifikátem, který jsem chtěl stáhnout :D

Já se spíš zeptám - jaký je důvod při podání přiznání přes daňový portál používat certifikát? Osobně prostě vyplním formulář pomocí EPO a odešlu ho přímo z daňového portálu tak, že se přihlásím svým heslem k datové schránce a hotovo (všechno samozřejmě z Linuxu).

25.5.2016 21:03 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Elektronická podatelna EPO berňáku

Napadá mne třeba ten, že někdo nemá (a nechce mít) datovou schránku.

Díky všem za odpovědi. Rozhodně mě posunuly kupředu. Mám debian + firefox. Přesto že mám certifikát PostSignum vložený ve firefoxu do certifikačních autorit, tak podpis appletu se nezobrazí a jeví se jako nepodepsaný. Jako kdyby certifikáty FF nebyly čitelné pro Javu. I jsem zkoušel do souboru $HOME/.java/deployment/deployment.properties vpravit certifikát PostSignum, ale stále výsledek stejný - podpis apletu nejde zkontrolovat, resp. nic se nezobrazí.

I když povolím spouštění nedůvěryhodného apletu, tak při otvírání certifikátu dojde k zamrznutí appletu. Zkoušel jsem i ICEDTEAPLUGIN_DEBUG=true a podle logu letí security exception při čtení prvního adresáře z $HOME.

Bude to chtít ještě chvíli zkoumání. Jak ohledně umístění certifkátů authorit, tak i oprávnění appletu.

P.S. Datovku nevlastním

31.5.2016 07:34 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Elektronická podatelna EPO berňáku

1) Jak jsem psal, ten applet nemám podepsaný pomocí Postsignum CA. Postsignum CA je podepsaný akorát https. Samotný applet je podepsán pomocí Symantec / VeriSign.
Já mám ve FF obě CA.
2) Java pracuje s cert takto : ImportRootCert#Java
Pokud chceš klikačku, tak já mám v Archu : "/usr/lib/jvm/default-runtime/bin/ControlPanel"
3) Další věcí je, zda používáš javu od Oracle, nebo zda jedeš OpenJDK.

Zdar Max

Měl jsem sen ... :(

31.5.2016 07:45 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Elektronická podatelna EPO berňáku

Jenom to upřesním – tazatel potřebuje, aby Java důvěřovala oběma certifikátům. Certifikátu PostSignum potřebuje důvěřovat, aby ten applet mohla přes HTTPS stáhnout, certifikátu VeriSign potřebuje důvěřovat proto, aby ověřila podpis samotného appletu.

Dotaz: Elektronická podatelna EPO berňáku

Odpovědi