U dobrovoljnom upitniku se traže odgovori na sledeća pitanja:

1. UKUPAN BROJ LICENCI ZA SISTEMSKI SOFTVER
   1. WINDOWS
   2. LINUX
   3. OSTALO
2. UKUPAN BROJ LICENCI ZA APLIKATIVNI SOFTVER
   1. MS OFFICE
   2. AUTOCAD
   3. ADOBE
   4. OSTALO
3. UKUPAN BROJ SERVERSKIH LICENCI
   (tri prazna reda)
4. UKUPAN BROJ PRISTUPNIH SERVERSKIH LICENCI
5. UKUPAN BROJ LICENCI ZA BAZE PODATAKA

Meni nije jasno šta je to LICENCA.

Da li se misli na Ugovor o licenciranju, pa pod 1.B) treba upisati ukupan broj slobodnih GNU/Linux instalacija jer je svaka pokrivena većim brojem pojedinačnih ugovora o licenciranju za ugrađene programe, koji dozvoljavaju slobodno korišćenje čime korisnik pribavlja neophodna prava za korišćenje primerka računarskog programa bez posebne naknade, ili isključivo na komercijalnu kupovinu prava o čemu postoji evidentiran račun i na koju je plaćen porez, u kom slučaju treba navesti jedino broj komercijalnih GNU/Linux instalacija ako takve postoje.

Ne znam ni šta je to SERVERSKA LICENCA, a još manje PRISTUPNA SERVERSKA LICENCA.

Član 138. Baza podataka je zbirka zasebnih podataka... uređenih na sistematičan ili metodičan način,... Bazom podataka ne smatra se računarski program koji se koristi za njeno stvaranje ili rad.

• Your templating engine sucks and everything you have ever written is spaghetti code (yes, you)
• HN thread for the blog post above

  Making a pun on the post title: Every programmer is on a long, cyclical journey where every stepping stone feels like a new kind of enlightenment. Blogging allows them to share their brilliance with the world, showing how they are surely amongst the first to attain their new level of purity and zen. -- peteforde on HN

• On templating, and a shameless plug of Moulder
• Pure HTML templates theory, implemented as querytemplates
• scuery
• HTML::Zoom
• weld.js
• enlive
• CAST
• wicket (it is solving non-persistant selectors issue with custom attributes)
• hquery
• effigy
• meld

More examples? It should use nice-to-write DSL with CSS/jQuery like selectors, and be able to "compile" templates to PHP inlining the dynamic code (like querytemplates is doing). There should be no special syntax in HTML, except template inhertiance (master page) if no better option exists.

I like the name "template animation" (name by Iain Dooley) for doing this, even it is very bad for SEO. It sounds more fun than non-obtrusive HTML replacing others are talking about. In fact it is not just replacement, it is generation, conditionals and else. "Mockup-driven development" (name by judofyr on HN) is not bad as well.

Parsing XML documents with CSS selectors looks very useful.

Pre nekoliko dana me je kolega programer e-poštom pitao oko čitanja saobraćajnih dozvola, valjda zbog iskustva sa ličnim kartama.

Nisam gledao karticu, ali trebalo bi da je po EU pravilima, detaljno opisanim u aneksu 1 direktive 2003/127/EC. Kod nas se primenjuje Pravilnik o registraciji motornih i priključnih vozila (Sl. glasnik RS, 69/2010, 101/2010) koji na prvi pogled u članu 15 deluje usaglašen sa direktivom.

ISO 7816-4 standard koji opisuje naredbe za šetnju po sistemu datoteka i čitanje podataka je dostupan kao puni pregled sa IEC sajta.

Ako neko krene da se igra i programira softver, bilo bi lepo da objavi izvorni kod. Osnovni softver koji čita i ispisuje podatke je jednostavno napraviti, do jedan dan posla. Lep prikaz tih podataka uz analizu kodova i ispis čitljivih opisnih vrednosti je nešto zahtevnije jer treba rastumačiti više standarda i pribaviti spiskove koji se uglavnom mogu naći uz malo Guglanja.

Najbolje bi bilo kada bi sami korisnici koji znaju šta od podataka žele da čitaju sa saobraćajne dozvole pokrenuli i pomogli razvoj nezavisnog softvera i API-ja.

Za čitanje se koriste standardni čitači (kao i za ličnu kartu sa čipom, ili za čitanje pametnih kartica za e-bankarstvo) ali je softver drugi. Ako bi grupa korisnika sada zajednički razvila i objavila otvoreni kod, program bi svi mogli da koriste. Nema potrebe da se čeka gotovo rešenje.

Čitanje godišta proizvodnje vozila sa saobraćajne dozvole je mnogima zanimljivo pošto se podatak naizgled ne nalazi napisan spolja. Međutim oznaka šasije (Vehicle identification number) sadrži godinu proizvodnje kako je određeno standardom ISO 3779. Godište je tako predstavljeno desetim simbolom polja (E) na poleđini saobraćajne dozvole (ovaj zapis postoji i u čipu) prema ponavljajućem kodu u tabeli:

Naknadnom izmenom pravilnika predviđen je i upis godine proizvodnje u čip saobraćajne dozvole. Kako EU direktiva ne predviđa prostor pitanje je gde se zapravo podatak nalazi. Doslovno čitajući pravilnik moguće da se nalazi u datoteci sa opcionim podacima, uz boju vozila (odeljak II.6, EF D011), iako kako se uvodi novi kod, možda bi tačnije bilo čuvanje u skladu sa odeljkom II.7 (nepoznato ime datoteke). U svakom slučaju, nije teško proveriti.

PODRŠKA ZA POTPISIVANJE NARODNIH (GRAĐANSKIH) INICIJATIVA PREKO INTERNETA KVALIFIKOVANIM ELEKTRONSKIM POTPISOM

Javna rasprava o novom Nacrtu zakona o referendumu i narodnoj inicijativi traje do 18. juna. Na Tviteru pod oznakom #einicijativa poželeli smo da omogućimo upotrebu kvalifikovanog elektronskog potpisa u procesu pokretanja i prikupljanja potpisa za narodnu inicijativu.

Predlog nacrta je dostupan na ovoj adresi, a radna varijanta predloženih izmena NACRT Zakona o referendumu i narodnoj inicijativi-Dopuna-v4.doc, kao najbitnije sadrži:

Promene u članu 51 omogućavaju elektronsko potpisivanje narodne inicijative, kao i mogućnost da se samo deo potpisa prikupi elektronski dok bi se ostali prikupljali klasično. Kod klasičnog prikupljanja potpisa omogućeno je da se podaci o potpisniku prikupe automatskim očitavanjem lične karte ili nekog drugog dokumenta i predaju elektronski, što ubrzava proces kako prikupljanja tako i provere.

Među drugim predloženim izmenama stoje i one koje od skupštine traže da na Internetu obavesti javnost o statusu inicijative, a predlaže se i određivanje prema Zakonu o zaštiti podataka o ličnosti.

Diskusija je na blogu Gorana Vučkovića, ili na Tviteru. Ivan Grujić i Goran su pokrenuli posebnu Fejsbuk stranicu za podršku ovom predlogu izmena.

Preuzmi

- for traditional companies it is harder to compete with the price cut-off presented by the open-source business

- we should move to services market, giving legal services, assurance,... Google has a powerful model with advertising market

- Internet allows new models that scale better, remote services market

- legislations emerging to say "patents can not be used against open-source software", on the basis of supporting a greater good for the society

- in the open-source, components/projects are weak, but the aggregators/distributions are strong. we need to level this down to support creativity and innovations. companies working on open-core or other ways of owning a component, would channel more funds into the components.

- the case of The Battle for Wesnoth on the Apple App Store; are we ready to take "it is not about free beer, it is a about freedom" literally?

Ideja je da na Windows računar (server, virtuelna mašina, kutija u ćošku) instaliramo zvaničan midlver preuzet sa sajta MUP CA, uz koji dolazi i PKCS#11 modul. Čitač kartice treba da bude priključen na Windows računar. Ako to nije lokalna virtuelna mašina koja ima pristup USB priključku računara, može se koristiti neka mrežna redirekcija USB priključka. Cilj je da dobijemo lokalno prikopčan čitač koji deluje kao da je zakačen na Windows računar.

Glavnu podršku pruža pkcs11-proxy.

Iz ovog paketa, na Windows računaru obezbedimo pkcs11-daemon koji omogućava komunikaciju sa zvaničnim modulom mrežnim putem.

Na GNU/Linux računaru postavimo pkcs11-proxy PKCS#11 modul koji sve zahteve kroz mrežu isporučuje pkcs11-daemon procesu na Windowsu, a putem njega zvaničnom midlveru. Zvaničan midlver komunicira sa čitačem koji deluje kao da je zakačen na Windows računar iako je zapravo zakačen lokalno na GNU/Linux računar.

Vredi istaći da pkcs11-daemon ne obezbeđuje sigurnost veze. Ako mreža nije bezbedna, protokol se može provući kroz SSH tunel.

Priredio sam kompilirani paket za Windows pkcs-daemon.zip. Izdanje 32bit, mingw gcc kompilator, Git stablo od 5. aprila ove godine.

Pretpostavljajući da je IP adresa Windows računara 192.168.122.26, kuckamo:

set PKCS11_DAEMON_SOCKET tcp://192.168.122.26:4242
pkcs11-daemon.exe "C:\Program Files\MUP RS\Republic of Serbia ID Card Middleware\rsidp11_x86.dll"

Na GNU/Linux računaru iz izvornog koda prevedemo pkcs11-proxy.so i postavimo promenljivu okruženja PKCS11_PROXY_SOCKET na istu vrednost kao prethodnu promenljivu na Windowsu.

Programima sada treba ponuditi pkcs11-proxy.so kao PKCS#11 modul. Na primer:

$ export PKCS11_PROXY_SOCKET="tcp://192.168.122.26:4242"
$ pkcs11-tool --module ./libpkcs11-proxy.so -L Available
Available slots:
Slot 0 (0x0): Gemplus USB Smart Card Reader 0
  token label:   RS ID Card
  token manuf:   NetSeT d.o.o.
  token model:   RS ID Card
  token flags:   readonly, login required, PIN initialized, token initialized, user PIN count low, user PIN locked
  serial num  :  

Program pkcs11-tool je deo opensc paketa. Ili isto to u Firefoxu na GNU/Linuxu nakon učitavanja novog sigurnosnog uređaja (Podešavanja > Napredno > Sigurnosni uređaji):

Da bi učitavanje bilo uspešno, Firefox mora biti pokrenut iz školjke u kojoj je postavljena promenljiva (najlakše ubaciti promenljivu u samu sesiju). Na portalu eUprava klikom na prijava sertifikatom Firefox NSS pita za unos PIN koda. Prethodno treba omogućiti Ponovno ssl dogovaranje (security.ssl.allow_unrestricted_renego u about:config). Kartica mi je blokirana, ranijim neodgovarajućim unosom PIN koda pri programiranju, pa dalje ne mogu da isprobam :) Neka to posluži i kao upozorenje drugima, nema garancije.

Elektronski potpis u Republici Srbiji uređen je Zakonom o elektronskom potpisu („Sl. glasnik RS“, broj 135/2004) i podzakonskim aktima, a u skladu sa Direktivom Evropske unije o elektronskom potpisu („Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures“, Official Journal of the European communities, L 013/12-20, 19. 1. 2000).

Elektronski potpis je skup podataka povezanih sa elektronskim dokumentom kojima se utvrđuje identitet potpisnika tog određenog dokumenta. Danas u praksi najčešće korišćeno rešenje je tehnologija digitalnih potpisa, zasnovana na kriptografiji infrastrukture javnog ključa (PKI) sa elektronskim sertifikatom prema standardu X.509v3 (RFC 5280).

Za korisnike, primena se svodi na: (1) posedovanje sertifikata izdatog od strane sertifikacionog tela koji povezuje par ključeva sa identitetom korisnika; (2) posedovanje para ključeva na pametnoj kartici, u tokenu ili drugom mestu gde se bezbedno čuva privatni ključ iz datog para i; (3) upotreba odgovarajućeg programa za elektronsko potpisivanje dokumenata i podataka, npr. Microsoft Office, OpenOffice.org, Adobe Acrobat ili namenskog softvera za potpisivanje.

Kvalifikovani elektronski potpis dokumenta u programu OpenOffice.org Writer korišćenjem XML Digital Signature standarda za postupak elektronskog potpisa, formiran upotrebom elektronske lične karte kao sredstva, koji se proverava kvalifikovanim elektronskim sertifikatom koji izdaje Sertifikaciono telo MUP Republike Srbije

Po Zakonu o elektronskom potpisu razlikujemo elektronski i kvalifikovani elektronski potpis. Kvalifikovani elektronski potpis je potpis kojim se pouzdano garantuje identitet potpisnika, integritet potpisanog elektronskog dokumenta i onemogućava naknadno poricanje potpisa. Da bi navedeni zahtevi bili ispunjeni, kvalifikovani elektronski potpis mora da bude formiran prema Pravilniku o tehničko-tehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa i kriterijuma koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa („Sl. glasnik RS“, broj 26/2008, 13/2010).

Prema tom tehničkom pravilniku namenjenom programerima i sistem integratorima, neophodni uslovi za kvalifikovani elektronski potpis su da je on formiran sredstvom za formiranje kvalifikovanog elektronskog potpisa (SSCD uređaj, najčešće u vidu pametne kartice ili tokena), da je formiran određenim postupkom prema pravilniku i standardima na koje se poziva i sve to povezano sa izdatim kvalifikovanim elektronskim sertifikata.

Upotreba kvalifikovanog elektronskog potpisa elektronskog dokumenta, odnosno bilo kojih elektronskih podataka u opštem slučaju, osnov je za njihovu punovažnost i dokaznu snagu u pravnim poslovima, upravnim, sudskim i drugim postupcima. Kvalifikovani elektronski potpis ima isto pravno dejstvo i dokaznu snagu kao svojeručni potpis, odnosno svojeručni potpis i pečat.

Učesnici u elektronskom poslovanju posebnim ugovorima mogu uzajamno usvojiti priznavanje i elektronskih potpisa koji nisu kvalifikovani (kako je danas najčešće slučaj u elektronskom bankarstvu). Ne postoji opšta zakonska obaveza korišćenja kvalifikovanog elektronskog potpisa ukoliko učesnici poslovanja utvrde da ne žele pravno-tehničku sigurnost koju kvalifikovani elektronski potpis donosi.

Najčešća upotreba kvalifikovanog elektronskog potpisa jesu servisi elektronske uprave za građane i privredu, na primer na internet portalu e-Uprava.

Zakon o elektronskom dokumentu („Sl. glasnik RS“, broj 51/2009) se nadovezuje na propise o elektronskom potpisu, dodatno određujući uslove i način postupanja sa elektronskim dokumentom, bilo da je on potpisan ili nepotpisan. Propisi o elektronskom dokumentu regulišu uslove za formiranje i čuvanje dokumenta u elektronskom obliku, određuju pojam originala elektronskog dokumenta i mogućnost pretvaranja dokumenta iz papirnog oblika u elektronski i obrnuto.

Zakon o elektronskom dokumentu, član 4 (isečak)
Elektronskom dokumentu ne može se osporiti punovažnost ili dokazna snaga samo zato što je u elektronskom obliku. ... Ako je propisom utvrđen pismeni oblik kao uslov punovažnosti pravnog akta, pravnog posla ili druge pravne radnje, odgovarajući elektronski dokument potpisuje se kvalifikovanim elektronskim potpisom, u skladu sa zakonom kojim se uređuje elektronski potpis.

Zakon o elektronskom potpisu, član 4 (isečak)
Ako je zakonom ili drugim propisom predviđeno da određeni dokument treba čuvati, to se može učiniti i u elektronskom obliku, pod uslovom...

Zakon o elektronskom dokumentu, član 5 (isečak)
Elektronski dokument koji je izvorno nastao u elektronskom obliku smatra se originalom ... Elektronski dokument koji je nastao digitalizacijom izvornog dokumenta čija forma nije elektronska, smatra se kopijom izvornog dokumenta.

Digitalizovana kopija dokumenta u papirnom obliku ima istu pravnu snagu kao i izvorni dokument ukoliko je digitalizacija obavljena u vršenju delatnosti, a elektronski dokument je potom potpisan kvalifikovanim elektronskim potpisom od strane ovlašćenog lica unutar pravnog lica.

Na žalost, Član 4, stav 3, tačka 6 Zakona o elektronskom dokumentu (prema Članu 3. Zakona o elektronskom potpisu), sprečava upotrebu elektronskog dokumenta svuda gde je posebnim zakonom ili podzakonskim aktom koji bliže uređuje određenu materiju izričito određena upotreba svojeručnog potpisa na papiru i overenog svojeručnog potpisa. Bilo bi očekivano da se izmenama koje se sada donose propisi usklađuju sa ova dva zakona tako da ne sprečavaju elektronsko poslovanje. Karakteristične formulacije „... na papiru, odnosno elektronski“ i „... potpisom, odnosno kvalifikovanim elektronskim potpisom“ bi trebalo češće da viđamo. Utisak mi je da bi kompanije koje na tržištu nude poslovna softverska rešenja i šira stručna javnost morali da budu više angažovani u uočavanju ovakvih prepreka.

Zakonom o elektronskom dokumentu se uvodi pojam i upotreba vremenskog žiga kao postupka za pouzdano označavanje da su elektronski podaci postojali pre označenog trenutka.

Vredi pomenuti da je kod nas usvojena Strategija i akcioni plan za razvoj elektronske uprave. U poslovanju organa uprave, koje je specifično po tome da je uređeno propisima, u skladu sa strategijom doneti su prvi propisi o elektronskom kancelarijskom poslovanju i primeni elektronskog dokumenta i potpisa u organima državne uprave, na predviđenom putu modernizacije koji vodi povećanju efikasnosti, racionalizaciji i uvođenju elektronske uprave.

U odnosu na kod objavljen juče sada postoji Maven integracija, kod je lepo podeljen na biblioteku (u lib/) i aplikaciju koja koristi biblioteku (u viewer/). Aplikacija je preimenovana u SerbianEidViewer.

Zakpre možete poslati na grakic@devbase.net ili kao merge request kroz Gitorious. Kod se održava u Git skladištu, a svoju kopiju pravite naredbom: git clone git@gitorious.org:freesteel/jfreesteel.git. Naredbom mvn install uz instalirane JDT i Maven u novom target/ direktorijumu ćete dobiti jfreesteel.jar paket biblioteke, serbianeidviewer aplikaciju i u direktorijumu serbianeidviewer-lib sve biblioteke koje aplikacija koristi.

Kod adrese prebivališta, ne znam da povežem tagove 0x625 .. 0x629 sa podacima floor, entrance i houseLetter. Pretpostavljam da je ovaj poslednji 0x625, ali za druga dva ne znam. Sledeći koji znam je appartmentNumber u 0x62A. Ako imate ove podatke zapisane u ličnoj karti, pokrenite program u terminalu (java -jar serbianeidviewer-1.0-SNAPSHOT.jar) i ispravite kod u EidInfo ili samo opišite gde je šta u ispisanom izlazu.

Ovo mi je tek drugo programče u Javi, pogledajte i javite gde sam napravio greške, a gde sam mogao da iskodiram efikasnije. Najozbiljniji trenutni problem u kodu je što async interfejs za čitanje podataka ne radi iako bi kod trebalo da bude thread-safe. Zainteresovani mogu da pogledaju EidCard i JFreesteelGUI, pa da ih propuste kroz buboubice.

Zapravo sam bio napisao pristojan članak sa par komentara kako se koristi direktno EidCard za čitanje podataka ili preko Reader omotača koji vodi računa o tome da li je kartica ubačena ili ne, da bi se nestabilni Chrome iznenada srušio. Izgleda da je vreme za nadogradnju MT, automatsko čuvanje sada ne zvuči suvišno.

Hvala Aleksandru Nikoliću (EArthquake sa ES foruma) za predloge i zakrpe ovog Java programčeta i Željku Stevanoviću (zsteva) za sve poslate zakrpe Python skripte za čitanje podataka.

Da dodam još i da Gemalto GemPC Card PCMCI čitač (na slici desno) radi odlično pod GNU/Linuksom. Uređaj se vidi kao čitač na serijskom portu, radi uz libccidtwin drajver za pcsc-lite. Interesantno je da je moguće instalirati ga i u virtuelnoj mašini, deli se serijski interfejs, a onda se u virtuelnom okruženju instalira odgovarajući drajver za Gemalto PC Twin Serial čitač.

Ako imate predlog šta može da se popravi, dojavite.

Na kartici bi trebalo da se uz oba lična X.509 sertifikata negde nalazi i izdvojen javni i tajni ključ u memoriji koja nije čitljiva spolja jer se ključevi generišu na samoj kartici i pristupa im se kroz crypto instrukcije. X.509 je standardni format za dostavljanje javnog ključa koji uključuje detalje o izdatom sertifikatu, njegovoj upotrebi i izdavaocu. Prvi par (gde je X.509 u 0F 10) se koristi za kvalifikovane potpise, dok se drugi koristi za obične potpise, na primer u e-pošti, i veb autentifikaciju. Planiram da dodam opciju u FreeSteel da izveze lični javni X.509 sertifikat sa kartice. FreeSteel 0.3 može da izveze kvalifikovani i obični lični X.509 sertifikat. Opcije su ./freesteel.py -q qualified.cer -s standard.cer.

Format je i ovde 6 bajtova za zaglavlje sa oznakom dužine. Blob počinje nekom rečju (4 bajta) kojoj ne znam značenje, nakon čega od petog bajta kreće sadržaj sertifikata.

Operativni sistem na kartici je Apollo OS izraelske firme SC². Na njihovom sajtu piše For generic private and open source middleware, Apollo OS is available with a PKCS#15 profile.. Naravno ovde se misli da je podrška (komercijalno) dostupna klijentima koji sprovode uvođenje rešenja, kod nas je to NetSet d.o.o. iz Beograda.

FreeSteel, višeplatformski Python skript za čitanje podataka sa elektronske lične karte je dogurao do izdanja 0.2 0.3. Ako ste preuzeli jutros, ponovite. Program sada uspešno izvozi i sliku sa lične karte i čuva je u posebnu datoteku. Željko je odlično primetio da je offset dva bajta koliki i mora da bude za dostupnu veličinu slike.

Za promenu pina koriste se 0F 13, 0F A1 i 0F A3. VERIFY (0x00 0x20) instrukcija radi nad prvim ključem za poređenje. Kada se pozove bez podataka, vraća broj preostalih pokušaja. Kasnije u procesu promene šalje joj se neki niz od 8 bajtova (izgleda da ne zavisi od samog pina več od kartice, nije mi to baš najjasnije) nakon čega sledi UPDATE BINARY (0x00 0xD6) instrukcija koja ažurira 0F 13 nizom od 6 bajtova zaglavlja EF i 54 bajtova nekih podataka. Od tih 54 bajtova prvih 4 i poslednjih 5 je fiksno između različitih promena, a 45 nosi informaciju o izabranom pinu. Nema nikakve magije, nakon promene sadržaja, čitanje pročita upravo prethodno upisano. Deluje da je uvek dužina 45 bajtova i da ne zavisi od izabrane dužine pina ali treba to još jednom da proverim. Pogledaću u PKCS#15 ima li šta zanimljivo na tu temu mada nisam siguran da je to pravo mesto za traženje informacija.

Pretpostavljam da je ideja da se pročitaju neki ključevi iz 0F A1 (6+20 bajtova) i 0F A3 (6+14 bajtova), zatraže ovlašćenja sa VERIFY i tim nekim osmobajtnim nizom pa onda novi pin šifruje i zapakuje u niz koji se upiše nazad u 0F 13. Na kraju se bira MF (koreni direktorijum) verovatno kako bi se prekinula ovlašćenja ili resetovalo nešto slično.

Na kraju i nije bilo tako strašno ;) Predstavljam vam slobodan čitač elektronske karte, od milja nazvan FreeSteel. Trenutno, FreeSteel je jednostavna Python skripta koji se oslanja na pyscard i PC/SC i radi na svim poznatim platformama (Linux, Windows, MacOS X). FreeSteel je potpuno sirova beta, testiran samo sa mojom ličnom kartom. Već sam pisao da nemam uvid u specifikaciju pametne kartice, tako da ne znam da li sam ispravno rastumačio granice polja. Pozivam da probate i obavezno javite da li ispravno čita podatke i sa vaše lične karte.

Kako to izgleda? Skript se poziva iz terminala, i ispisuje informacije inače vidljive kroz besplatnu aplikaciju Čitač Elektronske Lične Karte za Windows. Sledi demo programa, a ja ću iz opreza podatke za koje nisam siguran koliko su osetljivi da zamenim zvezdicama. Sa argumentom -p program čuva sliku sa lične karte u datoteku <JMBG>.jpg, moguće je i navesti posebno ime sa -p moja_slika.jpg.

$ ./freesteel.py -p
Using reader   : Gemplus GemPC Twin 00 00
ATR            : 3B B9 18 00 81 31 FE 9E 80 73 FF 61 40 83 00 00 00 DF
Header field   : 33*60*3*6*62*26**B*F*79*77*42*3*
Printed number :                   *F*79*77*42*3*
eID number     : 00***5*8*
Issued         : *4.0*.2009
Valid          : *4.0*.2014
Issuer         : PU ZA GRAD BEOGRAD SRB
JMBG           : 2412985******
Family name    : РАКИЋ
First name     : ГОРАН
Middle name    : ******
Gender         : M
Place od birth : BEOGRAD, SAVSKI VENAC, REPUBLIKA SRBIJA, SRB
Date of birth  : 24.12.1985
Street address : ************, ******
City           : *******, BEOGRAD, SRB

FreeSteel možete preuzeti iz Gitorious skladišta sa adrese http://gitorious.org/freesteel naredbom:
   git clone git://gitorious.org/freesteel/freesteel.git. Gitorious nudi i pregled skladišta kroz Veb, reč je o jednoj Python skripti pa je možete i ručno iskopirati.

FreeSteel je slobodan softver, izdat pod GNU Slabijom opštom javnom licencom (GNU LGPL) verzije 3 ili novije po vašem nahođenju. Program koristi pyscard omotač za PC/SC interfejs. Na GNU/Linuksu potrebno je instalirati pcsc-lite (na Ubuntu distribuciji paket pcscd) i drajvere za čitač (libccid paket dodaje podršku za većinu USB čitača, a tu su i neki drugi PC/SC drajveri u skladištu ili sa sajta proizvođača ako su kompatibilni sa novim izdanjima kernela). U ovom koraku ništa nije specifično za našu ličnu kartu tako da ima uputstava na Internetu.

Pre nego što pokrenete FreeSteel, možete da proverite da li je pcsc-lite prepoznao čitač naredbom pcsc-scan koja je deo pcsc-tools paketa. Na MacOS X pokrenite iz terminala program pcsctest koji je podrazumevano instaliran.

    $ pcsc_scan -n
    PC/SC device scanner
    V 1.4.16 (c) 2001-2009, Ludovic Rousseau 
    Compiled with PC/SC lite version: 1.5.3
    Scanning present readers...
    0: Gemplus GemPC Twin 00 00
    
    Mon Aug 23 04:27:04 2010
     Reader 0: Gemplus GemPC Twin 00 00
      Card state: Card inserted, Shared Mode, 
      ATR: 3B B9 18 00 81 31 FE 9E 80 73 FF 61 40 83 00 00 00 DF

Windows i MacOS X dolaze uz PC/SC (jabuka koristi pcsc-lite, stiže uz sistem). Na Windowsu vam treba Python, MacOS X ga već ima instaliranog. Preostaje još instalacija pyscard omotača i FreeSteel može da radi.

U odnosu na Čelik, FreeSteel se uz očiglednu mogućnost da radi na Linuksu i Meku, razlikuje i po tome što vuče po 255 bajtova podataka sa kartice u jednom zahtevu umesto 96, ne resetuje karticu između čitanja različitih polja i ne povlači dva puta jedan blob od zanemarljivih 6 bajtova, ali eto red je da napišem i to.

Razlikuje se i što nije testiran na većem broju ličnih karti, što moguće da postoje sitne greške usled kojih će promašiti granice polja ili ispretumbati podatke, zavisno od toga da li sam uspeo da pravilno razumem kako su podaci organizovani na samoj kartici. Razlikuje se i po tome što ne uspeva da izvuče sliku iako kod koji bi trebalo da radi jeste napisan. Željko Stevanović je uočio grešku zbog koje nije radilo čuvanje slike, sada i ta opcija radi u programu. Pokretanje ./freesteel.py -p čuva sliku kao JMBG.jpg, ili se može navesti ime datoteke ./freesteel.py -p moja_slika.jpg

Ukoliko Čelik računa neki checksum da proveri verodostojnost podataka sa lične karte, FreeSteel to ne radi. Veoma je moguće da su neki od onih meni nepoznatih bajtova zapravo kontrolni.

Pametna kartica je u ISO 7816-04 formatu i za čitanje podataka koriste se instrukcije 0xA4 (SELECT FILE), 0xCA (GET DATA) i 0xB0 (READ BINARY). Pronašao sam javno dostupnu prethodnu kopiju standarda na ovoj stranici.

Podaci su smešteni u datotekama (MF) koje se biraju sa SELECT FILE nakon čega se prelazi na čitanje pomoću READ BINARY. SELECT FILE proverava potrebne dozvole i odbija pristup zaštićenim datotekama. Ne znam da rastumačim odgovor o tekućim dozvolama. Svaki odgovor završava sa dva bajta 0x90 0x00 ako je zahtev uspešan, odnosno kodom za grešku kako je definisano standardom. Omotač pyscard već radi obradu tako da FreeSteel ignoriše i preskače ove statusne bajtove u rezultatu.

Svaka datoteka se sastoji od zaglavlja veličine 6 bajtova, i sadržaja proizvoljne dužine. Dužina sadržaja zapisana je u četvrtom i petom bajtu zaglavlja kao 16bit LE int.

Koriste se četiri EF datoteke 0x0f 0x02 u kojoj su broj, datumi izdavanja i isteka i izdavalac, 0x0f 0x03 u kojoj su jmbg, ime, prezime, ime oca, pol, mesto i datum rođenja, 0x0f 0x04 u kojoj su podaci o adresi prebivališta i 0x0f 0x06 u kojoj se nalazi slika.

READ BINARY instrukcija kao prvi argument ima dvobajtni offset (16bit int LE), a potom sledi broj bajtova koji će biti pročitani (8bit int LE). Ako se kao broj bajtova dostavi 0x00 biće pročitan maksimalno dopušten broj bajtova. FreeSteel ovde ipak koristi eksplicitni broj, najviše 0xFF ili manje za manja polja.

Svi podaci su sačuvani kao ASCII/UTF-8 tekst. Sama polja sa podacima su sastavljena od jednog bajta sa labelom podatka, pa 0x06, zatim dužina polja kao 8bit LE int i 0x00 nakon čega sledi odgovarajući broj bajtova navedene dužine sa podacima.

Serijski broj čiji je heksadecimalni kod napisan na poleđini lične karte se nalazi u 16 bajtova podataka koji se čitaju sa GET DATA naredbom uz argument 0x01 0x01, počev od desetog bajta. dok ostatak tog niza bajtova ne znam da protumačim.

U datoteci u kojoj je slika podaci počinju sekvencom 10 01 BD 1B pa zatim karakteristični početak JPEG datoteke (FF D8 FF E0 00 10 4A 46 49 46). Ovo se ponavlja nekoliko puta kasnije u podacima. Prvu četvorobajtnu reč treba preskočiti, dok su ostale sastavni deo datoteke slike.

FreeSteel ima galamdžijski režim ako mu se stavi zastavica -v, --verbose kada prikazuje primljene i poslate bajtove kao heksadecimalne vrednosti. Ako program kod vas ne čita ispravno podatke, a niste voljni da sami jurite grešku, postoji i dump zastavica. Pokrenite program kao ./freesteel.py -d dump i on će u direktorijum dump istovariti binarne blobove pročitane sa lične karte. Ako mi ih dostavite privatnom poštom rado ću popraviti program, a obećavam da podatke neću da prikupljam, prodajem, ili na drugi način zloupotrebim.

Na kraju, kako i piše u zaglavlju programa, FreeSteel se isporučuje bez bilo kakve garancije, čak i one implicitne. Iako program samo čita datoteke, pa ne bi trebalo da bude problema, ne mogu da prihvatim odgovornost ako vam zapadne da morate ponovo da čekate u redu sa zahtevom za reinicijalizaicju ili za izradu nove lične karte.

Povod je komentar na zapis o Halcomovim sertifikatima autora koji se potpisao kao John Markovic, a tiče se podrške za (kvalifikovani) elektronski potpis pod GNU/Linuksom.

Koliko mi je poznato jedino Sertifikaciono telo Pošte nudi A.E.T. SafeSign midlver za GNU/Linuks operativni sistem ali nisam imao priliku da probam rešenje u praksi. Situacija sa drugim akreditovanim sertifikacionim telima za izdavanje kvalifikovanih elektronskih sertifikata je znatno lošija.

Evo i komentara koji sam pomenuo:

... kako može da se koristi lična karta u potpisivanju dokumenata ali tako da to radi na Linuks i drugim slobodnim sistemima.

Po prepisci koju sam imao sa MUP početkom godine, postoji rešenje za Linuks na ETF i koristi se ali ne stavljaju ga na raspolaganje na svojim stranama jer ne razumeju da nije potrebno da pakuju pakete za sve distribucije (rpm, deb itd)

Ne otvaraju kod jer to „nemaju u praksi“ a za specifikaciju pristupa kartici i uslugama koje pruža, bilo bi dobro da pitate i vi, pošto sam stekao utisak da što se više ljudi interesuje i nudi saradnju, da će pre da to reše.

...

Moj odgovor je glasio:

... prepreka za korišćenje na GNU/Linuksu je da se za slobodan pružalac PKCS#11 interfejsa, konkretno OpenSC, emulira format pametne kartice na kojoj se nalazi X.509 sertifikat tako da se ona predstavi u PKCS#15 standardu. Nije mi poznata ta priča o MUP-ETF, moguće da imaju deo slagalice, ali lično u to ne verujem. Ne znam kakav kod bi to trebalo da otvaraju ...

Pre izvesnog vremena kada sam u Ljermontovoj preuzeo kvalifikovani sertifikat zainteresovao sam se koje su prepreke da ga zapravo i koristim, i počeo da sastavljam belešku, koju sada objavljujem. Ako imate više detalja, specifikaciju, alatke za razumevanje formata kartice ili iskustva kako se programira OpenSC emulacija za specifičnu karticu, ostavite poruku. Većina softvera slobodnog koda nastane baš onda kada neko poželi da sebi pomogne i napravi nešto novo.

Dakle, opšti ifdhandler drajver za razne USB čitače dolazi u pcsc-lite/libccid potprojektu. Drugi (PC/SC ifdhandler) drajveri su dostupni sa Interneta u izvornoj ili binarnoj formi. OpenCT nudi ifdhandler drajver sa podrškom za neke dodatne modele čitača kartice.

pcsc-lite (program i paket pcscd) koristi ifdhandler drajvere za čitače pametnih kartica i obezbeđuje PC/SC API za komunikaciju sa karticom kakav se koristi i na Windowsu (winscard).** Drajver i pcsc-lite čine „midlver“. Tu se završava priča oko čitača kartica, i prelazi na samu pametnu karticu.

OpenSC se lepi preko pcsc-lite (i nekog njegovog ifdhandler drajvera) ili direktno na OpenCT i daje PKCS#11 interfejs za komunikaciju sa karticom.

Čitači koje na sistemu vidi OpenSC prikazuju se naredbom "opensc-tool -l", a isti program može da prikaže tip i elemente kartice. OpenSC mora da podržava format kartice (struktura direktorijuma). Standardan je PKCS#15 format. Inicijalizacija kartice (format), zadavanje PIN koda i generisanje RSA ključeva na kartici u PKCS#15 formatu radi se pomoću "pkcs15-init". Naredba "pkcs15-tool" lista sadržaj objekata na kartici.

Naredba "openssl" može da od generisanog javnog ključa napravi CSR za potpisivanje od strane CA (našeg lokalnog ili "pravog"), ili da napravi samopotpisani sertifikat. Sertifikat se sa "pkcs15-init" upisuje nazad na karticu. Format PKCS#15 se retko koristi na već inicijalizovanim karticama koje traže poseban omotač za OpenSC.

Za samu komunikaciju se koristi drajver za karticu, gde postoji ISO 7816 kao standard. Najčešće međutim treba napisati poseban drajver za libopensc koji će da sa karticom razmenjuje APDU naredbe.

Mozilla NSS ili OpenSSL učitavaju OpenSC PKCS#11 modul (engine_pkcs11.so) i nude usluge aplikacijama kroz crypto API višeg nivoa i integraciju sa okruženjem. Ovo je mesto gde se umesto OpenSC koji je slobodan softver može koristiti neki vlasnički softver koji radi sa karticom (na primer kroz PC/SC koji daje pcsc-lite) i pruža PKCS#11 modul.

Drugi programi mogu da koriste PKCS#11 modul kroz neku biblioteku (Java nudi standardan API) ili da pozivaju NSS (Firefox, Evolution, OpenOffice.org). Za prijavu na sistem pametnom karticom koristi se pam_pkcs11, a za grafičku prijavu potreban je i gdm-plugin-smartcard. NSS nudi naredbu "certutil" za upravljanje sertifikatima ili grafički kroz Mozilla Firefox.

**) Windows aplikacije uglavnom koriste interfejs višeg nivoa, CryptoAPI koji kroz posebne CSP module (slično kao NSS kroz PKCS#11 module) pristupa kartici. Postoji opšti okvir Base SC CSP za implementaciju CSP modula. OpenSC za Windows od januara 2010 pored PKCS#11 modula ima modul i za ovaj okvir, a postoji i nekoliko drugih alternativnih CSP implementacija koje koriste OpenSC. OpenSC dalje koristi uključeni sistemski PC/SC midlver (winscard). Pretpostavljam da omotač sa podrškom za poseban format kartice bude isporučen kao deo posebnog CSP modula koji leži nad PC/SC, pa bi Wine po tome trebalo da implementira PC/SC deo Windowsa kroz pcsc-lite, zaobilazeći OpenSC.

***) ATR srpske pametne lične karte je "3B B9 18 00 81 31 FE 9E 80 73 FF 61 40 83 00 00 00 DF" i nalazi se u listi kartica koje vidi pcsc-lite. Reč je o ISO 7816 kompatibilnoj kartici sa operativnim sistemom Apollo OS 2.43 izraelske kompanije SC². Ne postoji OpenSC modul za emulaciju. NetSet nudi Windows CSP modul rsidcm.dll, a ne znam da postoji javna specifikacija kartice i APDU kodova niti trenutno znam kako bih to iskoristio da napišem emulaciju.
Dragan Maksimović, pomoćnik načelnika Uprave za IT MUP-a je u decembru 2009. izjavio: "Naime, middleware (PKCS#11 standard) postoji ali ga još uvek nismo publikovali, jer još uvek nismo dobili akreditaciju za naše CA telo". Ovde je izgleda reč o rsidp11_x86.dll koji se pominje u dokumentaciji i verovatno stoji nad winscard API-jem. Da je kod ovog DLL-a dostupan možda bi bilo moguće ovaj modul portovati na pcsc-lite koji nudi isti API nakon čega bi se modul uvezao u NSS/OpenSSL i potpuno preskočio OpenSC.

Izvori:

• Gemalto Cryptoflex na Linuxu, dr Branko Milosavljević, FTN
  http://informatika.ftn.uns.ac.rs/BrankoMilosavljevic/Cryptoflex
• PKCS standardi, slajdovi za kurs Bezbednost u sistemima elektronskog poslovanja, dr Branko Milosavljević, FTN
  http://informatika.ftn.uns.ac.rs/BSEP?action=AttachFile&do=view&target=07+pkcs.pdf
• OpenSC Overview
  http://www.opensc-project.org/opensc/wiki/OverView
• OpenCT Overview
  http://www.opensc-project.org/openct/wiki/OverView
• Quick Start with OpenSC
  http://www.opensc-project.org/opensc/wiki/QuickStart
• OpenSC Supported smart cards and USB Tokens
  http://www.opensc-project.org/opensc/wiki/SupportedHardware
  (estonska, nemačka, buduća francuska, italijanska, portugalska, neke američke pametne kartice za el. potpis/lične karte, i razne opšte pametne kartice)
  Primer zakrpe koja dodaje delimičnu podršku za italijansku eID, i primer kako se normalno objavljuje specifikacija kartice.
• Reverse engineering smart cards, Christian M. Amsuss
  carddecoders, usbmon while running middleware in the VM, pyscard over pcsc
• Smart Card Applications: Design models for using and programming smart cards, Wolfgang Rankl
• pcsc-lite PC/SC API
• Apollo OS 4.03 crypto overview