baka kaže:


Adobe ne podržava taj tzv. "kvalificirani" digitalni potpis niti na windowsima, osim ako dokupiš neki plugin koji se naplaćuje mjesečno (i ispada prilično skup). Ali trenutno za potrebe digitalnog potpisivanja projekata nitko ne zahtijeva kvalificirani digitalni potpis - dovoljan je onaj "obični". Jedini koji inzistiraju na kvalificiranom digitalnom potpisu su AKD i Fina (kad digitalno potpisuješ obrasce za ugovaranje njihovih usluga), s tim što oni ne inzistiraju da grafički otisak digitalnog potpisa mora nužno stajati na nekom određenom mjestu. Njima je bitno da je dokument digitalno potpisan i da validacija digitalnog potpisa uredno prolazi.

Isprobano, potpisivanje ECDSA potpisnim certifikatom radi na Windowsima u Adobe Acrobat Readeru normalno. Stara komorska kartica, a i eOsobna, imaju RSA certifikat i to radi kako sam ranije napisao. Nova komorska kartica ima "napredniji" ECDSA potpisni certifikat koji radi na Windowsima i to bez učitavanja potpisnog modula PKCS11 već pomoću middlewarea. Na žalost Adobe isto još nije isto implementirao u Reader za Mac OS, ali kao rade na tome, a kada će ne zna se. Evo, više informacija sam našao ovdje community.adobe.com/questions-12/niet-on...ed-algoritme-1525115

BTW middleware i ovakvo potpisno rješenje koje imamo mi koristi se već dugo u Belgiji, Švicarskoj, Rumunjskoj... tako da se da naći dosta uputa na Adobeovom forumu. Uglavnom, vidim da su Belgijanci prvi krenuli prijavljivati taj problem oko potpisivanja ECDSA certifikatom prije par godina, ali još uvijek nije riješeno Meni nikako ne prolazi na Mac Pro 5,1 OCLP Sequoi, a koliko čitam vjerojatno neće ni na M1, al budem još probao kada uhvatim vremena pa javim.

Nisam siguran da sam shvatio - Adobe Reader potpuno odbije potipisivanje ili dokument bude digitalno potpisan nekvalificiranim potpisom? Moj partner u firmi je dobio novu komorsku karticu prije 3 mjeseca i nije bilo zapinjanja s digitalnim potpisom, samo što digitalni potpis kroz Adobe Reader nije kvalificiran.

Sto znaci da nije kvalificiran?
Sustav eDozvola odbija prihvatiti?

AKD i Fina to zovu "kvalificirani digitalni potpis"

commission.europa.eu/system/files/2023-0...20of%20documents.pdf

E-dozvola i E-dnevnik uredno prihvaćaju i digitalni potpis učinjen kroz Adobe Reader (koji nije "kvalificiran"). Jedini s kojima sam se ja susreo da NE prihvaćaju takav (nekvalificirani) digitalni potpis su Fina i AKD, kad potpisuješ dokumente (tipično neke zahtjeve ili ugovore) za njihove usluge. Moguće je da ne bi prošlo niti sa zahtjevima prema MUPu (npr. za novu vozačku ili novu putovnicu i sl.), ali to nisam imao prilike probati.

Nebitno je, kvalificiran, nekvalificiran... govorim da li radi potpisivanje pdf dokumenata Acrobat Readerom na Macu. Stare kartice su izdane s RSA certifikatom s kojim možeš potpisivati u Acrobat Readeru na Macu. Nova kartica koju sam dobio prije cca mjesec dana ima ECDSA certifikat s kojim u Acrobat Readeru možeš potpisati samo na Windowsima jer Adobe nije integrirao mogućnost potpisivanja ovim certifikatom u Acrobat Readeru za Mac, već radi isključivo na Windowsima. Naime, ECDSA certifikatom se ne potpisuje pomoću PKCS11 modula već pomoću Middlewarea i to u Acrobat Readeru na Macu ne radi. Koliko vidim na Adobe forumu je problem prijavljen još prije 4 godine, a iz njihove podrške odgovaraju prije pola godine da rade na tome

Jesi li probao ovo?
CryptoTokenKit (CTK) Support: In modern macOS (Sequoia/recent), you can try enabling the CryptoTokenKit framework in Adobe Reader: Preferences > Signatures > Creation & Appearance > More… and tick "Enable CryptoTokenKit framework support".

Rado bih ja to probao sam, ali moram dočekati da mi kolega donese svoju karticu. Ona je novija (par mjeseci) pa je možda takva. Moja je od prije 2 godine.

Ja ću baciti pogled na ovo jer ionako već dulje vrijeme tražim neku aplikaciju s kojom bi digitalno potpisivanje fizičkom karticom radilo kako treba, da mogu Adobe kompletno izbaciti iz jednadžbe. Bloatware govno. :
Alternative Solutions: If native ECDSA signing via smart card fails in Acrobat, using third-party tools (like DigiSeal Office) to add the signature field or ensuring the PKCS#11 driver is fully compatible with Apple Silicon/modern macOS is

Evo sad sam probao komorskom karticom od kolege pa te molim da potvrdiš ponaša li se to isto kao kod tebe.
Dakle, kartica ima crnu poleđinu. Kad se umetne u čitač i pokrene Certilia Middleware, pod tabom "certifikati" za oba stoji tip EC 384 (secp384r1).
Kad pokušam potpisati nešto kroz adobe reader, sve je normalno do kraja, kad zatraži ime za novu datoteku (s potpisom) i dobije ga, izbaci grešku "unsupported algorhytam".
Je li to - to?

Da. To je to. Unsupported algorytham i makne potpis koji se na trenutak pojavi, ali ne snimi s njim. Isprobao sam raznorazne workarounde ali ništa nije pomoglo pa sam na kraju potpisao na Windowsima.

Evo danas sam isprobao sve na što sam naletio na bespućima interneta i potpisivanje pdf datoteka pomoću Adobe Acrobat Readera na Macu definitivno ne radi s novim komorskim karticama s ECDSA certifikatom (i moja je crne poleđine) ni na OCLP Mac Pro 5,1, ni na Mac Mini M1, oboje na Sequoia OS-u Nisam našao ni neki drugi upotrebljiv alat tako da za sada ostaje potpisivanje putem Certilinog weba ili na Windowsima, dok Adobe ovo ne odluči pokrpati.

Ja čekam decidiran odgovor od Wondershare PDF Elementa.

Isprobao na brzinu. Uopće ne vidim mogućnost potpisivanja karticom?!

Dok ne platiš, nisi siguran što zapravo može jer "some features are unavailable in free version". Ja imam plaćenu verziju 9, tamo nema ništa, ali nešto sam nagooglao da 12 (možda) ima. Zato čekam odgovor na mail.

U Firmi smo cetralno spustili (SCCM na Windows10ltsc) prije par godina, za (offline) potpisivanje
https://www.foxit.com/pdf-reader/

Neda mi se provjeravati dali sad radi na Macu.

Oni su se pokazali tako kardinalno indolentni i nesposobni da uopće nemam volje probavati opet. Ubili su se od reklame kako podržavaju digitalno potpisivanje, imali su napisane kompletne upute kako se to radi. Downloadao, pokušao potpisati, ne radi ništa prema uputama. Odem na njihov forum, napišem post, nobadi ansver. Nakon druge požurnice javi se netko ih njihovog supporta s 10 glupih pitanja "jeste li uključili uređaj u struju?" i nakon tri iteracije se vrati s lakonskim odgovorom "I'm sorry, this feature actually doesn't work on Mac, but we hope to change that soon.". Godinu dana kasnije vratim se na isti thread, pitam ima li promjena i ne dobijem odgovor. U međuvremenu, skužim da njihov update agent ima CPU i memory leak i ne da se ukloniti normalno, nego treba ubijati procese iz terminala. Od govneta govno.

Mi koristimo ovaj. Ja s njim potpisujem sve dokumente i nikada nisam imao problema u USA. Prolazilo je i drzavne audite i kontrole...

Ne znam ima li EU drugacija pravila.

pdfexpert.com/features/pdf-sign-mac

Jako drugačija. Security u javnom digitalnom prostoru u USA je smijurija. Tamo ljudi još uvijek pristupaju internet bankarstvu pomoću statičkog passworda. Takav potpis možeš staviti na PDF dokument koristeći macOS Preview stock aplikaciju. To je samo šarena sličica.
Digitalni potpis nekog dokumenta je niz brojeva generiran asimetričnim algoritmom na temelju dokumenta koji se potpisuje i osobnog (tajnog) ključa (ili certifikata, kako ga zovu u zadnje vrijeme). Taj niz brojeva se zapisuje u potpisani dokument i to je zapravo digitalni potpis. Grafički prikaz tog potpisa može biti što god želiš (sličica tintenog potpisa, bilo kakva žvrljotina, blok teksta koji opisuje detalje potpisa u obliku čitkom ljudskoj osobi...) ili ga ne mora uopće biti.

Kad se radi autentifikacija potpisa, to je reverzni asimetrični algoritam čiji rezultat usporedbe onog niza brojeva i cijele datoteke koja je potpisana može biti "odgovara" ili "ne odgovara". Ako je rezultat "odgovara", to znači da potpisani dokument nije ni na koji način promijenjen nakon što je potpisan, dakle je onaj identični dokument kojeg je ta osoba postupkom autorizacije digitalnog potpisa - potpisala. Ako "ne odgovara", to znači da je netko mijenjao dokument nakon što je digitalno potpisan (makar to bila i najgljuplja promjena tipa da nakeljiš dvije riječi teksta "URUDŽBIRANO dd.mm.yyyy." na marginu).

Da bi taj digitalni potpis imao stvarnu zakonsku snagu osobnog potpisa klasičnom tintom ovjerenog kod javnog bilježnika (jer to je to što digitalni potpis ima po EU standardima), onaj ma početku spomenuti osobni tajni ključ (iliti certifikat) mora biti opet neki drugi niz brojeva kojim raspolažeš ti i samo ti (osim ako svojevoljno svoj digitalni identitet prepustiš nekom drugom). To se postiže višefaktorski - nečim što imaš i nečim što znaš te eventualno i nečim što jesi (biometrijska identifikacija lica ili prsta). Imaš tu smart karticu na kojoj je ključ i koja ga neće pustiti nikojem čitaču ni računalu dok ne dobije od njega ispravan PIN. To je totalno jednostavan embedded softver na čipu kartice koji je tvrdoglavo tupavo jednostavan. Što hoćeš? Hoću ključ. Hoćeš ključ - daj pin? Ne znaš pin tri puta? Sad hoću ključ za otključavanje? Ne znaš ključ za otključavanje tri puta? To je to, dis mesiđ vil self distrakt in 3 seknds. Puf. Smart čip se ubije i više nikad nitko neće pročitati što na njemu piše. Alternativno, imaš udaljeni certifikat (ključ) u svom mobitelu i svaki put se moraš aplikaciji predstaviti passwordom i svojim licem. Ako zajebeš tri puta, ode certifikat puf, moraš napraviti novi (preko ovlaštene firme).

Dakle, ove američke fore gdje utipkaš svoju e-mail adresu i password 12345 i on ti zakelji žvrljicu na PDF dokument, to je, ono... smiješno da ne može biti smješnije. Samo što Amerikanci to pravno riješe tako da, kako to kažu, naprave liability shift. Stavljanjem takvog potpisa umjesto tintenog ti pristaješ da takav "potpis" jamči tvoj identitet i preuzimaš odgovornost ako ga netko zloupotrebi zato što je provalio tvoj lame statički password ili, još lakše, skimmao tvoju žvrljicu i stavlja je kamo god poželi.

Pa ima smisla

Ovo u USA mi je oduvijek bilo cudno ali eto oni tako posluju.

Pogledaj dokument od prije par dana. Transport opreme za vojnu bazu. Super important load.

Ja sam se barem potrudio da mi potpis lici na pravi, a pogledaj Everett. Samo napisu ovako u Word ili PDF i to je to.

Nikakvi certifikati ne postoje. Barem u ovom mom kamionskom svijetu.

To je koncepcijska razlika u načinu razmišljanja. Europska koncepcija je da propis služi tome da se nešto napravi tako i tako zato što to služi tome i tome. Američka koncepcija je da je samo bitno da znaš koga ćeš tužiti, naguziti, zatvoriti, objesiti, whatever kad ispadne neko sranje. U inženjerskim projektima je taj pristup još jače vidljv.

smayoo kaže:


Samo da javim, na moje upite se nitko živ nije udostojao javiti. Nakon poduljeg chata s njihovim AI botom (koji je na momente postao i zabavan), iščupao sam (nije bilo lako) priznanje da digitalno potpisivanje kroz PDF Element uopće ne radi jer on ne zna pričati direktno sa smart karticom na Macu (nego samo ako je certifikat s kartice dostupan kroz macOS Keychain). Ukratko - ne radi. U nastavku prenosim samo par screenshotova chata s AI chatbotom, zabavno je.