U Zakonu o elektroničkom potpisu iz 2002. godine, elektronički potpis definiran je kao “skup podataka u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku, i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanog elektroničkog doku­menta”.

Makedonska tvrtka NextSense iz Skoplja, autor je i vlasnik na ovom području vrlo interesantnog rješenja koje se zove NextSense Signing Suite. U taj skup alata ugrađeno je više od 15 godina iskustva i znanja vezanih uz digitalno potpisivanje, prema najnovijoj europskoj regulativi i standardima. Svi proizvodi sukladni su direktivi EU For Trusted Services 910/2014 te zakonima o podacima u elektronskom obliku i elektronskom potpisu. Radi se o skupu proizvoda namijenjenih digitalnom potpisivanju, time stampingu (“pečaćenju”) i verifikaciji dokumenata temeljenoj na svim spomenutim standardima i direktivama. Kroz ovaj “skup”, siguran elektronički potpis omogućen je na svim razinama, jer funkcionira potpisivanje kroz browser, remote potpisivanje, potpisivanje na serverskoj strani i potpisivanje kroz customer ready portal za orkestraciju potpisivanja, pa različite PDF, XML ili neke druge dokumente možemo potpisati bez obzira na to jesmo li u uredu ili izvan njega.

Signing Extension

Zacijelo najvažniji dio ovog paketa je komponenta Signing Extension. To je API namijenjen developerima kako bi svojoj aplikaciji omogućili elektronsko potpisivanje, a bez zadubljivanja u svu problematiku koju to nosi. Integrira se u različite sustave, a koristi se za potpisivanje XML, PDF te ostalih tekstualnih datoteka.

Ovo je takozvana native browser ekstenzija, koja se integrira s browserom, a komunikacija između ekstenzije i web-aplikacije koju razvija korisnik koji je licencirao ekstenziju, odvija se kroz JavaScript. Dakle, ako želimo upotrijebiti client side signatures (potpis koji se nalazi na smart kartici ili na tokenu), koristimo ekstenziju tako da web-aplikacija komunicira preko JavaScripta u client contextu na browseru s “ekstenzijom”, a ona odrađuje proces potpisivanja s tokenom ili smart karticom s lokalnog računala.

Jedan od glavnih problema koji se rješavaju ovom ekstenzijom jest problem podrške krajnjim korisnicima za potpisivanje kroz zastarjele tehnologije, kao što su ActiveX za IE, ili kroz Java applet na browserima koji ga još uvijek podržavaju (IE ili starija Mozilla). Chrome, Opera, nove verzije Mozille i Edgea više ne podržavaju MPAPI integraciju s Javom. U tim browserima takav način potpisivanja više nije moguć.

NextSenseova signing ekstenzija integrira se sa svim modernim browserima i ne koristi Javu nego, kako je spomenuto, radi na native browser supported način.

Tehnologija i razvoj

Tehnologija upotrebljena za građenje ove ekstenzije odgovara standardima browser extension frameworka, a sama ekstenzija verificirana je od proizvođača u procesima koji su trajali više mjeseci, kako bi se potvrdila komunikacija između testne aplikacije i ekstenzije, kao i sam proces potpisivanja, ali i kako bi se uvjerili da ekstenzija ne fingira kao “man-in-the-middle” te da se podaci, koje aplikacija razmjenjuje s ekstenzijom, ne mijenjaju. Svaka se nova verzija ili nadogradnja ekstenzije također provjerava i verificira od svih tangiranih proizvođača browsera.

Postoje zasebne ekstenzije za potpisivanje PDF te XML i tekstualnih datoteka, a njihov je razvoj bio iniciran Googleovom “prijetnjom” otprije nekoliko godina da nove verzije Chromea od 31. prosinca 2016. neće više podržavati Javu, tako da je ekstenzija za Chrome u produkciji od listopada 2015., za Operu od siječnja 2016., Mozillu od studenoga 2016. te Edge od prosinca 2017. godine. Sve su, naravno, usklađene s važećom regulativom EU, odnosno novom eIDAS (electronic IDentification, Authentication and trust Services) regulativom i svim standardima ETSI organizacije koji se odnose na potpisivanje XML i PDF dokumenata. To znači da su podržane sve verzije PAdES (PDF Advanced Electronic Signatures) i XAdES (XML Advanced Electronic Signatures) standarda sa svim svojim ograničenjima. Također, podržani su i legacy standardi, kao, primjerice, XML Digital Signatures.

U procesu potpisivanja može se koristiti time stamping i visual signature u PDF-u, a u XML-u, pak, potpis može biti unutar XML datoteke ili izvan nje.

VEZANO: Veracomp novi zastupnik NextSense rješenja

Brza primjena

Jedna od važnijih odlika ove ekstenzije je i vrlo brza integracija u postojeće aplikacije, a sam način integracije za developere je izrazito brz i bezbolan.

Prema dosadašnjim iskustvima, nakon isporuke API dokumentacije i otprilike sat vremena edukacije, developeri su bili u stanju potpuno primijeniti sve funkcionalnosti ekstenzije. Jedan od razloga za to je i činjenica da ekstenzija podržava sve popularne preglednike pa je time eliminirano prilagođavanje za nekoliko različitih okolina.

U NextSenseu s ponosom ističu da su za svaki od spomenutih browsera bili prva predstavljena ekstenzija za elektronsko potpisivanje te ujedno i jedina podržana na sva četiri najpopularnija browsera. Ekstenzija nije ovisna o korištenom hardveru, odnosno o verziji tokena ili verziji smart kartice, nego funkcionira sa svakim hardverom koji prepoznaje OS i za njega ima pripadajući upravljački program.

Ekstenzija uvijek podržava posljednju verziju browsera jer je kompanija u beta programu svih proizvođača, tako da korisnici ne moraju više strahovati od automatske nadogradnje preglednika na novu verziju, koja bi potencijalno rezultirala prestankom rada ovakvih funkcionalnosti.

Kôd za integraciju na svim je browserima jednak, a u posljednje vrijeme napravljena je i verzija za ActiveX, kako bi se zadovoljili korisnici koji imaju klijente na IE, i kako bi im se olakšao prijelaz na moderne browsere.

Specifičnosti potpisivanja raznih vrsta dokumenata

Mogućnosti potpisivanja XML dokumenata vrlo su široke pa se tako može potpisati samo određeni dio dokumenta, a možemo odrediti i gdje će se potpis nalaziti unutar ili izvan XML datoteke, što se jednostavno konfigurira unutar API-ja. Podržan je i layered signature, odnosno countersigning, dakle potpisivanje više osoba na istom dokumentu te time stamping, odnosno zapisivanje vremena potpisa. Sve spomenuto se kroz ekstenziju može odraditi i reverzibilno, odnosno može se napraviti validacija i provjera već potpisanog dokumenta sa svim njegovim parametrima.

Prilikom potpisivanja PDF-a imamo pregled datoteke unutar ekstenzije te prikaz prethodnih potpisa (ako ih ima) kao u signature panelu. Možemo odrediti gdje će se unutar PDF-a nalaziti potpis i kako će izgledati. To može biti samo okvir s detaljima potpisa, ili skenirani potpis zalijepljen na dokument, ali sa svim svojstvima elektronskog potpisa. Ako je dokument već potpisan, automatski se radi potpisivanje na nekoliko razina (layered signing). Nakon potpisivanja, dokument je moguće zaključati lozinkom ili kriptiranim certifikatom.

Podržan je i LTV (long term validation) standard, definiran unutar PAdES-a, gdje se u trenutku potpisivanja poziva takozvani time stamp provider pa se na potpis dodaje i točno vrijeme potpisivanja dokumenta. Svi podaci potrebni za validaciju nalaze se s potpisom, što uključuje i revocation listu izdavača, pa se u kasnijoj validaciji potpisa (pa i nakon više godina) možemo uvjeriti je li potpis bio važeći u trenutku potpisivanja dokumenta.

Licenciranje

Ekstenziju ne licencira krajnji korisnik nego kuća koja razvija aplikaciju i daje ju na korištenje krajnjem korisniku, a vezana je uz aplikacijsku domenu (FQDN), pa su, primjerice, www.nextsense.com i sign.nextsense.com dvije različite aplikacijske domene, no ako se koristi www.nextsense.com/app1 i www.nextsense.com/app2, onda se to tretira kao jedinstvena pretplata. Pretplatnu jedinicu (subscription unit) čini jednogodišnja pretplata za jednu aplikaciju, dakle, trogodišnja pretplata za dvije aplikacije sačinjava šest pretplatnih jedinica. Na veći broj pretplatnih jedinica odobravaju se popusti koji, ovisno o broju, mogu doseći i do 50%. Načelna cijena jedne jedinice je oko 15.000 eura, ali to nikako ne treba uzeti zdravo za gotovo, jer se stvarna cijena dogovara sa svakim korisnikom ponaosob, a ovisi o mnogim faktorima. Ako je potrebno, može se omogućiti i trial (probna) licenca, koja se nakon isteka deaktivira ili jednostavno pretvara u punu.

Ovo definitivno nije tema ni proizvod za široke mase, nego prije svega za ljude koji se bave razvojem aplikacija koje kao jednu od svojih komponenata zahtijevaju elektronički potpis. Ako spadate među njih, zanimat će vas da se instalacija ekstenzije, potpisivanje, validacija i ostale funkcionalnosti spomenute u tekstu, kao i niz drugih, mogu iskušati u NextSenseovom službenom demou (signingextension.nextsense.com).

Jedna instalacija

Kad neki veliki korisnik (banka, telekom, zavod za osiguranje…) licencira ekstenziju za XML potpisivanje i iskoristi ju za nekoliko tisuća ili desetaka tisuća svojih korisnika, a neki drugi veliki klijent licencira komponentu za svoje potrebe, krajnji korisnici obiju kompanija nemaju potrebu za ponovnom instalacijom ekstenzije pa se time ukupan broj instalacija smanjuje. To znači da se ne gomilaju razne verzije, a samim time ni smeće na vašem računalu, koje bi moglo nastati jer, primjerice, potpisivanje dokumenata kod raznih ustanova traži razne verzije Jave.

Nedavna implementacija NextSenseove ekstenzije za jednog velikog korisnika u makedonskoj javnoj upravi pokazala je da je za pet dana napravljeno 17.000 instalacija ekstenzije kod krajnjih korisnika, bez ijednog poziva službi za podršku! Neobično je važno da sama instalacija ne traži administratorske ovlasti na računalu korisnika, što iznimno olakšava implementaciju u kontroliranim okolinama. Treba reći i da je ekstenzija lokalizirana za više jezika, uključujući hrvatski.

Za ekstenziju nema prepreka ni pri potpisivanju vrlo velikih datoteka (arhitektonski projekti, nacrti…), jer se cijela procedura odvija u pozadini, a kroz API filtering developeri mogu ograničiti prihvaćanje certifikata, stoga se mogu ograničiti na određenu zemlju, ili ga selektirati prema nekom drugom ključu.

NextSense Signing Extension