Nemrég kaptam egy ilyen távszámlás csodát. Kicsit más a leányzó fekvése, sajnos megint hallgattam arra, amit írtál. A fájl _tartalmazza_ a publikus kulcsot, sőt, még időbélyeget és egy nyilatkozatot is a létrehozó személytől (T-Com számla). Ez a része maximálisan rendben van, szó sincs bizalmi elvű digitális aláírásról! Olyan is létezik, de ez nem az. Lényegi oldalról maximálisan megfelelő, ha hitelesített szoftverrel ellenőrzi valaki. De itt van a bukta, nem általános formátumról van szó, hanem egy egyedi Multisignó  formátumú XML alapú fájlról. Ezért csak egy szoftverrel lehet megnyitni, mert ez nem MELASZ formátum, ha jól sejtem (a MELASZ formátum sem publikus, fizetni kell érte). Szerencsére a tartalma szintén maximálisan rendben van, szabványos x.509 és base64 kódolású. Csak a formátum nem az, aminek lennie kellene. Írtam egy bash szkriptet, ezzel ki tudod csomagolni a PDF fájlt. Több is lehet beágyazva, de most csak az első a lényeges:

mssign2pdf.sh

A böngészőhöz való megnyitó szkript (mssign_open.sh):

FIGYELMEZTETÉS: a fenti szkriptek nem hitelesítenek semmit sem, csak kicsomagolják az első megtalált beágyazott fájlt.

Szükség van az xgrep programra, sok disztrib alapból támogatja.
http://www.wohlberg.net/public/software/xml/xgrep/

Mellesleg az sem kizárt, hogy az XML fájl tartalmazza a publikus kulcsot, csak nem találtad meg. Mindenesetre nincs linux alatt működő MELASZ szoftver. Ha többre vagy kíváncsi, nézz körül a megfelelő helyen:

http://www.nhh.hu/?id=hir&cid=827&mid=495&lang=hu

Home – Default

Most néztem, a http://www.tavszamla.hu titkosít (SSL), de nincs megfelelően aláírva, mint pl. a online bankok.  Egyet írok, de nem vagyok elfogult, csak nem találok többet.

http://www.otpbank.hu

Kár lenne árnyékra vetődni. Itt valószínűleg egy szolgáltatót hazugsággal állsz szemben, miszerint „Az oldalon elérhetõ egy „digitálisan aláírt XML-be ágyazott pdf alapú” hiteles számlamásolat”. Sajnos a digitális aláírás != hiteles digitális aláírás. Ebben az esetben tényleg van digitális aláírás, de az un. bizalmi háló típusú, nem pedig a 2001. évi XXV. törvény által meghatározott (fokozott vagy minősített) hiteles digitális aláírás. Mert ugye a honlapon nem találsz olyan nyilatkozatot, hogy megfelel az említett törvénynek, csak annyit hogy „digitális aláírás”.

http://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A0100035.TV

Nem vagyok jogász, nem tudom hol található, de van egy olyan törvény ami a szolgáltatók számlakibocsájtásait szabályozza. De biztos ismerős, hogy sok számlán található ez a mondat: „pecsét és aláírás nélkül is hiteles”. Tehát nem kell hiteles digitális aláírás, de azért kell egy minimális védelem, ami biztosítja hogy a számla nem módosított, és a szolgáltatótól származik. Attól, hogy a publikus kulcs esetleg nyilvános (nem kötelező nyilvánosnak lennie), semmi köze a GPL-hez vagy bármely más licenc-hez. Bárki készíthet ilyet, ingyenes és nagyon alacsony megbízhatóságú. De a semminél egy fokkal több.

Tehát nem jogsértő az a gyakorlat, hogy úgy írnak alá e-számlát digitális aláírás technológiával, hogy nem elérhető a publikus kulcs (max. versenyjogi aggályokat vet fel, küldhetsz levelet a GVH-nak). Windows alatt a „hitelességhez” tökéletesen meg kell bízni két komponensben, a tavszamla.hu oldalban és a Multisigno fejlesztőjében, mert az aláírás hitelessége bizalmi jellegű, és nem ellenőrizhető (nincs hiteles e-aláírás kibocsájtó sem ez esetben). Linux alatt nem tudod ezzel a módszerrel megnézni az aláírás valódiságát, de nem is értem miért hiányzik, mert Windows alatt is alig több a nullánál. A matematikusok külön nevet is adtak ennek a mennyiségnek, ők epszilonnak hívják.

Nyugodtan bányászd ki az XML fájlból a (base64) kódolt PDF fájlt, elég azt tudnod, hogy a tavszamla.hu oldalról töltötted le a saját kezed segítségével, esetleg nézd meg az oldal hitelesítési adatait (SSL), azok rendes hiteles aláírást kell hogy tartalmazzanak. Legalább nem ringatod magad hamis illúzióba, mint a Windows felhasználók, akiket a „hiteles” szóval ilyen módon megvezetnek.