Forum


Powrót Brak integralności odszyfrowanego na miniportalu plików (spakowanych zip)

B.

Beata .....

48

Witam
Czy ktoś potkał się z podobnym problemem i co powinien zrobić zamawiający aby upewnić się co do walidacji podpisów.
Zamówienie powyżej progów. Zamawiający korzysta z miniportalu. Wpływają 4 oferty z czego jedna w pliku pdf zaszyfrowana, pozostałe w kilku różnych plikach spakowane i zaszyfrowane. Zamawiający odszyfrowuje za pomocą klucza prywatnego odczytuje oferty na otwarciu. Przy walidacji podpisów okazuje się, że oferta w pdf nie zawiera podpisu natomiast pozostałe trzy po deszyfracji i rozpakowaniu sa podpisane prawidłowo jedynie częściowo. Negatywny wynik weryfikacji w trzech ofertach otrzymuje plik excel który we wszystkich trzech przypadkach jest podpisany podpisem zewnętrznym Xades. Dziwna sytuacja więc Zamawiający drąży temat. Weryfikuje podpisy korzystając z co najmniej 3 programów dostawców kwalifikowanych podpisów oraz ze strony https://weryfikacjapodpisu.pl/verification/. Wynik negatywny otrzymuje jedynie plik z rozszerzeniem xls. W sprawę włącza się informatyk który stwierdza, że przy weryfikacji sum kontrolnych plików – SHA256 że w pliku podpisywanym xls i podpisie Xades są inne sumy czyli, że plik po podpisaniu został poddany modyfikacji. I już Zamawiający przygotowuje się do odrzucenia wszystkich ofert (podpisu na tym dokumencie stanowiącym ważną część oferty nie można uzupełnić) i postanawia ponownie ściągnąć ofert z ePuap, deszyfrować i zweryfikować. I jakież zdziwienie, radość pomieszana z rozczarowaniem bo 3 oferty są prawidłowo podpisane. Wynik ostatecznie mnie cieszy, ale zastanawiam się co poszło nie tak? Jeśli po kilku dniach dało się oferty zweryfikować pozytywnie to oznacza, że wina leży albo po stronie miniportalu, ePuapu, sprzętu, oprogramowania, albo mojej bo ja osobiście wykonywałam te czynności. Jestem przekonana że za każdym razem robiłam tak samo więc skąd różne wyniki? Jak to sprawdzić i jak uchronić się przed podobną pułapką?
Witam Czy ktoś potkał się z podobnym problemem i co powinien zrobić zamawiający aby upewnić się co do walidacji podpisów. Zamówienie powyżej progów. Zamawiający korzysta z miniportalu. Wpływają 4 oferty z czego jedna w pliku pdf zaszyfrowana, pozostałe w kilku różnych plikach spakowane i zaszyfrowane. Zamawiający odszyfrowuje za pomocą klucza prywatnego odczytuje oferty na otwarciu. Przy walidacji podpisów okazuje się, że oferta w pdf nie zawiera podpisu natomiast pozostałe trzy po deszyfracji i rozpakowaniu sa podpisane prawidłowo jedynie częściowo. Negatywny wynik weryfikacji w trzech ofertach otrzymuje plik excel który we wszystkich trzech przypadkach jest podpisany podpisem zewnętrznym Xades. Dziwna sytuacja więc Zamawiający drąży temat. Weryfikuje podpisy korzystając z co najmniej 3 programów dostawców kwalifikowanych podpisów oraz ze strony https://weryfikacjapodpisu.pl/verification/. Wynik negatywny otrzymuje jedynie plik z rozszerzeniem xls. W sprawę włącza się informatyk który stwierdza, że przy weryfikacji sum kontrolnych plików – SHA256 że w pliku podpisywanym xls i podpisie Xades są inne sumy czyli, że plik po podpisaniu został poddany modyfikacji. I już Zamawiający przygotowuje się do odrzucenia wszystkich ofert (podpisu na tym dokumencie stanowiącym ważną część oferty nie można uzupełnić) i postanawia ponownie ściągnąć ofert z ePuap, deszyfrować i zweryfikować. I jakież zdziwienie, radość pomieszana z rozczarowaniem bo 3 oferty są prawidłowo podpisane. Wynik ostatecznie mnie cieszy, ale zastanawiam się co poszło nie tak? Jeśli po kilku dniach dało się oferty zweryfikować pozytywnie to oznacza, że wina leży albo po stronie miniportalu, ePuapu, sprzętu, oprogramowania, albo mojej bo ja osobiście wykonywałam te czynności. Jestem przekonana że za każdym razem robiłam tak samo więc skąd różne wyniki? Jak to sprawdzić i jak uchronić się przed podobną pułapką?
0
2020-06-24 10:30 0

W.

Wojciech .....

Fachowiec 814

Skoro sprawa zamknięta - to nie myśl o tym. Każdy sprzęt i program elektroniczny ma to do siebie, że może mieć błędy (nawet zwykłae otwarcie PC przez źle doczytany programowo rejestr) a po resecie jest już OK. Wniosek jeden, jesli cos nie wychodzi trzeba próbować. Może wcześniej były sprawdzane z klucza, który przez pomyłkę był otworzony w edytorze a potem na jeszcze raz pobranym kluczu?
Skoro sprawa zamknięta - to nie myśl o tym. Każdy sprzęt i program elektroniczny ma to do siebie, że może mieć błędy (nawet zwykłae otwarcie PC przez źle doczytany programowo rejestr) a po resecie jest już OK. Wniosek jeden, jesli cos nie wychodzi trzeba próbować. Może wcześniej były sprawdzane z klucza, który przez pomyłkę był otworzony w edytorze a potem na jeszcze raz pobranym kluczu?
0
2020-06-24 13:11 0
Chcesz zobaczyć kontynuację tej dyskusji? Przyjdź na szkolenie i uzyskaj dostęp do EduStrefy