Älykortilla tunnistautuminen

Iki:n jäsenrekisteriin on mahdollista tunnistautua (suomalaisella ja myöhemmin mahdollisesti myös muiden maiden) henkilökortilla.

Jos haluat kokeilla toimiiko henkilökortilla tunnistautuminen koneessasi, voit käyttää testipalvelua https://dvv.fi/testaa-varmenteen-kayttoa

Älykortin käyttäminen

Digi- ja väestötietovirasto tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, Linuxille ja Mac OS:lle. Saatavissa DVV:n sivuilta

Älykortin käyttämiseksi tarvitset älykortin lukijan, yleensä USB-liitännällä tietokoneeseen. Näitä saa kaupoista jotka myyvät IT-laitteita mutta hinnat ja valikoima Suomessa on melko huono. Virossa älykortit ovat laajemmin käytössä ja lukijoita on hyvin saatavilla, yritämme etsiä tähän nettikaupan mistä niitä saa halvalla ja helposti.

Windows & Linux

Lataa asennustiedosto dvv:n sivulta ja asenna se.
Mikäli korttiasi ei ole vielä aktivoitu, aktivoi se Aktivointi ohjeen avulla.
Asenna turvallisuusmoduuli selaimeesi.
- Etsi selaimestasi Turvallisuuslaitteet / Manage Security Devices
- Lisää uusi turvallisuuslaite ja nimeä se esim DigiSign PKCS#11-moduuli
- Lataa sinne cryptoki.dll tai libcryptoki.so

Mac OS X

Asennusohje (OSX 10.6.7 ja Firefox 4.0.1 kokeiltu 2011-06-01)
1. Imuroi VRK:n sivuilta Mac-ohjelmisto (mPollux)
2. Osta joku USB-älykortinlukija (ainakin Viron malli toimii hyvin)
3. Asenna Mac-ohjelmisto
  1. Tällä voi vaihtaa PIN-koodit suoraan asennuksen jälkeen, testaa näin että homma toimii
4. Firefox 4 asennus:
  1. Laita Firefox 32-bittiseen tilaan (muuten VRK:n 32-bittinen kirjasto ei lataudu)
    1. Etsi Firefox -sovellus (yleensä /Applications/Firefox.app).
    2. Valitse Firefox (yksi klikkaus, älä avaa)
    3. Valite get-info (Komento+I).
    4. Laita kohta ”run in 32 bit mode” päälle.
    5. Sulje ikkuna
    6. Sulje ja avaa Firefox uudelleen jos oli käytössä
  2. Firefoxiin VRK-softan linkitys:
    1. Firefox-valikko
    2. Preferences…
    3. Advanced
    4. Encryption
    5. Security Devices
    6. Load
    7. nimeksi vaikka VRK mPollux ja Browse:lla hae /Library/mPolluxDigiSign/cryptoki.1.0.0.dylib (tms, huomaa että tämä eroaa hieman vanhentuneista VRK:n ohjeista)
    8. Load (jos tulee ”Load failed” virheilmoitus, muista laittaa Firefox 32-bittiseen tilaan, kts. yllä)
  3. Väliaikainen viritys jolla kierretään admin.iki.fi:n vanhan SSL-kirjaston bugi
    1. Laita url-kohtaan about:config
    2. Laita Filter-kohtaan renego_un
    3. Klikkaa ”security.ssl.renego_unrestricted_hosts” rivin value-kenttää ja kirjoita siihen admin.iki.fi
5. Firefox 4 käyttö:
  - Mene www-sivulle joka haluaa tunnistusta (iki testi https://admin.iki.fi/perlhst/admin)
  - Firefox kysyy kumpaa avainta haluat käyttää, valitse tunnistusavain (valinnan voinee tallettaa?)
  - Anna PIN-koodi kun sitä kysytään
  - Homma pelittää
Sekalaisia kommentteja
- Nähtävästi Safari ja Mail ei oikein pelitä VRK-kortin kanssa.

NetBSD

Asenna paketit: security/pcsc-lite, security/ccid (kortinlukijan driveri), security/opensc
Käynnistä pcsc-lite: /usr/pkg/sbin/pcscd
Tarkista että kortti toimii sanomalla esim pkcs15-tool -c joka listaa kortilla olevat certifikaatit.

~>pkcs15-tool -c
Using reader with a card: OmniKey CardMan 1021 00 00
X.509 Certificate [todentamis- ja salausvarmenne]
        Flags    : 0
        Authority: no
        Path     : 3f004331
        ID       : 45

X.509 Certificate [allekirjoitusvarmenne]
        Flags    : 0
        Authority: no
        Path     : 3f0050164332
        ID       : 46

X.509 Certificate [VRK Gov. Root CA]
        Flags    : 0
        Authority: yes
        Path     : 3f004334
        ID       : 48

X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
        Flags    : 0
        Authority: yes
        Path     : 3f004333
        ID       : 47

Linux

Linuxilla on aktiivinen käyttäjäyhteisö Suomessa joka on myös ohjeistanut henkilökortin asetukset seikkaperäisesti omassa wikissään.

Aktivointi

Jos sinulla on uusi kortti jota ei ole koskaan käytetty, niin se pitää ensin aktivoida. Aktivointia varten tarvitset kortin mukana tulleen aktivointitunnusluvun. Kun käynnistät DigiSign ohjelman ja laitat uuden kortin sisään, niin aktivoinnin pitäisi käynnistyä automaattisesti. Aktivoinnissa se kysyy siis sen erillisessä kirjeessä tulleen aktivointiluvun ja antaa sinulle mahdollisuuden valita pin koodit. Pin koodeja on kaksi, toinen tunnistautumista varten (4-numeroa) ja toinen allekirjoitusta varten (6-numeroa).

ÄLÄ missään nimessä käytä pin koodina mitään tietoa mikä näkyy itse kortissa, esimerkiksi syntymäaikaasi, tai henkilötunnuksenloppuosaa tms.

Viron Henkilökortti

Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia.

Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).

http://www.id.ee/ http://www.politsei.ee/ http://sk.ee/

WWW-palvelun Ohjeita

Sivulla http://www.id.ee/11051 on Apachen ja IIS:n ohjeita, CA, CRL ja OCSP sijainnit.

Käyttäjän Ohjeita

Yleistä Linuxeissa

Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen.
Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa.
ODF dokumenttien allekirjoitus OpenOfficessa.

Ubuntu Linux

Fedora Linux

qesteidutil (digidoc työkalut)
mozilla-esteid (c-kielinen allekirjoitusplugin)
esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen)
Asennus: yum install -y \*esteid\*

Mac

Lataa paketit: https://installer.id.ee/ ja asenna.

Windows

Älykortin muut käyttötavat

Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen.

Tiedostojen salaus ja allekirjoitus

Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja.

SSH-tunnistus

SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta.

Käyttö onnistuu näin:

Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta
- Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio
- Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys -tiedostoon
- Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa
Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella
- ssh kohdekone normaalisti

SSH-Agent

ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjaston kautta älykortin avaimia.

ssh-agent:in käyttäminen:

Linux
- Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
- On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi – katso dokumentaatiosta tai ps-komennolla
- Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh
- Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku
- Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
- Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla
Mac OS X
- ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran.
Windows SSH-clientit