Sisällysluettelo

Älykortilla tunnistautuminen

Iki:n jäsenrekisteriin on mahdollista tunnistautua (suomalaisella ja myöhemmin mahdollisesti myös muiden maiden) henkilökortilla.

Jos haluat kokeilla toimiiko henkilökortilla tunnistautuminen koneessasi, voit käyttää testipalvelua https://dvv.fi/testaa-varmenteen-kayttoa

Älykortin käyttäminen

Digi- ja väestötietovirasto tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, Linuxille ja Mac OS:lle. Saatavissa DVV:n sivuilta

Älykortin käyttämiseksi tarvitset älykortin lukijan, yleensä USB-liitännällä tietokoneeseen. Näitä saa kaupoista jotka myyvät IT-laitteita mutta hinnat ja valikoima Suomessa on melko huono. Virossa älykortit ovat laajemmin käytössä ja lukijoita on hyvin saatavilla, FIXME yritämme etsiä tähän nettikaupan mistä niitä saa halvalla ja helposti.

Windows & Linux

Mac OS X

NetBSD

~>pkcs15-tool -c
Using reader with a card: OmniKey CardMan 1021 00 00
X.509 Certificate [todentamis- ja salausvarmenne]
        Flags    : 0
        Authority: no
        Path     : 3f004331
        ID       : 45

X.509 Certificate [allekirjoitusvarmenne]
        Flags    : 0
        Authority: no
        Path     : 3f0050164332
        ID       : 46

X.509 Certificate [VRK Gov. Root CA]
        Flags    : 0
        Authority: yes
        Path     : 3f004334
        ID       : 48

X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
        Flags    : 0
        Authority: yes
        Path     : 3f004333
        ID       : 47

Linux

Linuxilla on aktiivinen käyttäjäyhteisö Suomessa joka on myös ohjeistanut henkilökortin asetukset seikkaperäisesti omassa wikissään.

Aktivointi

Jos sinulla on uusi kortti jota ei ole koskaan käytetty, niin se pitää ensin aktivoida. Aktivointia varten tarvitset kortin mukana tulleen aktivointitunnusluvun. Kun käynnistät DigiSign ohjelman ja laitat uuden kortin sisään, niin aktivoinnin pitäisi käynnistyä automaattisesti. Aktivoinnissa se kysyy siis sen erillisessä kirjeessä tulleen aktivointiluvun ja antaa sinulle mahdollisuuden valita pin koodit. Pin koodeja on kaksi, toinen tunnistautumista varten (4-numeroa) ja toinen allekirjoitusta varten (6-numeroa).

ÄLÄ missään nimessä käytä pin koodina mitään tietoa mikä näkyy itse kortissa, esimerkiksi syntymäaikaasi, tai henkilötunnuksenloppuosaa tms.

Viron Henkilökortti

Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia.

Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).

http://www.id.ee/ http://www.politsei.ee/ http://sk.ee/

WWW-palvelun Ohjeita

Sivulla http://www.id.ee/11051 on Apachen ja IIS:n ohjeita, CA, CRL ja OCSP sijainnit.

Käyttäjän Ohjeita

Yleistä Linuxeissa

Ubuntu Linux

Fedora Linux

Mac

Windows

Älykortin muut käyttötavat

Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen.

Tiedostojen salaus ja allekirjoitus

FIXME Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja.

SSH-tunnistus

SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta.

Käyttö onnistuu näin:

  1. Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta
    • Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
  2. Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio
    • Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys -tiedostoon
    • Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa
  3. Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella
    • ssh kohdekone normaalisti

SSH-Agent

ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjaston kautta älykortin avaimia.

ssh-agent:in käyttäminen: