Käyttäjän työkalut

Sivuston työkalut


faq:alykorttitunnistus

Älykortilla tunnistautuminen

Iki:n jäsenrekisteriin on tulossa (ehkä joskus) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla.

Älykortin käyttäminen

VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, Linuxille ja Mac OS:lle. Saatavissa VRK:n sivuilta

Windows

  • TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii

Mac OS X

  • Asennusohje (OSX 10.6.7 ja Firefox 4.0.1 kokeiltu 2011-06-01)
    1. Imuroi VRK:n sivuilta Mac-ohjelmisto (mPollux)
    2. Osta joku USB-älykortinlukija (ainakin Viron malli toimii hyvin)
    3. Asenna Mac-ohjelmisto
      1. Tällä voi vaihtaa PIN-koodit suoraan asennuksen jälkeen, testaa näin että homma toimii
    4. Firefox 4 asennus:
      1. Laita Firefox 32-bittiseen tilaan (muuten VRK:n 32-bittinen kirjasto ei lataudu)
        1. Etsi Firefox -sovellus (yleensä /Applications/Firefox.app).
        2. Valitse Firefox (yksi klikkaus, älä avaa)
        3. Valite get-info (Komento+I).
        4. Laita kohta ”run in 32 bit mode” päälle.
        5. Sulje ikkuna
        6. Sulje ja avaa Firefox uudelleen jos oli käytössä
      2. Firefoxiin VRK-softan linkitys:
        1. Firefox-valikko
        2. Preferences…
        3. Advanced
        4. Encryption
        5. Security Devices
        6. Load
        7. nimeksi vaikka VRK mPollux ja Browse:lla hae /Library/mPolluxDigiSign/cryptoki.1.0.0.dylib (tms, huomaa että tämä eroaa hieman vanhentuneista VRK:n ohjeista)
        8. Load (jos tulee ”Load failed” virheilmoitus, muista laittaa Firefox 32-bittiseen tilaan, kts. yllä)
      3. Väliaikainen viritys jolla kierretään admin.iki.fi:n vanhan SSL-kirjaston bugi
        1. Laita url-kohtaan about:config
        2. Laita Filter-kohtaan renego_un
        3. Klikkaa ”security.ssl.renego_unrestricted_hosts” rivin value-kenttää ja kirjoita siihen admin.iki.fi
    5. Firefox 4 käyttö:
      • Mene www-sivulle joka haluaa tunnistusta (iki testi https://admin.iki.fi/perlhst/admin)
      • Firefox kysyy kumpaa avainta haluat käyttää, valitse tunnistusavain (valinnan voinee tallettaa?)
      • Anna PIN-koodi kun sitä kysytään
      • Homma pelittää
  • Sekalaisia kommentteja
    • Nähtävästi Safari ja Mail ei oikein pelitä VRK-kortin kanssa.

NetBSD

  • Asenna paketit: security/pcsc-lite, security/ccid (kortinlukijan driveri), security/opensc
  • Käynnistä pcsc-lite: /usr/pkg/sbin/pcscd
  • Tarkista että kortti toimii sanomalla esim pkcs15-tool -c joka listaa kortilla olevat certifikaatit.
~>pkcs15-tool -c
Using reader with a card: OmniKey CardMan 1021 00 00
X.509 Certificate [todentamis- ja salausvarmenne]
        Flags    : 0
        Authority: no
        Path     : 3f004331
        ID       : 45

X.509 Certificate [allekirjoitusvarmenne]
        Flags    : 0
        Authority: no
        Path     : 3f0050164332
        ID       : 46

X.509 Certificate [VRK Gov. Root CA]
        Flags    : 0
        Authority: yes
        Path     : 3f004334
        ID       : 48

X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
        Flags    : 0
        Authority: yes
        Path     : 3f004333
        ID       : 47

Linux

Linuxilla on aktiivinen käyttäjäyhteisö Suomessa joka on myös ohjeistanut henkilökortin asetukset seikkaperäisesti omassa wikissään.

Viron Henkilökortti

Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia.

Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).

http://www.id.ee/ http://www.politsei.ee/ http://sk.ee/

WWW-palvelun Ohjeita

Sivulla http://www.id.ee/11051 on Apachen ja IIS:n ohjeita, CA, CRL ja OCSP sijainnit.

Käyttäjän Ohjeita

Yleistä Linuxeissa

  • Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen.
  • Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa.
  • ODF dokumenttien allekirjoitus OpenOfficessa.

Ubuntu Linux

Fedora Linux

  • qesteidutil (digidoc työkalut)
  • mozilla-esteid (c-kielinen allekirjoitusplugin)
  • esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen)
  • Asennus: yum install -y \*esteid\*

Mac

Windows

Älykortin muut käyttötavat

Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen.

Tiedostojen salaus ja allekirjoitus

FIXME Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja.

SSH-tunnistus

SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta.

Käyttö onnistuu näin:

  1. Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta
    • Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
  2. Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio
    • Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys -tiedostoon
    • Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa
  3. Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella
    • ssh kohdekone normaalisti

SSH-Agent

ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjaston kautta älykortin avaimia.

ssh-agent:in käyttäminen:

  • Linux
    • Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
    • On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi – katso dokumentaatiosta tai ps-komennolla
    • Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh
    • Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku
    • Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
    • Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla
  • Mac OS X
    • ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran.
  • Windows SSH-clientit FIXME
faq/alykorttitunnistus.txt · Viimeksi muutettu: 2011-06-01 12:15 / juha.tuomala