Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.
Both sides previous revisionEdellinen revisioSeuraava revisio | Edellinen revisioSeuraava revisioBoth sides next revision | ||
faq:alykorttitunnistus [2011-05-01 18:37] – juha.tuomala | faq:alykorttitunnistus [2020-08-12 14:57] – [Älykortilla tunnistautuminen] haa | ||
---|---|---|---|
Rivi 1: | Rivi 1: | ||
+ | ====== Älykortilla tunnistautuminen ====== | ||
+ | Iki:n jäsenrekisteriin on tulossa (ehkä joskus kunhan iki-uisuus-projekti valmistuu) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla. | ||
+ | |||
+ | Jos haluat kokeilla toimiiko henkilökortilla tunnistautuminen koneessasi, voit käyttää testipalvelua https:// | ||
+ | ===== Älykortin käyttäminen ===== | ||
+ | |||
+ | VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, | ||
+ | |||
+ | |||
+ | ==== Windows ==== | ||
+ | |||
+ | * TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii | ||
+ | ==== Mac OS X ==== | ||
+ | |||
+ | * Asennusohje (OSX 10.6.7 ja Firefox 4.0.1 kokeiltu 2011-06-01) | ||
+ | - Imuroi VRK:n sivuilta Mac-ohjelmisto (mPollux) | ||
+ | - Osta joku USB-älykortinlukija (ainakin Viron malli toimii hyvin) | ||
+ | - Asenna Mac-ohjelmisto | ||
+ | - Tällä voi vaihtaa PIN-koodit suoraan asennuksen jälkeen, testaa näin että homma toimii | ||
+ | - Firefox 4 asennus: | ||
+ | - Laita Firefox 32-bittiseen tilaan (muuten VRK:n 32-bittinen kirjasto ei lataudu) | ||
+ | - Etsi Firefox -sovellus (yleensä / | ||
+ | - Valitse Firefox (yksi klikkaus, älä avaa) | ||
+ | - Valite get-info (Komento+I). | ||
+ | - Laita kohta "run in 32 bit mode" päälle. | ||
+ | - Sulje ikkuna | ||
+ | - Sulje ja avaa Firefox uudelleen jos oli käytössä | ||
+ | - Firefoxiin VRK-softan linkitys: | ||
+ | - Firefox-valikko | ||
+ | - Preferences... | ||
+ | - Advanced | ||
+ | - Encryption | ||
+ | - Security Devices | ||
+ | - Load | ||
+ | - nimeksi vaikka VRK mPollux ja Browse:lla hae / | ||
+ | - Load (jos tulee "Load failed" | ||
+ | - **Väliaikainen viritys** jolla kierretään admin.iki.fi: | ||
+ | - Laita url-kohtaan about: | ||
+ | - Laita Filter-kohtaan renego_un | ||
+ | - Klikkaa " | ||
+ | - Firefox 4 käyttö: | ||
+ | * Mene www-sivulle joka haluaa tunnistusta (iki testi https:// | ||
+ | * Firefox kysyy kumpaa avainta haluat käyttää, valitse tunnistusavain (valinnan voinee tallettaa?) | ||
+ | * Anna PIN-koodi kun sitä kysytään | ||
+ | * Homma pelittää | ||
+ | * Sekalaisia kommentteja | ||
+ | * Nähtävästi Safari ja Mail ei oikein pelitä VRK-kortin kanssa. | ||
+ | |||
+ | ==== NetBSD ==== | ||
+ | |||
+ | * Asenna paketit: security/ | ||
+ | * Käynnistä pcsc-lite: / | ||
+ | * Tarkista että kortti toimii sanomalla esim '' | ||
+ | |||
+ | < | ||
+ | |||
+ | ~> | ||
+ | Using reader with a card: OmniKey CardMan 1021 00 00 | ||
+ | X.509 Certificate [todentamis- ja salausvarmenne] | ||
+ | Flags : 0 | ||
+ | Authority: no | ||
+ | Path : 3f004331 | ||
+ | ID : 45 | ||
+ | |||
+ | X.509 Certificate [allekirjoitusvarmenne] | ||
+ | Flags : 0 | ||
+ | Authority: no | ||
+ | Path : 3f0050164332 | ||
+ | ID : 46 | ||
+ | |||
+ | X.509 Certificate [VRK Gov. Root CA] | ||
+ | Flags : 0 | ||
+ | Authority: yes | ||
+ | Path : 3f004334 | ||
+ | ID : 48 | ||
+ | |||
+ | X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates] | ||
+ | Flags : 0 | ||
+ | Authority: yes | ||
+ | Path : 3f004333 | ||
+ | ID : 47 | ||
+ | </ | ||
+ | ==== Linux ==== | ||
+ | |||
+ | Linuxilla on aktiivinen käyttäjäyhteisö Suomessa joka on myös ohjeistanut [[http:// | ||
+ | |||
+ | ===== Viron Henkilökortti ===== | ||
+ | |||
+ | Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia. | ||
+ | |||
+ | Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee). | ||
+ | |||
+ | http:// | ||
+ | http:// | ||
+ | http:// | ||
+ | |||
+ | ==== WWW-palvelun Ohjeita ==== | ||
+ | |||
+ | Sivulla http:// | ||
+ | |||
+ | ==== Käyttäjän Ohjeita ==== | ||
+ | |||
+ | === Yleistä Linuxeissa === | ||
+ | |||
+ | * Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen. | ||
+ | * Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa. | ||
+ | * ODF dokumenttien allekirjoitus OpenOfficessa. | ||
+ | |||
+ | === Ubuntu Linux === | ||
+ | |||
+ | === Fedora Linux === | ||
+ | |||
+ | * qesteidutil (digidoc työkalut) | ||
+ | * mozilla-esteid (c-kielinen allekirjoitusplugin) | ||
+ | * esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen) | ||
+ | * Asennus: yum install -y \*esteid\* | ||
+ | |||
+ | === Mac === | ||
+ | |||
+ | * Lataa paketit: https:// | ||
+ | |||
+ | === Windows === | ||
+ | |||
+ | ===== Älykortin muut käyttötavat ===== | ||
+ | |||
+ | Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen. | ||
+ | |||
+ | ==== Tiedostojen salaus ja allekirjoitus ==== | ||
+ | |||
+ | FIXME Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja. | ||
+ | |||
+ | ==== SSH-tunnistus ==== | ||
+ | |||
+ | SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta. | ||
+ | |||
+ | Käyttö onnistuu näin: | ||
+ | |||
+ | - Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta | ||
+ | * Esim. ssh-add -s / | ||
+ | - Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio | ||
+ | * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/ | ||
+ | * Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa | ||
+ | - Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella | ||
+ | * ssh kohdekone normaalisti | ||
+ | |||
+ | === SSH-Agent === | ||
+ | |||
+ | ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, | ||
+ | |||
+ | ssh-agent: | ||
+ | |||
+ | * Linux | ||
+ | * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, | ||
+ | * On hyvin mahdollista, | ||
+ | * Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; | ||
+ | * Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; | ||
+ | * Esim. ssh-add -s / | ||
+ | * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/ | ||
+ | * Mac OS X | ||
+ | * ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran. | ||
+ | * Windows SSH-clientit FIXME |