Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.
Both sides previous revisionEdellinen revisioSeuraava revisio | Edellinen revisio | ||
faq:alykorttitunnistus [2011-06-01 12:08] – haa | faq:alykorttitunnistus [2021-12-14 12:32] (nykyinen) – [Älykortin käyttäminen] haa | ||
---|---|---|---|
Rivi 1: | Rivi 1: | ||
+ | ====== Älykortilla tunnistautuminen ====== | ||
+ | Iki:n jäsenrekisteriin on mahdollista tunnistautua (suomalaisella ja myöhemmin mahdollisesti myös muiden maiden) henkilökortilla. | ||
+ | |||
+ | Jos haluat kokeilla toimiiko henkilökortilla tunnistautuminen koneessasi, voit käyttää testipalvelua https:// | ||
+ | |||
+ | ===== Älykortin käyttäminen ===== | ||
+ | |||
+ | Digi- ja väestötietovirasto tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, | ||
+ | |||
+ | Älykortin käyttämiseksi tarvitset **älykortin lukijan**, yleensä USB-liitännällä tietokoneeseen. Näitä saa kaupoista jotka myyvät IT-laitteita mutta hinnat ja valikoima Suomessa on melko huono. Virossa älykortit ovat laajemmin käytössä ja lukijoita on hyvin saatavilla, FIXME yritämme etsiä tähän nettikaupan mistä niitä saa halvalla ja helposti. | ||
+ | ==== Windows & Linux ==== | ||
+ | |||
+ | * Lataa asennustiedosto dvv:n sivulta ja asenna se. | ||
+ | * Mikäli korttiasi ei ole vielä aktivoitu, aktivoi se [[alykorttitunnistus# | ||
+ | * Asenna turvallisuusmoduuli selaimeesi. | ||
+ | * Etsi selaimestasi Turvallisuuslaitteet / Manage Security Devices | ||
+ | * Lisää uusi turvallisuuslaite ja nimeä se esim DigiSign PKCS# | ||
+ | * Lataa sinne cryptoki.dll tai libcryptoki.so | ||
+ | |||
+ | ==== Mac OS X ==== | ||
+ | |||
+ | * Asennusohje (OSX 10.6.7 ja Firefox 4.0.1 kokeiltu 2011-06-01) | ||
+ | - Imuroi VRK:n sivuilta Mac-ohjelmisto (mPollux) | ||
+ | - Osta joku USB-älykortinlukija (ainakin Viron malli toimii hyvin) | ||
+ | - Asenna Mac-ohjelmisto | ||
+ | - Tällä voi vaihtaa PIN-koodit suoraan asennuksen jälkeen, testaa näin että homma toimii | ||
+ | - Firefox 4 asennus: | ||
+ | - Laita Firefox 32-bittiseen tilaan (muuten VRK:n 32-bittinen kirjasto ei lataudu) | ||
+ | - Etsi Firefox -sovellus (yleensä / | ||
+ | - Valitse Firefox (yksi klikkaus, älä avaa) | ||
+ | - Valite get-info (Komento+I). | ||
+ | - Laita kohta "run in 32 bit mode" päälle. | ||
+ | - Sulje ikkuna | ||
+ | - Sulje ja avaa Firefox uudelleen jos oli käytössä | ||
+ | - Firefoxiin VRK-softan linkitys: | ||
+ | - Firefox-valikko | ||
+ | - Preferences... | ||
+ | - Advanced | ||
+ | - Encryption | ||
+ | - Security Devices | ||
+ | - Load | ||
+ | - nimeksi vaikka VRK mPollux ja Browse:lla hae / | ||
+ | - Load (jos tulee "Load failed" | ||
+ | - **Väliaikainen viritys** jolla kierretään admin.iki.fi: | ||
+ | - Laita url-kohtaan about: | ||
+ | - Laita Filter-kohtaan renego_un | ||
+ | - Klikkaa " | ||
+ | - Firefox 4 käyttö: | ||
+ | * Mene www-sivulle joka haluaa tunnistusta (iki testi https:// | ||
+ | * Firefox kysyy kumpaa avainta haluat käyttää, valitse tunnistusavain (valinnan voinee tallettaa?) | ||
+ | * Anna PIN-koodi kun sitä kysytään | ||
+ | * Homma pelittää | ||
+ | * Sekalaisia kommentteja | ||
+ | * Nähtävästi Safari ja Mail ei oikein pelitä VRK-kortin kanssa. | ||
+ | |||
+ | ==== NetBSD ==== | ||
+ | |||
+ | * Asenna paketit: security/ | ||
+ | * Käynnistä pcsc-lite: / | ||
+ | * Tarkista että kortti toimii sanomalla esim '' | ||
+ | |||
+ | < | ||
+ | |||
+ | ~> | ||
+ | Using reader with a card: OmniKey CardMan 1021 00 00 | ||
+ | X.509 Certificate [todentamis- ja salausvarmenne] | ||
+ | Flags : 0 | ||
+ | Authority: no | ||
+ | Path : 3f004331 | ||
+ | ID : 45 | ||
+ | |||
+ | X.509 Certificate [allekirjoitusvarmenne] | ||
+ | Flags : 0 | ||
+ | Authority: no | ||
+ | Path : 3f0050164332 | ||
+ | ID : 46 | ||
+ | |||
+ | X.509 Certificate [VRK Gov. Root CA] | ||
+ | Flags : 0 | ||
+ | Authority: yes | ||
+ | Path : 3f004334 | ||
+ | ID : 48 | ||
+ | |||
+ | X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates] | ||
+ | Flags : 0 | ||
+ | Authority: yes | ||
+ | Path : 3f004333 | ||
+ | ID : 47 | ||
+ | </ | ||
+ | |||
+ | ==== Linux ==== | ||
+ | |||
+ | Linuxilla on aktiivinen käyttäjäyhteisö Suomessa joka on myös ohjeistanut [[http:// | ||
+ | |||
+ | ==== Aktivointi ==== | ||
+ | |||
+ | Jos sinulla on uusi kortti jota ei ole koskaan käytetty, niin se pitää ensin aktivoida. Aktivointia varten tarvitset kortin mukana tulleen aktivointitunnusluvun. Kun käynnistät DigiSign ohjelman ja laitat uuden kortin sisään, niin aktivoinnin pitäisi käynnistyä automaattisesti. Aktivoinnissa se kysyy siis sen erillisessä kirjeessä tulleen aktivointiluvun ja antaa sinulle mahdollisuuden valita pin koodit. Pin koodeja on kaksi, toinen tunnistautumista varten (4-numeroa) ja toinen allekirjoitusta varten (6-numeroa). | ||
+ | |||
+ | ÄLÄ missään nimessä käytä pin koodina mitään tietoa mikä näkyy itse kortissa, esimerkiksi syntymäaikaasi, | ||
+ | |||
+ | ===== Viron Henkilökortti ===== | ||
+ | |||
+ | Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia. | ||
+ | |||
+ | Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee). | ||
+ | |||
+ | http:// | ||
+ | http:// | ||
+ | http:// | ||
+ | |||
+ | ==== WWW-palvelun Ohjeita ==== | ||
+ | |||
+ | Sivulla http:// | ||
+ | |||
+ | ==== Käyttäjän Ohjeita ==== | ||
+ | |||
+ | === Yleistä Linuxeissa === | ||
+ | |||
+ | * Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen. | ||
+ | * Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa. | ||
+ | * ODF dokumenttien allekirjoitus OpenOfficessa. | ||
+ | |||
+ | === Ubuntu Linux === | ||
+ | |||
+ | === Fedora Linux === | ||
+ | |||
+ | * qesteidutil (digidoc työkalut) | ||
+ | * mozilla-esteid (c-kielinen allekirjoitusplugin) | ||
+ | * esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen) | ||
+ | * Asennus: yum install -y \*esteid\* | ||
+ | |||
+ | === Mac === | ||
+ | |||
+ | * Lataa paketit: https:// | ||
+ | |||
+ | === Windows === | ||
+ | |||
+ | ===== Älykortin muut käyttötavat ===== | ||
+ | |||
+ | Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen. | ||
+ | |||
+ | ==== Tiedostojen salaus ja allekirjoitus ==== | ||
+ | |||
+ | FIXME Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja. | ||
+ | |||
+ | ==== SSH-tunnistus ==== | ||
+ | |||
+ | SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta. | ||
+ | |||
+ | Käyttö onnistuu näin: | ||
+ | |||
+ | - Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta | ||
+ | * Esim. ssh-add -s / | ||
+ | - Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio | ||
+ | * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/ | ||
+ | * Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa | ||
+ | - Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella | ||
+ | * ssh kohdekone normaalisti | ||
+ | |||
+ | === SSH-Agent === | ||
+ | |||
+ | ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, | ||
+ | |||
+ | ssh-agent: | ||
+ | |||
+ | * Linux | ||
+ | * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, | ||
+ | * On hyvin mahdollista, | ||
+ | * Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; | ||
+ | * Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; | ||
+ | * Esim. ssh-add -s / | ||
+ | * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/ | ||
+ | * Mac OS X | ||
+ | * ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran. | ||
+ | * Windows SSH-clientit FIXME |