Käyttäjän työkalut

Sivuston työkalut


faq:alykorttitunnistus

Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

Linkki vertailunäkymään

Both sides previous revision Edellinen revisio
Seuraava revisio
Edellinen revisio
faq:alykorttitunnistus [2011-04-30 16:29]
johan.myreen
faq:alykorttitunnistus [2019-05-03 11:19] (nykyinen)
haa [Älykortilla tunnistautuminen]
Rivi 1: Rivi 1:
 +====== Älykortilla tunnistautuminen ======
  
 +Iki:n jäsenrekisteriin on tulossa (ehkä joskus kunhan iki-uisuus-projekti valmistuu) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla.
 +
 +===== Älykortin käyttäminen =====
 +
 +VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille,​ Linuxille ja Mac OS:lle. Saatavissa [[http://​fineid.fi/​default.aspx?​docid=2227&​site=9&​id=294|VRK:​n sivuilta]]
 +
 +
 +==== Windows ====
 +
 +  * TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii
 +==== Mac OS X ====
 +
 +  * Asennusohje (OSX 10.6.7 ja Firefox 4.0.1 kokeiltu 2011-06-01)
 +    - Imuroi VRK:n sivuilta Mac-ohjelmisto (mPollux)
 +    - Osta joku USB-älykortinlukija (ainakin Viron malli toimii hyvin)
 +    - Asenna Mac-ohjelmisto
 +      - Tällä voi vaihtaa PIN-koodit suoraan asennuksen jälkeen, testaa näin että homma toimii
 +    - Firefox 4 asennus:
 +      - Laita Firefox 32-bittiseen tilaan (muuten VRK:n 32-bittinen kirjasto ei lataudu)
 +        - Etsi Firefox -sovellus (yleensä /​Applications/​Firefox.app).
 +        - Valitse Firefox (yksi klikkaus, älä avaa)
 +        - Valite get-info (Komento+I). ​
 +        - Laita kohta "run in 32 bit mode" päälle. ​
 +        - Sulje ikkuna
 +        - Sulje ja avaa Firefox uudelleen jos oli käytössä
 +      - Firefoxiin VRK-softan linkitys:
 +        - Firefox-valikko
 +        - Preferences...
 +        - Advanced
 +        - Encryption
 +        - Security Devices
 +        - Load
 +        - nimeksi vaikka VRK mPollux ja Browse:lla hae /​Library/​mPolluxDigiSign/​cryptoki.1.0.0.dylib (tms, huomaa että tämä eroaa hieman vanhentuneista VRK:n ohjeista)
 +        - Load (jos tulee "Load failed"​ virheilmoitus,​ muista laittaa Firefox 32-bittiseen tilaan, kts. yllä)
 +      - **Väliaikainen viritys** jolla kierretään admin.iki.fi:​n vanhan SSL-kirjaston bugi
 +        - Laita url-kohtaan about:​config
 +        - Laita Filter-kohtaan renego_un
 +        - Klikkaa "​security.ssl.renego_unrestricted_hosts"​ rivin value-kenttää ja kirjoita siihen admin.iki.fi
 +    - Firefox 4 käyttö:
 +      * Mene www-sivulle joka haluaa tunnistusta (iki testi https://​admin.iki.fi/​perlhst/​admin)
 +      * Firefox kysyy kumpaa avainta haluat käyttää, valitse tunnistusavain (valinnan voinee tallettaa?)
 +      * Anna PIN-koodi kun sitä kysytään
 +      * Homma pelittää
 +  * Sekalaisia kommentteja
 +    * Nähtävästi Safari ja Mail ei oikein pelitä VRK-kortin kanssa.
 +
 +==== NetBSD ====
 +
 +  * Asenna paketit: security/​pcsc-lite,​ security/​ccid (kortinlukijan driveri), security/​opensc
 +  * Käynnistä pcsc-lite: /​usr/​pkg/​sbin/​pcscd
 +  * Tarkista että kortti toimii sanomalla esim ''​pkcs15-tool -c''​ joka listaa kortilla olevat certifikaatit.
 +
 +<​code>​
 +
 +~>​pkcs15-tool -c
 +Using reader with a card: OmniKey CardMan 1021 00 00
 +X.509 Certificate [todentamis- ja salausvarmenne]
 +        Flags    : 0
 +        Authority: no
 +        Path     : 3f004331
 +        ID       : 45
 +
 +X.509 Certificate [allekirjoitusvarmenne]
 +        Flags    : 0
 +        Authority: no
 +        Path     : 3f0050164332
 +        ID       : 46
 +
 +X.509 Certificate [VRK Gov. Root CA]
 +        Flags    : 0
 +        Authority: yes
 +        Path     : 3f004334
 +        ID       : 48
 +
 +X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
 +        Flags    : 0
 +        Authority: yes
 +        Path     : 3f004333
 +        ID       : 47
 +</​code>​
 +==== Linux ====
 +
 +Linuxilla on aktiivinen käyttäjäyhteisö Suomessa joka on myös ohjeistanut [[http://​linux.fi/​wiki/​HST |henkilökortin asetukset]] seikkaperäisesti omassa wikissään.
 +
 +===== Viron Henkilökortti =====
 +
 +Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia.
 +
 +Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).
 +
 +http://​www.id.ee/​
 +http://​www.politsei.ee/​
 +http://​sk.ee/​
 +
 +==== WWW-palvelun Ohjeita ====
 +
 +Sivulla http://​www.id.ee/​11051 on Apachen ja IIS:n ohjeita, CA, CRL ja OCSP sijainnit.
 +
 +==== Käyttäjän Ohjeita ====
 +
 +=== Yleistä Linuxeissa ===
 +
 +  * Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen.
 +  * Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa.
 +  * ODF dokumenttien allekirjoitus OpenOfficessa.
 +
 +=== Ubuntu Linux ===
 +
 +=== Fedora Linux ===
 +
 +  * qesteidutil (digidoc työkalut)
 +  * mozilla-esteid (c-kielinen allekirjoitusplugin)
 +  * esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen)
 +  * Asennus: yum install -y \*esteid\*
 +
 +=== Mac ===
 +
 +   * Lataa paketit: https://​installer.id.ee/​ ja asenna.
 +
 +=== Windows ===
 +
 +===== Älykortin muut käyttötavat =====
 +
 +Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen.
 +
 +==== Tiedostojen salaus ja allekirjoitus ====
 +
 +FIXME Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja.
 +
 +==== SSH-tunnistus ====
 +
 +SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta.
 +
 +Käyttö onnistuu näin:
 +
 +  - Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta
 +    * Esim. ssh-add -s /​usr/​lib/​opensc-pkcs11.so
 +  - Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio
 +    * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/​.ssh/​authorized_keys -tiedostoon
 +    * Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa
 +  - Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella
 +    * ssh kohdekone normaalisti
 +
 +=== SSH-Agent ===
 +
 +ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön,​ mutta se pystyy myös käyttämään PKCS#​11-kirjaston kautta älykortin avaimia.
 +
 +ssh-agent:​in käyttäminen:​
 +
 +  * Linux
 +    * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta,​ X11-ympäristöstä,​ ym.
 +    * On hyvin mahdollista,​ että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi -- katso dokumentaatiosta tai ps-komennolla
 +    * Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta;​ esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /​etc/​kde/​startup/​agent-startup.sh
 +    * Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla;​ älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#​11-kirjaston polku
 +    * Esim. ssh-add -s /​usr/​lib/​opensc-pkcs11.so
 +    * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/​.ssh/​authorized_keys-tiedostoon;​ avaimen saa tulostettua ssh-add -L -komennolla
 +  * Mac OS X
 +    * ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran.
 +  * Windows SSH-clientit FIXME