Käyttäjän työkalut

Sivuston työkalut


faq:alykorttitunnistus

Tämä on vanha versio dokumentista!


Älykortilla tunnistautuminen

Iki:n jäsenrekisteriin on tulossa (ehkä joskus) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla.

Älykortin käyttäminen

VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, Linuxille ja Mac OS:lle. Saatavissa VRK:n sivuilta

Windows

  • TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii

Mac OS X

  • mPollux softa toimii taustalla, VRK tarjoaa tätä ilmaiseksi
  • FireFox 3 selaimena toimii ainakin kun lisää mPolluxin security deviceksi (VRK:n sivuilla on linkki ohjeisiin)

NetBSD

  • Asenna paketit: security/pcsc-lite, security/ccid (kortinlukijan driveri), security/opensc

Linux

  • opensc
  • pcsc-lite tai openct
  • ccid
  • FireFox
    • OpenSC-paketti sisältää toteutuksen kryptolaitteiden RSA Laboratories'n standardoimalle API-rajapinnalle (PKCS#11).
    • Rajapinta on toteutettu jaettuna kirjastona (opensc-pkcs11.so)
    • PKCS#11-moduuli pitää käsin asentaa Firefoxiin: Valikosta Edit → Preferences → Advanced → Security Devices → Load
    • Anna moduulille sopiva nimi, esim. ”OpenSC PKCS#11 Module”
    • Valitse Browse… -painikkeella tiedosto /usr/lib/opensc-pkcs11.so
    • Vaihtoehtoisena moduulina voi käyttää onepin-opensc-pkcs11.so, joka ei turhaan kysele suomalaisissa ja virolaisissa ID-korteissa olevaa toista PIN-koodia (allekirjoituspin, PIN2)
    • Huom: kannattaa olla tarkkana kun Firefox kysyy PIN-koodia
      • allekirjoituspin = PIN2, kuusi merkkiä pitkä
      • peruspin = PIN1, neljä merkkiä pitkä
  • mozilla-opensc pluginilla (Debianissa)
  • SSH
    • Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
      • On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi – katso dokumentaatiosta tai ps-komennolla
      • Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh
    • ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjastoa
    • Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku
    • Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
    • Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla

Viron Henkilökortti

Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).

http://www.id.ee/ http://www.politsei.ee/ http://sk.ee/

WWW-palvelun Ohjeita

Sivulla http://www.id.ee/11051 on Apachen ja IIS:n ohjeita, CA, CRL ja OCSP sijainnit.

Käyttäjän Ohjeita

Yleistä Linuxeissa

  • Itsenäiset graafiset ohjelmat digidoc containerille allerkirjoitukseen ja salaamiseen.
  • Tunnistus ja allekirjotukset Mozilla Firefox plugineita tukevissa selaimissa.
  • ODF dokumenttien allekirjoitus OpenOfficessa.

Ubuntu Linux

Fedora Linux

  • qesteidutil (digidoc työkalut)
  • mozilla-esteid (c-kielinen allekirjoitusplugin)
  • esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen)
  • Asennus: yum install -y \*esteid\*

Mac

Windows

faq/alykorttitunnistus.1304276783.txt · Viimeksi muutettu: 2011-05-01 19:06 / juha.tuomala