Käyttäjän työkalut

Sivuston työkalut


faq:alykorttitunnistus

Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

Linkki vertailunäkymään

faq:alykorttitunnistus [2011-05-01 19:13]
juha.tuomala
faq:alykorttitunnistus [2019-05-03 11:19] (nykyinen)
haa [Älykortilla tunnistautuminen]
Rivi 1: Rivi 1:
 ====== Älykortilla tunnistautuminen ====== ====== Älykortilla tunnistautuminen ======
  
-Iki:n jäsenrekisteriin on tulossa (ehkä joskus) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla.+Iki:n jäsenrekisteriin on tulossa (ehkä joskus ​kunhan iki-uisuus-projekti valmistuu) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla.
  
-====== Älykortin käyttäminen ​======+===== Älykortin käyttäminen =====
  
 VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille,​ Linuxille ja Mac OS:lle. Saatavissa [[http://​fineid.fi/​default.aspx?​docid=2227&​site=9&​id=294|VRK:​n sivuilta]] VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille,​ Linuxille ja Mac OS:lle. Saatavissa [[http://​fineid.fi/​default.aspx?​docid=2227&​site=9&​id=294|VRK:​n sivuilta]]
  
  
-===== Windows ​=====+==== Windows ====
  
   * TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii   * TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii
 +==== Mac OS X ====
  
-===== Mac OS X ===== +  * Asennusohje (OSX 10.6.7 ja Firefox 4.0.1 kokeiltu 2011-06-01) 
- +    - Imuroi VRK:n sivuilta ​Mac-ohjelmisto (mPollux) 
-  * mPollux softa toimii ​taustalla, VRK tarjoaa tätä ilmaiseksi +    - Osta joku USB-älykortinlukija (ainakin Viron malli toimii hyvin) 
-  * FireFox 3 selaimena toimii ainakin kun lisää mPolluxin security deviceksi ​(VRK:​n ​sivuilla on linkki ohjeisiin)+    - Asenna Mac-ohjelmisto 
 +      - Tällä voi vaihtaa PIN-koodit suoraan asennuksen jälkeen, testaa näin että homma toimii 
 +    - Firefox 4 asennus: 
 +      - Laita Firefox 32-bittiseen tilaan (muuten VRK:n 32-bittinen kirjasto ei lataudu) 
 +        - Etsi Firefox -sovellus (yleensä /​Applications/​Firefox.app). 
 +        - Valitse Firefox (yksi klikkausälä avaa) 
 +        - Valite get-info (Komento+I).  
 +        - Laita kohta "run in 32 bit mode" päälle.  
 +        - Sulje ikkuna 
 +        - Sulje ja avaa Firefox uudelleen jos oli käytössä 
 +      - Firefoxiin ​VRK-softan linkitys: 
 +        - Firefox-valikko 
 +        - Preferences... 
 +        - Advanced 
 +        - Encryption 
 +        - Security Devices 
 +        - Load 
 +        - nimeksi vaikka VRK mPollux ja Browse:lla hae /​Library/​mPolluxDigiSign/​cryptoki.1.0.0.dylib ​(tms, huomaa että tämä eroaa hieman vanhentuneista ​VRK:n ohjeista) 
 +        - Load (jos tulee "Load failed"​ virheilmoitus,​ muista laittaa Firefox 32-bittiseen tilaan, kts. yllä) 
 +      - **Väliaikainen viritys** jolla kierretään admin.iki.fi:​n vanhan SSL-kirjaston bugi 
 +        - Laita url-kohtaan about:​config 
 +        - Laita Filter-kohtaan renego_un 
 +        - Klikkaa "​security.ssl.renego_unrestricted_hosts"​ rivin value-kenttää ja kirjoita siihen admin.iki.fi 
 +    - Firefox 4 käyttö: 
 +      * Mene www-sivulle joka haluaa tunnistusta (iki testi https://​admin.iki.fi/​perlhst/​admin) 
 +      * Firefox kysyy kumpaa avainta haluat käyttää, valitse tunnistusavain (valinnan voinee tallettaa?​) 
 +      * Anna PIN-koodi kun sitä kysytään 
 +      * Homma pelittää 
 +  * Sekalaisia kommentteja 
 +    * Nähtävästi Safari ja Mail ei oikein pelitä VRK-kortin kanssa.
  
-===== NetBSD ​=====+==== NetBSD ====
  
   * Asenna paketit: security/​pcsc-lite,​ security/​ccid (kortinlukijan driveri), security/​opensc   * Asenna paketit: security/​pcsc-lite,​ security/​ccid (kortinlukijan driveri), security/​opensc
-===== Linux =====+  * Käynnistä pcsc-lite: /​usr/​pkg/​sbin/​pcscd 
 +  * Tarkista että kortti toimii sanomalla esim ''​pkcs15-tool -c''​ joka listaa kortilla olevat certifikaatit.
  
-  * opensc +<​code>​ 
-  * pcsc-lite tai openct + 
-  * ccid +~>pkcs15-tool -
-  * FireFox +Using reader with a cardOmniKey CardMan 1021 00 00 
-    * OpenSC-paketti sisältää toteutuksen kryptolaitteiden RSA Laboratories'​n standardoimalle API-rajapinnalle ([[https://secure.wikimedia.org/​wikipedia/​en/​wiki/​PKCS11|PKCS#​11]]). +X.509 Certificate [todentamis- ja salausvarmenne
-    ​* Rajapinta on toteutettu jaettuna kirjastona (opensc-pkcs11.so) +        ​Flags ​   : 0 
-    ​* PKCS#​11-moduuli pitää käsin asentaa FirefoxiinValikosta Edit -> Preferences -> Advanced -> Security Devices -> Load +        Authority: no 
-    * Anna moduulille sopiva nimi, esim. "​OpenSC PKCS#11 Module"​ +        Path     : 3f004331 
-    * Valitse Browse... -painikkeella tiedosto /​usr/​lib/​opensc-pkcs11.so +        ID       : 45 
-    ​* Vaihtoehtoisena moduulina voi käyttää onepin-opensc-pkcs11.so,​ joka ei turhaan kysele suomalaisissa ja virolaisissa ​ID-korteissa olevaa toista PIN-koodia (allekirjoituspin,​ PIN2) + 
-    ​* Huomkannattaa olla tarkkana kun Firefox kysyy PIN-koodia +X.509 Certificate [allekirjoitusvarmenne] 
-      * allekirjoituspin = PIN2, kuusi merkkiä pitkä +        ​Flags ​   : ​
-      * peruspin = PIN1, neljä merkkiä pitkä +        Authority: no 
-  * mozilla-opensc pluginilla (Debianissa) +        Path     : 3f0050164332 
-  * SSH +        ID       : 46 
-    * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu ​Linux-distrosta, X11-ympäristöstä,​ ym. + 
-      * On hyvin mahdollista,​ että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi -- katso dokumentaatiosta tai ps-komennolla +X.509 Certificate [VRK GovRoot CA] 
-      * Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta;​ esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /​etc/​kde/​startup/​agent-startup.sh +        ​Flags ​   : 0 
-    * ssh-agent ​on ohjelma, ​joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön,​ mutta se pystyy ​myös käyttämään PKCS#​11-kirjastoa +        Authority: yes 
-    * Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla;​ älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#​11-kirjaston polku +        Path     : 3f004334 
-    * Esim. ssh-add -s /usr/lib/​opensc-pkcs11.so +        ​ID       : 48 
-    * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/​authorized_keys-tiedostoon;​ avaimen saa tulostettua ssh-add -L -komennolla + 
-   * pkcs11-tool ja pkcs15-tool +X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates] 
-     * pkcs11-tool -L listaa token slotit / testaa lukijan +        Flags    : ​0 
-     * pkcs11-tool -c vaihtaa pin-koodin +        ​Authority:​ yes 
-     * pkcs15-tool -c listaa sertifikaatit +        ​Path ​    : 3f004333 
-     * pkcs15-tool -k listaa privaatit avaimet+        ​ID ​      : 47 
 +</​code>​ 
 +==== Linux ==== 
 + 
 +Linuxilla ​on aktiivinen käyttäjäyhteisö Suomessa ​joka on myös ohjeistanut [[http://linux.fi/wiki/HST |henkilökortin asetukset]] seikkaperäisesti omassa wikissään
 + 
 +===== Viron Henkilökortti =====
  
-====== ​Viron Henkilökortti ======+Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia.
  
 Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee). Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).
Rivi 63: Rivi 100:
  
 ==== Käyttäjän Ohjeita ==== ==== Käyttäjän Ohjeita ====
-===== Yleistä Linuxeissa ​====+ 
 +=== Yleistä Linuxeissa ===
  
   * Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen.   * Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen.
Rivi 69: Rivi 107:
   * ODF dokumenttien allekirjoitus OpenOfficessa.   * ODF dokumenttien allekirjoitus OpenOfficessa.
  
-===== Ubuntu Linux =====+=== Ubuntu Linux ===
  
-===== Fedora Linux =====+=== Fedora Linux ===
  
   * qesteidutil (digidoc työkalut)   * qesteidutil (digidoc työkalut)
Rivi 78: Rivi 116:
   * Asennus: yum install -y \*esteid\*   * Asennus: yum install -y \*esteid\*
  
- +=== Mac ===
-==== Mac =====+
  
    * Lataa paketit: https://​installer.id.ee/​ ja asenna.    * Lataa paketit: https://​installer.id.ee/​ ja asenna.
  
 +=== Windows ===
  
-==== Windows ​==== +===== Älykortin muut käyttötavat ===== 
-  ​+ 
 +Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen. 
 + 
 +==== Tiedostojen salaus ja allekirjoitus ==== 
 + 
 +FIXME Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja. 
 + 
 +==== SSH-tunnistus ==== 
 + 
 +SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta. 
 + 
 +Käyttö onnistuu näin: 
 + 
 +  ​- Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta 
 +    * Esim. ssh-add -s /​usr/​lib/​opensc-pkcs11.so 
 +  - Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio 
 +    * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/​.ssh/​authorized_keys -tiedostoon 
 +    * Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa 
 +  - Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella 
 +    * ssh kohdekone normaalisti 
 + 
 +=== SSH-Agent === 
 + 
 +ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön,​ mutta se pystyy myös käyttämään PKCS#​11-kirjaston kautta älykortin avaimia. 
 + 
 +ssh-agent:​in käyttäminen:​ 
 + 
 +  * Linux 
 +    * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta,​ X11-ympäristöstä,​ ym. 
 +    * On hyvin mahdollista,​ että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi -- katso dokumentaatiosta tai ps-komennolla 
 +    * Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta;​ esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /​etc/​kde/​startup/​agent-startup.sh 
 +    * Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla;​ älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#​11-kirjaston polku 
 +    * Esim. ssh-add -s /​usr/​lib/​opensc-pkcs11.so 
 +    * Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/​.ssh/​authorized_keys-tiedostoon;​ avaimen saa tulostettua ssh-add -L -komennolla 
 +  * Mac OS X 
 +    * ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran. 
 +  * Windows SSH-clientit FIXME
faq/alykorttitunnistus.1304277224.txt · Viimeksi muutettu: 2011-05-01 19:13 / juha.tuomala