Iki:n jäsenrekisteriin on tulossa (ehkä joskus) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla.

VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, Linuxille ja Mac OS:lle. Saatavissa VRK:n sivuilta

• TODO: Varmaan VRK:lta voi imuttaa jotain, toimii jos toimii

• mPollux softa toimii taustalla, VRK tarjoaa tätä ilmaiseksi
• FireFox 3 selaimena toimii ainakin kun lisää mPolluxin security deviceksi (VRK:n sivuilla on linkki ohjeisiin)

• Asenna paketit: security/pcsc-lite, security/ccid (kortinlukijan driveri), security/opensc
• Käynnistä pcsc-lite: /usr/pkg/sbin/pcscd
• Tarkista että kortti toimii sanomalla esim pkcs15-tool -c joka listaa kortilla olevat certifikaatit.

~>pkcs15-tool -c
Using reader with a card: OmniKey CardMan 1021 00 00
X.509 Certificate [todentamis- ja salausvarmenne]
        Flags    : 0
        Authority: no
        Path     : 3f004331
        ID       : 45

X.509 Certificate [allekirjoitusvarmenne]
        Flags    : 0
        Authority: no
        Path     : 3f0050164332
        ID       : 46

X.509 Certificate [VRK Gov. Root CA]
        Flags    : 0
        Authority: yes
        Path     : 3f004334
        ID       : 48

X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
        Flags    : 0
        Authority: yes
        Path     : 3f004333
        ID       : 47

• opensc
• pcsc-lite tai openct
• ccid
• FireFox
  • OpenSC-paketti sisältää toteutuksen kryptolaitteiden RSA Laboratories'n standardoimalle API-rajapinnalle (PKCS#11).
  • Rajapinta on toteutettu jaettuna kirjastona (opensc-pkcs11.so)
  • PKCS#11-moduuli pitää käsin asentaa Firefoxiin: Valikosta Edit → Preferences → Advanced → Security Devices → Load
  • Anna moduulille sopiva nimi, esim. ”OpenSC PKCS#11 Module”
  • Valitse Browse… -painikkeella tiedosto /usr/lib/opensc-pkcs11.so
  • Vaihtoehtoisena moduulina voi käyttää onepin-opensc-pkcs11.so, joka ei turhaan kysele suomalaisissa ja virolaisissa ID-korteissa olevaa toista PIN-koodia (allekirjoituspin, PIN2)
  • Huom: kannattaa olla tarkkana kun Firefox kysyy PIN-koodia
    • allekirjoituspin = PIN2, kuusi merkkiä pitkä
    • peruspin = PIN1, neljä merkkiä pitkä
• mozilla-opensc pluginilla (Debianissa)
• pkcs11-tool ja pkcs15-tool
  • pkcs11-tool -L listaa token slotit / testaa lukijan
  • pkcs11-tool -c vaihtaa pin-koodin
  • pkcs15-tool -c listaa sertifikaatit
  • pkcs15-tool -k listaa privaatit avaimet

Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia.

Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).

http://www.id.ee/ http://www.politsei.ee/ http://sk.ee/

Sivulla http://www.id.ee/11051 on Apachen ja IIS:n ohjeita, CA, CRL ja OCSP sijainnit.

• Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen.
• Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa.
• ODF dokumenttien allekirjoitus OpenOfficessa.

• qesteidutil (digidoc työkalut)
• mozilla-esteid (c-kielinen allekirjoitusplugin)
• esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen)
• Asennus: yum install -y \*esteid\*

• Lataa paketit: https://installer.id.ee/ ja asenna.

Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen.

Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja.

SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta.

Käyttö onnistuu näin:

1. Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta
   • Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
2. Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio
   • Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys -tiedostoon
   • Avaimen saa tulostettua ssh-add -L -komennolla omassa koneessa
3. Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella
   • ssh kohdekone normaalisti

ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjaston kautta älykortin avaimia.

ssh-agent:in käyttäminen:

• Linux
  • Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
  • On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi – katso dokumentaatiosta tai ps-komennolla
  • Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh
  • Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku
  • Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
  • Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla
• Mac OS X
  • ssh-agent käynnistyy launchd:n kautta automaattisesti kun sitä yritetään käyttää ensimmäisen kerran.
• Windows SSH-clientit