Tämä on vanha versio dokumentista!
Älykortilla tunnistautuminen
Iki:n jäsenrekisteriin on tulossa (ehkä joskus) tunnistautuminen (suomalaisella ja mahdollisesti myös muiden maiden) henkilökortilla.
Älykortin käyttäminen
VRK tarjoaa mPollux DigiSign ohjelmistoa ilmaiseksi Windowsille, Linuxille ja Mac OS:lle. Saatavissa VRK:n sivuilta
Windows
Mac OS X
mPollux softa toimii taustalla, VRK tarjoaa tätä ilmaiseksi
FireFox 3 selaimena toimii ainakin kun lisää mPolluxin security deviceksi (VRK:n sivuilla on linkki ohjeisiin)
NetBSD
Asenna paketit: security/pcsc-lite, security/ccid (kortinlukijan driveri), security/opensc
Käynnistä pcsc-lite: /usr/pkg/sbin/pcscd
Tarkista että kortti toimii sanomalla esim pkcs15-tool -c
joka listaa kortilla olevat certifikaatit.
~>pkcs15-tool -c
Using reader with a card: OmniKey CardMan 1021 00 00
X.509 Certificate [todentamis- ja salausvarmenne]
Flags : 0
Authority: no
Path : 3f004331
ID : 45
X.509 Certificate [allekirjoitusvarmenne]
Flags : 0
Authority: no
Path : 3f0050164332
ID : 46
X.509 Certificate [VRK Gov. Root CA]
Flags : 0
Authority: yes
Path : 3f004334
ID : 48
X.509 Certificate [VRK Gov. CA for Citizen Qualified Certificates]
Flags : 0
Authority: yes
Path : 3f004333
ID : 47
Linux
Viron Henkilökortti
Viron älykortti-henkilökortti on paljon enemmän käytössä kuin Suomessa ja monesta siihen liittyvästä asiasta voisimme ottaa mallia.
Viron henkilökortilla (id-kaardi) on myös kaksi sertifikaattia tunnistamiseen ja allekirjoittamiseen. Kortilla on Suomesta poiketen henkilötunnus joka Virossa ei ole arka henkilötieto kuin Suomessa. Kortteja hallinnoi Poliisi ja Rajavartiolaitos (Politsei- ja Piriivalveamet) ja teknisestä toteutuksesta vastaa Sertifiointikeskus (sk.ee).
http://www.id.ee/
http://www.politsei.ee/
http://sk.ee/
WWW-palvelun Ohjeita
Käyttäjän Ohjeita
Yleistä Linuxeissa
Itsenäiset graafiset ohjelmat digidoc containerille allekirjoitukseen ja salaamiseen.
Tunnistus ja allekirjoitukset Mozilla Firefox plugineita tukevissa selaimissa.
ODF dokumenttien allekirjoitus OpenOfficessa.
Ubuntu Linux
Fedora Linux
qesteidutil (digidoc työkalut)
mozilla-esteid (c-kielinen allekirjoitusplugin)
esteid-browser-plugin (pkcs#11 rajapinta plugin SSL-yhteyksien tunnistamiseen)
Asennus: yum install -y \*esteid\*
Mac
Windows
Älykortin muut käyttötavat
Älykortti kelpaa myös muuhun käyttöön kuin www-tunnistautumiseen.
Tiedostojen salaus ja allekirjoitus
Onnistuu erillisillä ohjelmilla joilla voi salata ja/tai allekirjoittaa tiedostoja.
SSH-tunnistus
SSH-yhteyksissä voi myös käyttää älykorttia samaan tapaan kuin SSH-avaimia SSH-agentin kautta.
Käyttö onnistuu näin:
Lataa SSH-agenttiin tieto älykortilla olevasta avaimesta
Kopioi kohdekoneeseen älykortilla olevan avaimen public -versio
Avaa yhteys jolloin SSH kysyy PIN-koodia ja autentikoi älykortilla olevalla avaimella
SSH-Agent
ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjaston kautta älykortin avaimia.
ssh-agent:in käyttäminen:
Linux
Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi – katso dokumentaatiosta tai ps-komennolla
Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh
Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku
Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
Kortin salaista avainta vastaava julkinen avain on siirrettävä vastapuolen ~/.ssh/authorized_keys-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla
-
Windows SSH-clientit
