Muokataan sivua HST
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 1: | Rivi 1: | ||
Väestörekisterikeskus tarjoaa Suomessa | Väestörekisterikeskus tarjoaa Suomessa [http://www.vaestorekisterikeskus.fi/default.aspx?id=134 henkilön sähköisen tunnistamisen] (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä. | ||
HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan. | HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan. | ||
Rivi 18: | Rivi 18: | ||
'''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi – oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan. | '''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi – oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan. | ||
'''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä | '''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä. | ||
== Laitteet == | == Laitteet == | ||
Rivi 33: | Rivi 33: | ||
==== Nykyaikaiset lukijat ==== | ==== Nykyaikaiset lukijat ==== | ||
Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' ( | Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. | ||
Esimerkkejä CCID-protokollan mukaisista lukijoista ovat: | Esimerkkejä CCID-protokollan mukaisista lukijoista ovat: | ||
Rivi 100: | Rivi 100: | ||
====OpenSC==== | ====OpenSC==== | ||
Avoimessa projektissa kehitettävä [http://www.opensc-project.org/ OpenSC]-ohjelmisto on maailmanlaajuisesti käytössä oleva älykorttiohjelmisto. Se tukeutuu yleensä | |||
[http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä. | [http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä. | ||
Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista. | Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista. | ||
==== mPollux Digisign Client ==== | ==== mPollux Digisign Client ==== | ||
Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https:// | Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https://eevertti.vrk.fi/Default.aspx?id=247 mPollux Digisign Client] -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle 32- ja 64-bittisenä versioina. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa. | ||
Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla. | Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla. | ||
===Sovellusohjelmien tuki=== | ===Sovellusohjelmien tuki=== | ||
Rivi 135: | Rivi 129: | ||
PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa. | PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa. | ||
==== | ==== Ssh ==== | ||
OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia. | OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia. | ||
Rivi 369: | Rivi 363: | ||
=== Ssh === | === Ssh === | ||
Jotta linuxiin voi ottaa SSH-yhteyden älykortilla, täytyy älykortilla oleva julkinen avain tallentaa /home/<user>/.ssh hakemiston authorized_keys tiedostoon [https://linux.fi/wiki/OpenSSH OpenSSH]-formaatissa. | |||
Ohjeet siihen miten julkinen avain muutetaan OpenSSH-formaattiin löytyy [https://joscor.com/blog/convert-windows-public-certificate-cer-to-openssh-public-key/ täältä]. | |||
==== Linux ==== | |||
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin. | Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin. | ||
Rivi 383: | Rivi 381: | ||
'''Vianmääritys''': | '''Vianmääritys''': | ||
* Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistäminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä. | * Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ''ssh-agent''). Käynnistäminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä. | ||
==== Windows ==== | |||
===== PuTTY ===== | |||
PuTTY ei oletuksena tue älykortilla olevan yksityisen avaimen noutoa. Jotta Windows käyttöjärjestelmällä voi kirjautua linuxiin henkilökortilla, täytyy käyttää PuTTY SC-ohjelmaa [http://www.joebar.ch/puttysc/]. | |||
Ohjelman asetuksissa valitaan Connection -> SSH -> Pkcs11 välilehdeltä PKCS#11 kirjastoksi mpollux-ohjelman mukana tuleva cryptoki.dll tiedosto, joka on oletuksena polussa C:\Program Files (x86)\Fujitsu\mPollux DigiSign Client\cryptoki.dll. Token Label kohtaan valitaan "Henkilökortti" ja "Certificate Label" kohdasta valitaan joko henkilökohtainen salausvarmenne tai allekirjoitusvarmenne sen mukaan kumpi on asennettu palvelimelle. | |||
===== FileZilla ===== | |||
FileZilla ei tue PKSC11 todentamista, mutta se tukee yksityisen avaimen hakemista PageAnt-ohjelman kautta. PageAnt-ohjelmasta täytyy asentaa modifioitu [http://www.joebar.ch/puttysc/ PageAntSC]-versio joka osaa hakea kortinlukulaitteesta salausavaimen. | |||
Käynnistä PageAntSC ohjelma ennen FileZillalla yhdistämistä, varmista että tehtäväpalkissa näkyy ohjelman kuvake (tietokone jolla on hattu), ja kuvakkeesta aukeavassa ohjelmassa on listattu henkilökorttivarmenne. | |||
Yhdistä nyt FileZillalla linuxiin jättäen salasana-kenttä tyhjäksi, tällöin PageAntSC-ohjelma kysyy PIN-koodia ja FileZilla kirjautuu Linuxiin henkilökortin varmenteella. | |||
=== Lähiverkon pääsynvalvonta - 802.1x === | === Lähiverkon pääsynvalvonta - 802.1x === | ||
Rivi 442: | Rivi 454: | ||
|- | |- | ||
! ominaisuus / jakelu | ! ominaisuus / jakelu | ||
! Fedora | ! Fedora | ||
! Gentoo | ! Gentoo | ||
Rivi 449: | Rivi 460: | ||
! Ubuntu | ! Ubuntu | ||
|- | |- | ||
| Kyseinen jakeluversio | | Kyseinen jakeluversio || 14 || || || 5 || | ||
|- | |- | ||
| Oletusrajapinta | | Oletusrajapinta || pcsc || pcsc || || pcsc || | ||
|- | |- | ||
| OpenSC versio || 0. | | OpenSC versio || 0.11 || || || || | ||
|- | |- | ||
| Korttituki asentuu oletuksena | | Korttituki asentuu oletuksena || kyllä || ei || || kyllä || | ||
|- | |- | ||
| Korttituki käynnistyy oletuksena | | Korttituki käynnistyy oletuksena || kyllä || ei || || kyllä || | ||
|- | |- | ||
| Firefox näkee pluginin automaattisesti | | Firefox näkee pluginin automaattisesti || ei || ei || || ei || | ||
|- | |- | ||
| ssh-agent käynnistyy oletuksena | | ssh-agent käynnistyy oletuksena || kyllä || ei || ei || kyllä || | ||
|- | |- | ||
| PAM | | PAM tukee älykorttia || kyllä || kyllä || || kyllä || | ||
|- | |- | ||
| | | PAM työkalu tukee älykorttia || vähän || || || vähän || | ||
|- | |- | ||
| | | Löytyykö CA-avaimet jakelusta || ei || ei || || ei || | ||
|- | |- | ||
|} | |} | ||
Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää. | Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää. | ||
=== CentOS === | === CentOS === | ||
Fedoran ohjeet pitäisi käydä sellaisenaan. | Fedoran ohjeet pitäisi käydä sellaisenaan. | ||
=== Fedora === | === Fedora === | ||
Rivi 503: | Rivi 502: | ||
=== Gentoo === | === Gentoo === | ||
* ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh | * ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh | ||
=== OpenSuse === | === OpenSuse === | ||
* Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]] | * Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]] | ||
=== RHEL (Red Hat Enterprise Linux) === | === RHEL (Red Hat Enterprise Linux) === | ||
Fedoran ohjeet pitäisi käydä sellaisenaan. | |||
===Ubuntu=== | ===Ubuntu=== | ||
* Asenna paketit <tt>opensc</tt> ja <tt>pcscd</tt> | * Asenna paketit <tt>opensc</tt>, <tt>mozilla-opensc</tt> ja <tt>pcscd</tt> | ||
* Pakettienhallintatyökalu: [[Apt]], [[PackageKit]] | * Pakettienhallintatyökalu: [[Apt]], [[PackageKit]] | ||
== Katso myös == | == Katso myös == | ||
* [[Mobiilivarmenne]] | * [[Mobiilivarmenne]] | ||
* [[ | * [[Apache_httpd]] | ||
* [[Firefox]] | * [[Firefox]] | ||
* [[Gnupg]] - GNU Privacy Guard | * [[Gnupg]] - GNU Privacy Guard | ||
Rivi 538: | Rivi 529: | ||
* [[Thunderbird]] | * [[Thunderbird]] | ||
* [[VPN]] - Virtual Private Network | * [[VPN]] - Virtual Private Network | ||
* [[ | * [[Wpa_supplicant]] | ||
== Aiheesta muualla == | == Aiheesta muualla == | ||
Rivi 546: | Rivi 537: | ||
* [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa. | * [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa. | ||
* [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa. | * [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa. | ||
* [ | * [http://www.opensc.org/ http://opensc.org/ ] - OpenSC korttityökalujen kotisivu. | ||
* [ | * [http://www.opensc-project.org/opensc/wiki/FinnishEid http://opensc.org - FinnishEid] - OpenSC projektin FINEID sivu. | ||
* [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi. | * [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi. | ||
* [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys. | * [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys. | ||
Rivi 556: | Rivi 547: | ||
* [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava. | * [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava. | ||
* [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava. | * [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava. | ||
[[Luokka:Laitteisto]] | [[Luokka:Laitteisto]] |