Ero sivun ”HST” versioiden välillä
Siirry navigaatioon
Siirry hakuun
Lisätty HST-kortin edut johdantoon. Poistin detaljit pcsc:stä peruskäyttäjän tehtävälistasta. Siirretty teksti arkkitehtuurista softatuen alle.
Jem (keskustelu | muokkaukset) |
Jem (keskustelu | muokkaukset) (Lisätty HST-kortin edut johdantoon. Poistin detaljit pcsc:stä peruskäyttäjän tehtävälistasta. Siirretty teksti arkkitehtuurista softatuen alle.) |
||
| Rivi 1: | Rivi 1: | ||
Väestörekisterikeskus tarjoaa Suomessa [http://www.vaestorekisterikeskus.fi/default.aspx?id=134 henkilön sähköisen tunnistamisen] (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä. | Väestörekisterikeskus tarjoaa Suomessa [http://www.vaestorekisterikeskus.fi/default.aspx?id=134 henkilön sähköisen tunnistamisen] (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä. | ||
HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan. | |||
== Peruskäyttäjän tehtävälista == | == Peruskäyttäjän tehtävälista == | ||
| Rivi 7: | Rivi 9: | ||
# Hanki henkilökortti. Sitä voi anoa paikalliselta poliisilta, toimitusaika kaksi vkoa. | # Hanki henkilökortti. Sitä voi anoa paikalliselta poliisilta, toimitusaika kaksi vkoa. | ||
# Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista. | # Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista. | ||
# | # Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla). | ||
# Tarvittaessa asenna vaaditut paketit ja konfiguroi ne (lähinnä vanhat lukijat). | # Tarvittaessa asenna vaaditut paketit ja konfiguroi ne (lähinnä vanhat lukijat). | ||
# Käy tarvitsemasi sovellukset läpi ja konfiguroi ne. | # Käy tarvitsemasi sovellukset läpi ja konfiguroi ne. | ||
# Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua]. | # Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua]. | ||
== Laitteet == | == Laitteet == | ||
| Rivi 79: | Rivi 66: | ||
== Ohjelmistot == | == Ohjelmistot == | ||
=== Arkkitehtuuri === | |||
Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. pluginina (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so. | |||
PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' tai ''OpenCT''. | |||
'''PC/SC''' (Personal Computer/Smart Card) on alunperin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina. | |||
'''OpenCT''' on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa. Nykyään sen kehitys on pysähtynyt ja siten laitteisto- ja yhteisötuki on heikentynyt. | |||
Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa: | |||
[[Tiedosto:openct.png]] [[Tiedosto:pcsc-lite.png]] | |||
===Ajurit ja middleware=== | ===Ajurit ja middleware=== | ||
Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi vaihtoehtoa: | Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi rinnakkaista vaihtoehtoa: | ||
* Avoin ''OpenSC'' sekä siihen liittyvät työkalut ja kirjastot | * Avoin ''OpenSC'' sekä siihen liittyvät työkalut ja kirjastot | ||
* Kaupallinen ''mPollux Digisign Client'' | * Kaupallinen ''mPollux Digisign Client'' | ||
| Rivi 92: | Rivi 95: | ||
Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista. | Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista. | ||
==== mPollux Digisign Client ==== | ==== mPollux Digisign Client ==== | ||
| Rivi 99: | Rivi 100: | ||
Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n mPollux Digisign Client -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa. | Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n mPollux Digisign Client -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa. | ||
Tästä | Tästä ohjelmistosta ei ole (toukokuussa 2011) 64-bittistä versiota olemassa eikä sitä tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla. | ||
===Sovellusohjelmien tuki=== | ===Sovellusohjelmien tuki=== | ||
Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen varmenteita. | Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen varmenteita. | ||
==== Firefox ==== | ==== Firefox ==== | ||
| Rivi 121: | Rivi 117: | ||
Asetuksen vaihdon onnistumisen voi kokeilla VRK:n [https://verkkopalvelu.vrk.fi/Omat/Etusivu.aspx Omien tietojen tarkistus] -palvelusta. | Asetuksen vaihdon onnistumisen voi kokeilla VRK:n [https://verkkopalvelu.vrk.fi/Omat/Etusivu.aspx Omien tietojen tarkistus] -palvelusta. | ||
==== PAM ==== | |||
PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa. | |||
==== Ssh ==== | ==== Ssh ==== | ||