Ero sivun ”HST” versioiden välillä
Siirry navigaatioon
Siirry hakuun
Päivitetty linkki, korjattu kielioppia
p (alun perin) |
(Päivitetty linkki, korjattu kielioppia) |
||
| (43 välissä olevaa versiota 18 käyttäjän tekeminä ei näytetä) | |||
| Rivi 1: | Rivi 1: | ||
Väestörekisterikeskus tarjoaa Suomessa | Väestörekisterikeskus tarjoaa Suomessa '''henkilön sähköisen tunnistamisen''' (''HST, eng FINEID'') ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä. | ||
HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan. | HST-kortin etuina on vahvan salauksen käyttö yhdistettynä vaatimukseen fyysisen esineen ("token") hallussapitoon. Toisin sanoen, niin kauan kuin esine (kortti) on hallussasi, kukaan ei pysty käyttämään väärin korttiin liittyvää sähköistä identiteettiä. Kortti on maksukortin kokoinen, helposti mukana pidettävä ja sen käyttö on suojattu PIN-koodilla. PIN-koodi on aina sama, riippumatta mihin palveluun kortilla tunnistaudutaan. | ||
| Rivi 7: | Rivi 7: | ||
Vaikka sivulla on paljon asiaa, ei tämä oikeasti niin vaikeaa ole, lyhyesti: | Vaikka sivulla on paljon asiaa, ei tämä oikeasti niin vaikeaa ole, lyhyesti: | ||
# Hanki henkilökortti. Sitä voi anoa paikalliselta poliisilta, toimitusaika kaksi vkoa. | # Hanki henkilökortti. Sitä voi anoa | ||
#* paikalliselta poliisilta, toimitusaika kaksi vkoa. | |||
#* [https://poliisi.fi/henkilokortti/henkilokortin_hakeminen Poliisin sähköisessä asiointipalvelussa] mikäli käytössä on pankkitunnukset tai mobiilivarmenne tai voimassaoleva henkilökortti. Vaatii valokuvaamolta saatavan kuvatunnuksen. | |||
# Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista. | # Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista. | ||
# Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla). | # Tutustu Linux-jakelukohtaisiin ohjeisiin mahdollisten lisäohjelmistojen asentamiseksi (lisätietoja alla). | ||
| Rivi 14: | Rivi 16: | ||
# Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua]. | # Testaa ja käytä. Testaamiseen voit käyttää [http://fineid.fi/default.aspx?docid=2245&site=9&id=0 fineid.fi testisivua]. | ||
'''Huom!''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi – oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan. | '''Huom! Poliisilla käyvälle:''' Varmista kun anot korttia, että virkailija täyttää hakemukseen myös sähköpostiosoitteesi – oletuksena hän jättää tämän kentän tyhjäksi, jolloin sähköpostiosoitetta ei tule varmenteeseen. Osoite varmenteessa ei ole välttämätön kun korttia käytetään tunnistautumiseen, mutta siitä voi olla hyötyä sähköpostin salauksessa ja se kuuluu kortin hintaan. | ||
'''Huom! Verkosta haettaessa:''' Mikäli haluat henkilökorttiisi Kela-tiedot (viivakoodi taakse), pyydä sitä kun käyt allekirjoittamassa henkilökortin, verkkohakemuksesta puuttuu kohta sille, mutta allekirjoittaessa se voidaan lisätä. '''Huom!''' Henkilökorttilaki muuttui 1.1.2017. Samassa yhteydessä luovuttiin sairausvakuutustietojen merkitsemisestä henkilökorttiin. | |||
== Laitteet == | == Laitteet == | ||
| Rivi 29: | Rivi 33: | ||
==== Nykyaikaiset lukijat ==== | ==== Nykyaikaiset lukijat ==== | ||
Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' ( | Kun on hankkimassa USB-lukijaa, kannattaa valita ns. ''CCID'' (Chip Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. | ||
Esimerkkejä CCID-protokollan mukaisista lukijoista ovat: | Esimerkkejä CCID-protokollan mukaisista lukijoista ovat: | ||
| Rivi 96: | Rivi 100: | ||
====OpenSC==== | ====OpenSC==== | ||
Vapaana ohjelmistona kehitetty [https://github.com/OpenSC/OpenSC/wiki OpenSC] on maailmanlaajuisesti käytössä oleva älykorttiohjelmisto. Se tukeutuu yleensä | |||
[http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä. | [http://pcsclite.alioth.debian.org/ pcsc-lite] laitteistorajapintaan joka toteuttaa PC/SC määritykset. Projektin oma vastaava rajapinta [http://www.opensc-project.org/openct/ openct] on nykyään jo harvemmin käytössä. | ||
Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista. | Joissakin Linux-jakeluissa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, joiden käyttöönotto parhaimmillaan edellyttää ainoastaan lukijan kytkentää ja WWW-selaimen asetusten asettamista. | ||
OpenSC on yhteensopiva lähes kaikkien älykorttien kanssa. 2018 alusta myönnettyihin HST-kortteihin on saatavilla testivaiheessa oleva kirjoitettu ohjelmistotuki OpenSC kirjastoon. | |||
[https://github.com/OpenSC/OpenSC/pull/1608 FINeID: Initial FINeID v3 support #1608] | |||
==== mPollux Digisign Client ==== | ==== mPollux Digisign Client ==== | ||
Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [ | Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n [https://dvv.fi/linux-versiot mPollux Digisign Client] -kortinlukijaohjelmiston henkilökortin käyttäjille. VRK:n WWW-sivuilta on mahdollista ladata ohjelmisto CentOSille ja Ubuntulle 32- ja 64-bittisenä versioina. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa. | ||
Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla. | Ohjelmistosta joulukuussa 2011 julkistettu 64-bittinen versio, mutta sitä ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. Käyttäjän tulee huolehtia päivityksistä manuaalisesti kyläilemällä Väestörekisterikeskuksen sivuilla säännöllisesti. mPollux-ohjelmistosta ei ole lähdekoodia saatavilla. | ||
mPollux ohjelma ei toimi kunnolla. Tietokonetta voi joutua käynnistämään uudestaan ja sovelukset voivat jumittua ( 2018 - 2019 Ubuntu 18.04 ) | |||
===Sovellusohjelmien tuki=== | ===Sovellusohjelmien tuki=== | ||
| Rivi 125: | Rivi 135: | ||
PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa. | PAM (''Pluggable Authentication Module'') on asetettavissa tunnistamaan tietokoneeseen kirjautuja henkilökortin varmenteella. Tämä mahdollistaa kirjautumisen salasanan asemasta tai niiden rinnakkaisen käytön. Asetukset ja niiden määrittäminen on jakelukohtaisia. Toimiessaan PAM-tasolla, korttituki toimii niin merkkipohjaisessa kuin graafisessa sisäänkirjautumisessa. | ||
==== | ==== SSH ==== | ||
OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia. | OpenSSH tukee henkilökortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia '''ssh-agent''' ja '''ssh-add''' apuohjelmia. | ||
| Rivi 357: | Rivi 367: | ||
Sovelluksen pitäisi toimia myös Suomen henkilökortilla, mutta se vaatii hieman toimenpiteitä ensin. Ohjeet löytyvät kokonaisuudessaan [[qDigiDoc]] sivulta. | Sovelluksen pitäisi toimia myös Suomen henkilökortilla, mutta se vaatii hieman toimenpiteitä ensin. Ohjeet löytyvät kokonaisuudessaan [[qDigiDoc]] sivulta. | ||
=== Ssh === | === Ssh === | ||
Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin. | Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä ja se jää ssh-agent prosessin muistiin. | ||
| Rivi 434: | Rivi 442: | ||
|- | |- | ||
! ominaisuus / jakelu | ! ominaisuus / jakelu | ||
! Arch Linux | |||
! Fedora | ! Fedora | ||
! Gentoo | ! Gentoo | ||
| Rivi 440: | Rivi 449: | ||
! Ubuntu | ! Ubuntu | ||
|- | |- | ||
| Kyseinen jakeluversio || 14 || || || 5 || | | Kyseinen jakeluversio || || 14 || || || 5 || 18.04 | ||
|- | |- | ||
| Oletusrajapinta || pcsc || pcsc || || pcsc || | | Oletusrajapinta || pcsc || pcsc || pcsc || || pcsc || | ||
|- | |- | ||
| OpenSC versio || 0. | | OpenSC versio || 0.16.0-5 || 0.22 || || || || 0.17.0-3 || | ||
|- | |- | ||
| Korttituki asentuu oletuksena || kyllä || ei || || kyllä || | | Korttituki asentuu oletuksena || kyllä || kyllä || ei || || kyllä || | ||
|- | |- | ||
| Korttituki käynnistyy oletuksena || kyllä || ei || || kyllä || | | Korttituki käynnistyy oletuksena || ei || kyllä || ei || || kyllä || | ||
|- | |- | ||
| Firefox näkee pluginin automaattisesti || ei || ei || || ei || | | Firefox näkee pluginin automaattisesti || ei || ei || ei || || ei || | ||
|- | |- | ||
| ssh-agent käynnistyy oletuksena || kyllä || ei || ei || kyllä || | | ssh-agent käynnistyy oletuksena || ei || kyllä || ei || ei || kyllä || | ||
|- | |||
| PAM tukee älykorttia || ei || kyllä || kyllä || || kyllä || | |||
|- | |||
| PAM työkalu tukee älykorttia || ei || vähän || || || vähän || | |||
|- | |- | ||
| | | Löytyykö CA-avaimet jakelusta || ei || ei || ei || || ei || | ||
|- | |- | ||
| | | Tuki 2018 ennen myönnetyille korteille || kyllä || kyllä || kyllä || || kyllä || kyllä || | ||
|- | |- | ||
| | | Tuki 2018 jälkeen myönnetyille korteille || || || || || || ei || | ||
|- | |- | ||
|} | |} | ||
Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää. | Vertailussa tulisi käyttää viimeisintä vakaata jakeluversiota. Jos näin ei ole, taulukkoa tulee päivittää. | ||
===Arch Linux=== | |||
* Asenna paketit '''ccid''', '''pcsclite''', '''opensc''' | |||
* Muuta palvelu pcscd automaattisesti käynnistyväksi: | |||
sudo systemctl enable pcsc | |||
* Käynnistä palvelu pcscd: | |||
systemctl start pcscd | |||
* onepin-opensc-pkcs11.so -plugin sijaitsee hakemistossa <code>/usr/lib</code> | |||
=== CentOS === | === CentOS === | ||
Fedoran ohjeet pitäisi käydä sellaisenaan. | Fedoran ohjeet pitäisi käydä sellaisenaan. | ||
=== Fedora === | === Fedora === | ||
| Rivi 482: | Rivi 503: | ||
=== Gentoo === | === Gentoo === | ||
* ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh | * ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh | ||
=== OpenSuse === | === OpenSuse === | ||
* Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]] | * Pakettienhallintatyökalu: [[Zypper]] ja [[PackageKit]] | ||
* Asenna paketit opensc ja pcsc-lite | |||
=== RHEL (Red Hat Enterprise Linux) === | === RHEL (Red Hat Enterprise Linux) === | ||
Fedoran | |||
Käynnistä Subscription Manager, mene System-valikkoon ja valitse Repositories. Merkitse {rhel-7-server-optional-rpms | rhel-7-desktop-optional-rpms | rhel-7-workstation-optional-rpms} pakettivaranto käyttöön. | |||
Nyt voit jatkaa Fedoran ohjeilla. | |||
===Ubuntu=== | ===Ubuntu=== | ||
* Asenna paketit <tt> | * Asenna paketit <tt>opensc</tt> ja <tt>pcscd</tt> | ||
* Pakettienhallintatyökalu: [[Apt]], [[PackageKit]] | * Pakettienhallintatyökalu: [[Apt]], [[PackageKit]] | ||
* Firefox Asteukset / Yksityisyys ja Turvallisuus / Sertifikaatit / Turvallisuus laitteet , jos | |||
PKSC11# mooduli puuttuu lisää, load /usr/lib/x86_64-linux-gnu/onepin-opensc-pkcs11.so | |||
* versio 18.04 ja VRK:n 2018 jälkeen myönnetyt kortit eivät toimi kunnolla millään ohjelmistolla (mPollux kaatuilee) | |||
* 2018 jälkeen myönnetyille korteille ei ole tukea OpenSC:llä | |||
== Katso myös == | == Katso myös == | ||
* [[Mobiilivarmenne]] | * [[Mobiilivarmenne]] | ||
* [[ | * [[Apache httpd]] | ||
* [[Firefox]] | * [[Firefox]] | ||
* [[Gnupg]] - GNU Privacy Guard | * [[Gnupg]] - GNU Privacy Guard | ||
| Rivi 509: | Rivi 538: | ||
* [[Thunderbird]] | * [[Thunderbird]] | ||
* [[VPN]] - Virtual Private Network | * [[VPN]] - Virtual Private Network | ||
* [[ | * [[Wpa supplicant]] | ||
== Aiheesta muualla == | == Aiheesta muualla == | ||
| Rivi 517: | Rivi 546: | ||
* [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa. | * [http://fi.wikipedia.org/wiki/HST http://fi.wikipedia.org/wiki/HST] - Henkilökortti Wikipediassa. | ||
* [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa. | * [http://fi.wikipedia.org/wiki/PKI http://fi.wikipedia.org/wiki/PKI] - Julkisen avaimen infrastruktuuri Wikipediassa. | ||
* [ | * [https://github.com/OpenSC/OpenSC/wiki/ opensc-wiki ] - OpenSC korttityökalujen kotisivu. | ||
* [ | * [https://github.com/OpenSC/OpenSC/wiki/Finnish-FINEID OpenSC-wiki - FinnishEid] - OpenSC projektin FINEID sivu. | ||
* [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi. | * [http://www.cryptsoft.com/pkcs11doc/v230/ http://www.cryptsoft.com/pkcs11doc/v230/] - pkcs#11 standardi. | ||
* [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys. | * [http://www.openxades.org/files/DigiDoc%20format%201.3.doc openxades.org - digidoc-1.3] - DigiDoc määritys. | ||
| Rivi 527: | Rivi 556: | ||
* [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava. | * [irc://irc.freenode.net/opensc irc://irc.freenode.net/opensc] - OpenSC IRC kanava. | ||
* [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava. | * [irc://irc.freenode.net/fineid irc://irc.freenode.net/fineid] - #fineid IRC kanava. | ||
* [https://github.com/OpenSC/OpenSC/pull/1608 https://github.com/OpenSC/OpenSC/pull/1608] - Kehitysvaiheessa oleva tuki vuodesta 2018 eteenpäin myönnetyille HST-korteille | |||
* [https://makarainen.net/Henkilovarmenne-kortinlukijaohjelmiston-asentaminen-Ubuntussa https://makarainen.net/Henkilovarmenne-kortinlukijaohjelmiston-asentaminen-Ubuntussa] - Kansalaisvarmenteen vaatima kortinlukijaohjelmiston asentaminen Ubuntussa | |||
[[Luokka:Laitteisto]] | [[Luokka:Laitteisto]] | ||