Ero sivun ”HST” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
(Lisätty SSH:n käyttöön liittyviä ohjeita.)
Rivi 34: Rivi 34:
julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia '''ssh-agent''' ja '''ssh-add'''.
julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia '''ssh-agent''' ja '''ssh-add'''.
* Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
* Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
* On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi — katso dokumentaatiosta tai ps-komennolla
** On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi — katso dokumentaatiosta tai ps-komennolla
* Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa <code>/etc/kde/startup/agent-startup.sh</code>
** Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa <code>/etc/kde/startup/agent-startup.sh</code>
* ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjastoa
* ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjastoa
* Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien tapauksessa käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku &mdash; tässä tapauksessa avainta ei siirretä ssh-agent -ohjelman muistiin vaan kortilla olevaa avainta käsitellään kirjaston rajapinnan kautta
* Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku &mdash; tässä tapauksessa avainta ei siirretä ssh-agent -ohjelman muistiin vaan kortilla olevaa avainta käsitellään kirjaston rajapinnan kautta
* Sen sijaan kortin PIN kysytään <code>ssh-add</code>-komennon yhteydessä, ja se jää ssh-agent prosessin muistiin
* Kortin avaimeen liittyvä PIN kysytään <code>ssh-add</code>-komennon yhteydessä, ja se jää ssh-agent prosessin muistiin
* Esim. <code>ssh-add -s /usr/lib/opensc-pkcs11.so</code>
* Esim. <code>ssh-add -s /usr/lib/opensc-pkcs11.so</code>
* Kortin on oltava lukijassa kun ssh-add -komento annetaan
* Kortin on oltava lukijassa kun ssh-add -komento annetaan

Versio 2. toukokuuta 2011 kello 15.21

Väestörekisterikeskus tarjoaa Suomessa henkilön sähköisen tunnistamisen (HST) ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on julkisen avaimen menetelmään perustuva laatuvarmenne. Varmenteita on kansalaisille ja myös organisaatiovarmenne yrityksille, yhteisöille sekä näiden henkilöstölle. Varmenteen avulla voi tunnistautua verkkopalveluihin, allekirjoittaa ja salata sähköpostia.

Sähköinen henkilökortti toimii myös Linuxissa. Väestörekisterikeskus tarjoaa maksutta Fujitsu Oy:n mPollux Digisign Client -kortinlukijaohjelmiston sähköistä kansalaisvarmennetta (esim. sähköinen henkilökortti) käyttäville. Väestörekisterikeskuksen www-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa. mPollux-ohjelma ei kuitenkaan ole välttämätön, vaan kortti toimii usein suoraan vapaan OpenSC-ohjelmiston avulla.

Korttiajureita sisältävä opensc-paketti sekä kortinlukija-ajureita sisältävä openct-paketti löytyvät useimpien jakeluiden paketinhallinnasta. Ne tulevat usein oletusasennuspaketin mukana.

Useimpien kortinlukijoiden (esimerkiksi SCM SCR3310) pitäisi toimia OpenCT:n avulla suoraan [1].

Ohjelma- ja jakelukohtaisia ohjeita

Firefox

  • valitse Muokkaa->Asetukset->Lisäasetukset->Salaus->Turvallisuuslaitteet
  • paina Lataa
  • lisää: /usr/lib/opensc-pkcs11.so

tai

  • valitse Edit->Preferences->Advanced->Encryption->Security Devices
  • paina Load
  • lisää: /usr/lib/opensc-pkcs11.so

Thunderbird

  • valitse Muokkaa->Asetukset->Lisäasetukset ->Varmenteet->Turvallisuuslaitteet
  • paina Lataa
  • lisää: /usr/lib/opensc-pkcs11.so
  • edelleen lisäasetuksista valitse Näytä varmenteet
  • valitse Varmentajat-välilehdeltä omat Väestörekisterikeskus CA:n alla olevat Varmenteet ja Muokkaa
  • lisää valinnat: "Tämä varmenne voi todentaa WWW-sivustoja" ja "Tämä varmenne voi todentaa sähköpostittajia"
  • valitse Muokkaa->Tilien asetukset
  • halutun tilin Turvallisuus-valikosta valitse kortin todentamis- ja salausvarmenne

SSH

OpenSSH tukee HST-kortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia ssh-agent ja ssh-add.

  • Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
    • On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi — katso dokumentaatiosta tai ps-komennolla
    • Joissakin tapauksissa pitää itse huolehtia ohjelman käyttöönotosta; esimerkiksi Gentoo Linuxissa KDE-ympäristöllä pitää poistaa kommenteista ssh-agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh
  • ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ssh-ohjelman käyttöön, mutta se pystyy myös käyttämään PKCS#11-kirjastoa
  • Avaimia lisätään ssh-agent -ohjelman muistiin ssh-add -ohjelmalla; älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan PKCS#11-kirjaston polku — tässä tapauksessa avainta ei siirretä ssh-agent -ohjelman muistiin vaan kortilla olevaa avainta käsitellään kirjaston rajapinnan kautta
  • Kortin avaimeen liittyvä PIN kysytään ssh-add-komennon yhteydessä, ja se jää ssh-agent prosessin muistiin
  • Esim. ssh-add -s /usr/lib/opensc-pkcs11.so
  • Kortin on oltava lukijassa kun ssh-add -komento annetaan
  • Avainparin julkinen avain on siirrettävä vastapuolen (= serverin) ~/.ssh/authorized_keys-tiedostoon; avaimen saa tulostettua ssh-add -L -komennolla:
$ ssh-add -L
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQCrFmt4STTrjGROHuP7uPrl6MRxqZ/hBKqHtIcvetXV3j9wIrle+Mk9laRRowWoo9x2DqL4IIhP6SFO4NUup0/kRZkIP9Bavm0PkkboRpILysu5G5fKYYL2sTrcNGmzKsF2ItLoTotK6rD9azX+ZvYly9irAfVAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so

Ubuntu

  • Asenna paketit opensc, mozilla-opensc ja pcscd
  • Liitä tietokoneeseen älykortin lukija.