HST

Linux.fista
Versio hetkellä 3. toukokuuta 2011 kello 22.50 – tehnyt 213.219.75.176 (keskustelu)
Siirry navigaatioon Siirry hakuun

Väestörekisterikeskus tarjoaa Suomessa henkilön sähköisen tunnistamisen (HST, eng FINEID) ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on julkisen avaimen menetelmään perustuva laatuvarmenne. Varmenteita on kansalaisille ja myös organisaatiovarmenne yrityksille, yhteisöille sekä näiden henkilöstölle. Varmenteen avulla voi tunnistautua, allekirjoittaa ja salata dokumentteja ja viestiliikennettä.

Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi vaihtoehtoa:

  • OpenSC sekä siihen liittyvät middleware- ja ajuri-ohjelmistot
  • Fujitsu Services Oy:n mPollux Digisign Client

Vaihtoehtona mPollux-ohjelmistolle on olemassa vapaat OpenSC- ja OpenCT sekä PCSC-lite -ohjelmistot. Nämä ohjelmat on saatavilla useimpien Linux-jakeluiden paketinhallinnasta. Joissakin Linux-jakelussa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, jossa jakelun tekijä on valinnut sopivan yhdistelmän ohjelmia, jotka konfiguroidaan valmiiksi asennuksen yhteydessä.

Yleistä HST-kortista

HST-kortti on yksi osa Väestörekisterikeskuksen PKI-järjestelmää. HST-kortin tarkoituksena on toimia henkilökorttina sähköisessä asioinnissa vastaavalla tavalla kuin kortti toimii perinteisenä henkilötodistuksena asioitaessa kasvokkain. Kortin toiminta perustuu ns. julkisen avaimen salausjärjestelmään: kortilla on tuotettu avainpari, joka koostuu julkisesta ja salaisesta avaimesta. Julkinen avain on sisällytetty varmenteeseen, joka avaimen lisäksi sisältää suppeat henkilötiedot: kortinhaltijan nimi ja sähköinen asiointitunnus. Varmenne on Väestörekisterikeskuksen digitaalisesti allekirjoittama.

Varmennetta ja salaista avainta voidaan verrata käyttäjätunnus/salasanapariin. Perinteisessä autentikoinnissa käyttäjä esittäytyy antamalla käyttäjätunnuksen ja todistaa olevansa käyttäjätunnuksen haltija esittämällä tunnusta vastaavan salasanan. Vastaavasti PKI-maailmassa henkilö esittytyy lähettämällä vastapuolelle varmenteensa, ja osoittaa olevansa varmenteen haltija todistamalla, että hänellä on hallussaan julkista avainta vastaava salainen avain. Mutta, päinvastoin kuin salasanan tapauksessa, salaisen avaimen hallussapito voidaan todistaa paljastamatta sitä kenellekään.

Julkisen avaimen salausjärjestelmän voi toki toteuttaa ilman älykorttiakin, mutta tällöin usein ongelmaksi muodostuu salaisten avainten hallinta. PKI-älykortin varsinainen idea onkin, että se on rakennettu pitämään salaiset avaimet suojassa muistissaan ja laskemaan niillä ilman tarvetta lukea niitä kortilta. Itse asiassa HST-kortti ei edes salli salaisten avainten siirtoa kortin ulkopuolelle.

Laitteet

Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä, ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Toiset esim kannettavan tietokoneen laajennuskorttipaikkaan sopivat lukijat näkyvät USB-väylässä ja toimivat sen mukaisesti.

Nykyaikaiset lukijat

Kun on hankkimassa USB-lukijaa, kannattaa valita ns. CCID (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:

  • Omnikey 1021, 3021, 3121, 4321 ym (4040 varauksella).
  • SCM SCR 3310
  • Dellin tiettyjen USB-näppäimistömallien integroidut lukijat

Vanhemmat lukijat

Aikanaan valtaosa ensimmäisistä älykorttilukijoista oli RS-232 pohjaisia ja siten niiden käyttöönotto oli myös hieman työläämpää. Ensimmäiset USB-lukijat olivat myös RS-232 laitteita, niissä oli vain sisäinen USB-RS232 adapteripiiri (usein Prolific PL2303, pl2303 ajuri) joten laite lopulta näkyy yhtenä ttyUSB<n>-laitteena ajurinsa perusteella ja pitää siten ottaa käsin käyttöön.

Ennen USB-laitteiden CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin.

  • Towitoko ChipdDrive-micro 130 - USB-RS232 emulaatiolla oleva ihan toimiva lukija jos jakelu tukee.
  • Towitoko ChipDrive Extern 330 - Sama sähköisesti kuin ChipDrive-micro.

Tietyt lukijalaitteiden brändit ovat vaihtuneet kun firmat ovat ostelleet toisiaan.

Towitoko ChipDrive

Ei asennu automaattisesti, tehtävä seuraavat toimenpiteet käsin.

openct:

Poista /etc/openct.conf tiedostosta kommentointi seuraavan lohkon osalta:

 #reader towitoko {
 #       driver = towitoko;
 #       device = serial:/dev/ttyS0;
 #};

Varmistu, että device osoittaa oikeaan laitteeseen. (esim ttyUSB0). Käynnistä openct palvelu uudelleen.

pcscd:

?

Arkkitehtuuri

Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä PKCS#11. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä Cryptoki (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. jaettuna kirjastona (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.

PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: PCSC-lite ja OpenCT. PC/SC (Personal Computer/Smart Card) on alunperin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.

OpenCT on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään CCID-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa.

Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:


        

Sovellustuki

Sovellustuki voi olla joko suora tai perustua kirjastoon joka on säädetty tukemaan kortinlukijaa ja sen sertifikaatteja.

mPollux Digisign Client

Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n mPollux Digisign Client -kortinlukijaohjelmiston sähköistä kansalaisvarmennetta (esim. sähköinen henkilökortti) käyttäville. Väestörekisterikeskuksen www-sivuilta on mahdollista ladata ohjelmisto RHELille, Suselle ja Ubuntulle. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa. mPollux Digisign Client -ohjelmistoa ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta.

Firefox

Palvelun niin vaatiessa, mahdollisuus muodostaa ns client-side sertifikaattia vaativa SSL-yhteys jossa palvelupää tunnistaa selaimen käyttäjän kortin esimmäisellä sertifikaatilla. Tällöin käyttäjän tiedot löydetään palvelun tietokannoista sähköisellä asiointitunnuksella.

Palvelu voi pyytää käyttäjää allekirjoittamaan sisältöä kortin toisella sertifikaatilla. Teknisiä toteutustapoja on lukuisia ja erityisesti vanhat Java-pohjaiset toimivat huonosti. Uusimmat toteutukset käyttävät C-kielellä toteutettua selaimen pluginia joka tulee asentaa käyttäjän tietokoneeseen ennen palvelun käyttöä.


OpenSC-sivustolla on pitkä lista erillaisista ohjelmistojen tuesta sertifikaateille.

Peruskäyttäjän tehtävälista

Sivulla on paljon asiaa, muttei tämä oikeasti niin vaikeaa ole, lyhyesti:

  1. Hanki henkilökortti. Sitä voi anoa paikalliselta poliisilta, toimitusaika kaksi vkoa.
  2. Hanki kortin lukijalaite, tarkasta tuetut mallit ennen ostamista.
  3. Päätä kumpaa käytät: pcscd (yleisempi) vai openct?
  4. Asenna vaaditut paketit ja konfiguroi ne tarvittaessa (lähinnä vanhat lukijat).
  5. Käy tarvitsemasi sovellukset läpi ja konfiguroi ne.
  6. Testaa ja käytä.

Sovelluskohtaisia ohjeita

OpenSC työkalut

korttipaikkojen listaus

 $ pkcs11-tool -L
 Slot 0 (0xffffffffffffffff): Virtual hotplug slot
   (empty)
 Slot 1 (0x1): OmniKey CardMan 1021 00 00
   token label:   TXXXXXXXXX,JXXXXXX XXXXX,xxxxxxxxxxxxx (
   token manuf:   AS Sertifitseerimiskeskus
   token model:   PKCS#15 emulated
   token flags:   rng, readonly, login required, PIN initialized, token initialized
   serial num  :  E0044809

sertifikaattien listaus

pin koodin vaihto

puk koodin käyttö

Firefox

  • valitse Muokkaa Asetukset LisäasetuksetSalausTurvallisuuslaitteet
  • paina Lataa
  • lisää: /usr/lib/opensc-pkcs11.so

tai

  • valitse EditPreferencesAdvancedEncryptionSecurity Devices
  • paina Load
  • lisää: /usr/lib/opensc-pkcs11.so

Thunderbird

  • valitse MuokkaaAsetuksetLisäasetuksetVarmenteetTurvallisuuslaitteet
  • paina Lataa
  • lisää: /usr/lib/opensc-pkcs11.so
  • edelleen lisäasetuksista valitse Näytä varmenteet
  • valitse Varmentajat-välilehdeltä omat Väestörekisterikeskus CA:n alla olevat Varmenteet ja Muokkaa
  • lisää valinnat: "Tämä varmenne voi todentaa WWW-sivustoja" ja "Tämä varmenne voi todentaa sähköpostittajia"
  • valitse MuokkaaTilien asetukset
  • halutun tilin Turvallisuus-valikosta valitse kortin todentamis- ja salausvarmenne

SSH

OpenSSH tukee HST-kortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia ssh-agent ja ssh-add.

ssh-agent on ohjelma, joka säilöö ohjelman ajon ajaksi privaatteja salausavaimia ajomuistiin ssh-ohjelman käyttöön, mutta siinä on myös tuki opensc-pkcs11 pluginille. Tällöin niitä ei ladata muistiin, vaan vain viitataan kortilla olevaa avaimeen kirjaston rajapinnan kautta.

Avaimia lisätään ssh-agent -ohjelmaan ssh-add -ohjelmalla. Älykorttien yhteydessä käytetään -s-optiota, jolla kerrotaan pluginin polku. Kortin avaimeen liittyvä PIN kysytään ssh-add-komennon yhteydessä, ja se jää ssh-agent prosessin muistiin.

Käyttö:

  • Aseta kortti lukijaan ja lisää plugin:
 ssh-add -s /usr/lib/opensc-pkcs11.so
  • Avainparin julkisen avaimen saa tulostettua ssh-add -L -komennolla:
$ ssh-add -L
ssh-rsa AAAAB3NzaC...VAkWbd0lYyWrg78Q== /usr/lib64/opensc-pkcs11.so
  • Jos tätä sertifikaattia ei ole aiemmin käytetty ssh:n kanssa, lisää ylläoleva tekstirimpsu (koko rivi sellaisenaan) ~/.ssh/authorized_keys tiedostoon palvelimella.

Vianmääritys:

  • Varmista, että ssh-agent on käynnistynyt sisäänkirjautumisesi yhteydessä (prosessilistauksessa näkyy ssh-agent). Käynnistminen riippuu Linux-jakelustasi, yleensä se on automaattinen eikä mitään tarvitse tehdä. Jos sitä ei siitä huolimatta ole käynnissä, se on voinut kräshätä.

OpenOffice.org

Dokumentteja on mahdollista allekirjoittaa kortin ensimmäisellä tunnistus-sertifikaatilla. Tuki on ohjelmaan sisäänrakennettu eikä vaadi erillistä säätämistä toimiakseen, jos muu korttituki toimii.

qDigiDoc

Graafinen työkalu Digidoc-määrityksen mukaisten digitaalisten kontainereiden tai säiliöiden luomiseen ja käsittelyyn. Sertifikaatilla voi allekirjoittaa ja/tai salata säiliön sisällön. Sisältö voi olla mitä tiedostoja tahansa. Ohjelmisto on kehitetty Virossa ja on yhteiskunnassa laajalti käytetty ja hyväksytty sovellus, merkittävin henkilökortin käyttökohde WWW-tunnistamisen rinnalla. Ohjelmat on kirjoitettu Qt-kirjastolla.


Kleopatra

Ohjelman asetuksissa on välilehti Smartcard Daemon josta löytyy Use NAME as ct-API driver ja Use NAME as PC/SC driver joka viittaisi pcsc:n ohittamista arkkitehtuuripinossa, mutta enempää kirjoittajalla (tuju) ei ole ymmärrystä ohjelman korttituesta. Ilmeisesti se on kuitenkin mahdollista. Testaajan kannattaa ensimmäiseksi saada Settings - Perfom Self-test näyttämään vihreää.

Jakelukohtaisia ohjeita

Gentoo

  • ssh-agent: KDE-ympäristöllä pitää poistaa kommenteista agentin käynnistyskomennot tiedostossa /etc/kde/startup/agent-startup.sh

Fedora

  • Lukijat: Omnikey-1021,-3021,-4321 toimii, Omnikey-4040 ei taida enää viimeisimmissä jakeluissa.
  • Vaaditut paketit: opensc, pcsc-lite (tai openct).
  • Initscriptit: openct ja pcscd oletuksena päällä asennuksen jälkeen.
  • Sovelluspaketit: firefox, thunderbird, openssh-clients, qdigidoc, mozilla-esteid (digiallekirjoitus), kdepim (kleopatra).
  • ssh-agent käynnistyy automaattisesti jos on asennettu.
  • onepin-opensc-pkcs11.so plugin sijaitsee arkkitehtuurin mukaisessa hakemistossa joko:

/usr/lib/onepin-opensc-pkcs11.so

tai

/usr/lib64/onepin-opensc-pkcs11.so

Ubuntu

  • Asenna paketit opensc, mozilla-opensc ja pcscd

Katso myös

Aiheesta muualla