Ero sivun ”HST” versioiden välillä
Siirry navigaatioon
Siirry hakuun
Johdantoa muokattu.
Jem (keskustelu | muokkaukset) |
Jem (keskustelu | muokkaukset) (Johdantoa muokattu.) |
||
Rivi 1: | Rivi 1: | ||
Väestörekisterikeskus tarjoaa Suomessa henkilön [http://www.vaestorekisterikeskus.fi/vrk/home.nsf/www/sahkoinenhenkilollisyys sähköisen tunnistamisen] (HST) ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteita on [http://www.fineid.fi/vrk/fineid/home.nsf/pages/4DC96862A6BFA292C2256FFF00379DE9 kansalaisille] ja myös [http://www.fineid.fi/vrk/fineid/home.nsf/pages/592117F7739364D5C2256FFF00386FA6 organisaatiovarmenne] yrityksille, yhteisöille sekä näiden henkilöstölle. Varmenteen avulla voi tunnistautua verkkopalveluihin, allekirjoittaa ja salata sähköpostia. | Väestörekisterikeskus tarjoaa Suomessa henkilön [http://www.vaestorekisterikeskus.fi/vrk/home.nsf/www/sahkoinenhenkilollisyys sähköisen tunnistamisen] (HST) ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteita on [http://www.fineid.fi/vrk/fineid/home.nsf/pages/4DC96862A6BFA292C2256FFF00379DE9 kansalaisille] ja myös [http://www.fineid.fi/vrk/fineid/home.nsf/pages/592117F7739364D5C2256FFF00386FA6 organisaatiovarmenne] yrityksille, yhteisöille sekä näiden henkilöstölle. Varmenteen avulla voi tunnistautua verkkopalveluihin, allekirjoittaa ja salata sähköpostia. | ||
Sähköinen henkilökortti toimii myös Linuxissa. | Sähköinen henkilökortti toimii myös Linuxissa. Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi vaihtoehtoa: | ||
* Fujitsu Services Oy:n ''mPollux Digisign Client'' | |||
* ''OpenSC'' sekä siihen liittyvät middleware- ja ajuri-ohjelmistot | |||
Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n ''mPollux Digisign Client'' -kortinlukijaohjelmiston sähköistä kansalaisvarmennetta (esim. sähköinen henkilökortti) käyttäville. [http://www.fineid.fi/vrk/fineid/home.nsf/pages/CB47E5DD1C07BC25C2256FFF00393AFE Väestörekisterikeskuksen www-sivuilta] on mahdollista ladata ohjelmisto [[RHEL]]ille, [[Suse]]lle ja [[Ubuntu]]lle. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa. mPollux Digisign Client -ohjelmistoa ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta. | |||
Vaihtoehtona mPollux-ohjelmistolle on olemassa vapaat [http://www.opensc-project.org/ OpenSC]- ja [http://www.opensc-project.org/openct/ OpenCT] sekä [http://pcsclite.alioth.debian.org/ PCSC-lite] -ohjelmistot. Nämä ohjelmat on saatavilla useimpien Linux-jakeluiden paketinhallinnasta. Joissakin Linux-jakelussa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, jossa jakelun tekijä on valinnut sopivan yhdistelmän ohjelmia, jotka konfiguroidaan valmiiksi asennuksen yhteydessä. | |||
==Yleistä HST-kortista== | ==Yleistä HST-kortista== | ||
Rivi 17: | Rivi 19: | ||
==Laitteet ja ohjelmistot== | ==Laitteet ja ohjelmistot== | ||
Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä, ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Kun on hankkimassa ulkoista lukijaa, kannattaa valita ns. | Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä, ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Kun on hankkimassa ulkoista lukijaa, kannattaa valita ns. ''CCID'' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. Ennen CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin. Esimerkkejä CCID-protokollan mukaisista lukijoista ovat: | ||
* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, ym. | * [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, ym. | ||
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310] | * [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310] | ||
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat | * Dellin tiettyjen USB-näppäimistömallien integroidut lukijat | ||
Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä | Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. jaettuna kirjastona (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so. | ||
PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: '' | PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' ja ''OpenCT''. ''PC/SC'' (Personal Computer/Smart Card) on alunperin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina. | ||
OpenCT on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC ( | OpenCT on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa. | ||
Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa: | Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa: | ||
Rivi 58: | Rivi 60: | ||
===SSH=== | ===SSH=== | ||
OpenSSH tukee HST-kortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin | OpenSSH tukee HST-kortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin | ||
julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia | julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia ''ssh-agent'' ja ''ssh-add''. | ||
* Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym. | * Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym. | ||
** On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi — katso dokumentaatiosta tai ps-komennolla | ** On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi — katso dokumentaatiosta tai ps-komennolla |