Ero sivun ”HST” versioiden välillä

Siirry navigaatioon Siirry hakuun
276 merkkiä lisätty ,  3. toukokuuta 2011
Johdantoa muokattu.
(Johdantoa muokattu.)
Rivi 1: Rivi 1:
Väestörekisterikeskus tarjoaa Suomessa henkilön [http://www.vaestorekisterikeskus.fi/vrk/home.nsf/www/sahkoinenhenkilollisyys sähköisen tunnistamisen] (HST) ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteita on [http://www.fineid.fi/vrk/fineid/home.nsf/pages/4DC96862A6BFA292C2256FFF00379DE9 kansalaisille] ja myös [http://www.fineid.fi/vrk/fineid/home.nsf/pages/592117F7739364D5C2256FFF00386FA6 organisaatiovarmenne] yrityksille, yhteisöille sekä näiden henkilöstölle. Varmenteen avulla voi tunnistautua verkkopalveluihin, allekirjoittaa ja salata sähköpostia.
Väestörekisterikeskus tarjoaa Suomessa henkilön [http://www.vaestorekisterikeskus.fi/vrk/home.nsf/www/sahkoinenhenkilollisyys sähköisen tunnistamisen] (HST) ratkaisua sirullisella henkilökortilla. Kortin myöntää poliisi. Henkilökortilla on [[wikipedia:fi:PKI|julkisen avaimen menetelmään]] perustuva laatuvarmenne. Varmenteita on [http://www.fineid.fi/vrk/fineid/home.nsf/pages/4DC96862A6BFA292C2256FFF00379DE9 kansalaisille] ja myös [http://www.fineid.fi/vrk/fineid/home.nsf/pages/592117F7739364D5C2256FFF00386FA6 organisaatiovarmenne] yrityksille, yhteisöille sekä näiden henkilöstölle. Varmenteen avulla voi tunnistautua verkkopalveluihin, allekirjoittaa ja salata sähköpostia.


Sähköinen henkilökortti toimii myös Linuxissa. Väestörekisterikeskus tarjoaa maksutta Fujitsu Oy:n ''mPollux Digisign Client'' -kortinlukijaohjelmiston sähköistä kansalaisvarmennetta (esim. sähköinen henkilökortti) käyttäville. [http://www.fineid.fi/vrk/fineid/home.nsf/pages/CB47E5DD1C07BC25C2256FFF00393AFE Väestörekisterikeskuksen www-sivuilta] on mahdollista ladata ohjelmisto [[RHEL]]ille, [[Suse]]lle ja [[Ubuntu]]lle. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa. mPollux-ohjelma ei kuitenkaan ole välttämätön, vaan kortti toimii usein suoraan vapaan [http://www.opensc-project.org/ OpenSC]-ohjelmiston avulla.
Sähköinen henkilökortti toimii myös Linuxissa. Kortin käyttö edellyttää kortinlukijaa sekä asennettua kortinlukijaohjelmistoa. Ohjelmistoksi on olemassa kaksi vaihtoehtoa:
* Fujitsu Services Oy:n ''mPollux Digisign Client''
* ''OpenSC'' sekä siihen liittyvät middleware- ja ajuri-ohjelmistot


Korttiajureita sisältävä <tt>[[opensc]]</tt>-paketti sekä kortinlukija-ajureita sisältävä <tt>[[openct]]</tt>-paketti löytyvät useimpien jakeluiden [[paketinhallinta|paketinhallinnasta]]. Ne tulevat usein oletusasennuspaketin mukana.
Väestörekisterikeskus tarjoaa maksutta Fujitsu Services Oy:n ''mPollux Digisign Client'' -kortinlukijaohjelmiston sähköistä kansalaisvarmennetta (esim. sähköinen henkilökortti) käyttäville. [http://www.fineid.fi/vrk/fineid/home.nsf/pages/CB47E5DD1C07BC25C2256FFF00393AFE Väestörekisterikeskuksen www-sivuilta] on mahdollista ladata ohjelmisto [[RHEL]]ille, [[Suse]]lle ja [[Ubuntu]]lle. Paketit toiminevat myös monissa niille sukua olevissa jakeluissa. mPollux Digisign Client -ohjelmistoa ei tiettävästi ole saatavilla minkään Linux-jakelun virallisesta paketinhallinnasta.


Useimpien kortinlukijoiden (esimerkiksi [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR3310]) pitäisi toimia OpenCT:n avulla suoraan [http://www.opensc-project.org/openct/wiki/ccid].
Vaihtoehtona mPollux-ohjelmistolle on olemassa vapaat [http://www.opensc-project.org/ OpenSC]- ja [http://www.opensc-project.org/openct/ OpenCT] sekä [http://pcsclite.alioth.debian.org/ PCSC-lite] -ohjelmistot. Nämä ohjelmat on saatavilla useimpien Linux-jakeluiden paketinhallinnasta. Joissakin Linux-jakelussa on älykorttien käsittely on integroitu toimivaksi kokonaisuudeksi, jossa jakelun tekijä on valinnut sopivan yhdistelmän ohjelmia, jotka konfiguroidaan valmiiksi asennuksen yhteydessä.


==Yleistä HST-kortista==
==Yleistä HST-kortista==
Rivi 17: Rivi 19:
==Laitteet ja ohjelmistot==
==Laitteet ja ohjelmistot==


Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä, ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Kun on hankkimassa ulkoista lukijaa, kannattaa valita ns. '''CCID''' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. Ennen CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin. Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:
Korttia varten tarvitaan kortinlukija ja lukijaan sopiva ajuri. Lukijoita on pääasiassa kahta tyyppiä, ulkoinen, tyypillisesti USB-väylään liitettävä lukija, sekä joissakin kannettavissa tietokoneissa oleva sisäinen lukija. Kun on hankkimassa ulkoista lukijaa, kannattaa valita ns. ''CCID'' (Circuit Card Interface Device) -speksin mukainen lukija. CCID on USB-väylän yhteyteen määritelty ns. Device Class -määrittely, joka määrittelee yhteisen protokollan eri valmistajien USB-lukijoille. Ennen CCID-määrittelyn valmistumista jokainen valmistaja käytti omaa protokollaa; näitä vanhempia lukijoita näkee vielä silloin tällöin. Esimerkkejä CCID-protokollan mukaisista lukijoista ovat:
* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, ym.
* [http://www.hidglobal.com/omnikey/ Omnikey] 1021, 3021, 3121, ym.
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310]
* [http://www.scmmicro.com/security/view_product_en.php?PID=4 SCM SCR 3310]
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat
* Dellin tiettyjen USB-näppäimistömallien integroidut lukijat


Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä '''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]'''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä '''Cryptoki''' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. jaettuna kirjastona (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.
Sovellusohjelma tarvitsee ohjelmointirajapinnan (API) pystyäkseen keskustelemaan älykortin kanssa. RSA Laboratories on määritellyt C-ohjelmointirajapinnan niin sanotuille kryptograafisille tokeneille nimeltä ''[http://www.cryptsoft.com/pkcs11doc/v230/ PKCS#11]''. Se on 11. osa RSA Laboratoriesin sarjassa Public Key Cryptography Standards ja tunnetaan myös lempinimellä ''Cryptoki'' (väännös sanoista Cryptographic Token Interface). Cryptoki on tyypillisesti toteutettu ns. jaettuna kirjastona (.so-tiedosto). Useampi sovellus voi käyttää Cryptoki-rajapintaa rinnakkain; kirjaston tehtävänä on synkronoida pääsy yksittäiselle tokenille. Cryptoki pystyy myös hallitsemaan useampaa järjestelmään liitettyä tokenia. OpenSC-ohjelmisto sisältää Cryptoki-toteutuksen jaettuna kirjastona nimellä opensc-pkcs11.so.


PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: '''pcsc-lite''' ja '''OpenCT'''. '''PC/SC''' (Personal Computer/Smart Card) on alunperin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.
PKCS#11-kirjaston ja lukijan välille tarvitaan vielä ns. middleware, josta on avoimena lähdekoodina kaksi vaihtoehtoista toteutusta: ''PCSC-lite'' ja ''OpenCT''. ''PC/SC'' (Personal Computer/Smart Card) on alunperin Microsoftilta tullut aloite, joka määrittelee yhtenäisen, laitteistosta riippumattoman, rajapinnan älykorteille. PC/SC:n ja Cryptokin erona on, että PC/SC määrittelee alemman tason rajapinnan älykorteille yleensä, kun taas Cryptoki määrittelee rajapinnan julkisen avaimen cryptotokeneille, jotka eivät välttämättä ole edes toteutettu älykortteina.


OpenCT on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (pcsc-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa.
OpenCT on OpenSC:n kehittäjien kehittämä "liima" ylemmän tason Cryptoki-kirjaston ja laitteiston välillä. OpenCT on suoraviivaisempi vaihtoehto PC/SC:lle. Se pystyy käsittelemään lukijoita suoraan, kun taas PC/SC (PCSC-lite) tarvitsee erikseen vielä lukijalle ajurin. USB-lukijoilla käytetään ''CCID''-ajuria. Toisaalta OpenCT ei toteuta PC/SC-rajapintaa, joten sitä ei voi käyttää jos sovellus on kirjoitettu käyttämään PC/SC-rajapintaa.


Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:
Alla on esitetty kaavioina yllä mainitut kaksi ohjelmistovaihtoehtoa:
Rivi 58: Rivi 60:
===SSH===
===SSH===
OpenSSH tukee HST-kortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin
OpenSSH tukee HST-kortin käyttöä autentikointiin PKCS#11-rajapinnan kautta. Kortin sisältämän avainparin
julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia '''ssh-agent''' ja '''ssh-add'''.
julkinen osa siirretään niille ssh-palvelimille, joihin halutaan olla yhteydessä. SSH-asiakasohjelma pystyy käyttämään kortilla olevaa salaista osaa kättelyssä palvelimen kanssa. Avainten hallintaan käytetään OpenSSH:n mukana tulevia apuohjelmia ''ssh-agent'' ja ''ssh-add''.
* Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
* Varmista, että ssh-agent käynnistyy esim. X11-session alussa; Miten tämä tapahtuu riippuu Linux-distrosta, X11-ympäristöstä, ym.
** On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi &mdash; katso dokumentaatiosta tai ps-komennolla
** On hyvin mahdollista, että ssh-agent-ohjelman käynnistyksestä on huolehdittu omassa Linux-distrossasi &mdash; katso dokumentaatiosta tai ps-komennolla
92

muokkausta

Navigointivalikko