Erinevus lehekülje "Eesti ID-kaardi kasutamine Debianiga" redaktsioonide vahel

Sissejuhatus

Eesti ID-kaart on nn protsessorkaart, mis võimaldab autentimist ja allkirjastamist. ID-kaardi kasutamiseks on vajalikud

• kehtiv Eesti ID-kaart
• kasutada oleva arvuti ja operatsioonisüsteemiga sobiv kaardilugeja
• internetiühendus
• ID-kaardi võimaluste kasutamiseks sobiv kliendipoolne tarkvara
• ID-kaardi võimaluste kasutamiseks sobiv teenus internetis

Eesti ID-kaardi töö põhineb avaliku võtme (ingl. k. public key) krüptograafia kasutamisel. Avaliku võtme infrastruktuuris (ingl. k. PKI - public key infrastructure) esitatakse kasutaja avalik võti koos kasutaja kohta käivate muude andmetega, nt kasutaja nimi ja eposti aadress selle konkreetse infrastruktuuri mõne ülemise sajalase võtmega signeeritud kujul ja seda tulemust nimetatakse kasutaja sertifikaadiks. Lisaks on sertifikaadis kirjas selle sertifikaadi väljastaja ja kehtivuse aeg.

Eesti ID-kaartidega seotud avaliku võtme infrastruktuuri haldab sh väljastab ID-kaarte Sertifitseerimiskeskus http://www.sk.ee/ kusjuures ID-kaardil on kaks paari võtmeid, öeldakse ka, et kaks sertifikaati

• isikutuvastuse ehk autentimise sertifikaat
• allkirjastamise sertifikaat

Kahe erineva sertifikaadi kasutuselevõtmise põhjuseks on asjaolu, et sertifikaatidel on nö oluliselt erinev kaal

• isikutuvastuse sertfikaadiga kasutaja identifitseerib ennast teenuse jaoks (portaal internetis, kooduks füüsilises maailmas)
• allkirjastamise sertifikaati kasutatakse reeglina ainult digitaalallkirja andmiseks ja Eesti Vabariigis on digitaalallkirjastatud dokument võrdsustatud omakäeliselt allkirjatatud dokumendiga; reeglina pangaülekannete sooritamisel toimub sisemiselt samuti digitaalallkirjastamise protseduur

Oletame, et kui oleks kasutuses ainult üks sertifikaat ja nt kasutaja siseneb koodukse kaudu ruumi, siis võiks konstrueerida skeemi, kus ta pahaaimamatult allkirjastab mõne dokumendi, mida ta muul juhul ei oleks nõus allkirjastama. Kahe sertifikaadi kasutamisel on võimalik erinevaid rolle lahus hoida.

Kuigi eelmises lõigus kasutati väljendeid 'isikutuvastuse sertifikaadiga kasutaja identifitseerib' ja 'allkirjastamise sertifikaati kasutatakse reeglina digitaalallkirja andmiseks' tuleb seda seda mõista nii, et sisuliselt neid protseduure sooritades kasutaja kasutab vastava sertifikaadi salajast võtit. ID-kaardil asuvate salajaste võtmete kasutamine on turvakaalutlustel piiratud täiendava parooliga, nn PIN koodiga, kummalgi salajasel võtmel on oma PIN kood ja võtme kasutamise eel küsib ID-kaardi tarkvara kasutajalt seda koodi.

Eesti ID-kaardi sertifikaatide LDAP kataloogiteenus

Kuna avaliku võtme infrastruktuuri üheks koostisosaks on, et kõigi kasutajate avalikud võtmed st sertifikaadid on kõigile avalikult kättesaadavad, siis SK on teinud kasutajate sertifikaadid internetis kättesaadavaks LDAP kataloogiteenuse abil aadressil ldap.sk.ee. Kasutaja sertifikaate (mis sisaldavad avalikke võtmeid) saab teades tema isikukoodi kopeerida öeldes nt

 $ ldapsearch -LLL -H ldap://ldap.sk.ee -x -b "c=EE" "(serialNumber=37003212713)"
 dn: cn=OOLBERG\2CIMRE\2C37003212713,ou=Authentication,o=ESTEID,c=EE
 objectClass: top
 objectClass: person
 objectClass: organizationalPerson
 objectClass: inetOrgPerson
 cn: OOLBERG,IMRE,37003212713
 serialNumber: 37003212713
 userCertificate;binary:: MIIEGjCCAwKgAwIBAgIESIQxaDANBgkqhkiG9w0BAQUFADBbMQswC
 QYDVQQGEwJFRTEiMCAGA1UEChMZQVMgU2VydGlmaXRzZWVyaW1pc2tlc2t1czEPMA0GA1UECxMGRV
 ...
 z5vZN4059dNaqZqVg5rlVrLS5/T+sK8PHxYcO+SKDZYobddJIv6i2XlpVAQLgkChEiXI2Bd3AMfpw
 fVbAjDsHXasblBtut7k1MItT3YLaNZ/xq9BY/B7afXqg==
 
 dn: cn=OOLBERG\2CIMRE\2C37003212713,ou=Digital Signature,o=ESTEID,c=EE
 objectClass: top
 objectClass: person
 objectClass: organizationalPerson
 objectClass: inetOrgPerson
 cn: OOLBERG,IMRE,37003212713
 serialNumber: 37003212713
 userCertificate;binary:: MIID2jCCAsKgAwIBAgIESIQxaTANBgkqhkiG9w0BAQUFADBbMQswC
 QYDVQQGEwJFRTEiMCAGA1UEChMZQVMgU2VydGlmaXRzZWVyaW1pc2tlc2t1czEPMA0GA1UECxMGRV
 ..

Kaardilugeja ühendamine operatsioonisüsteemiga

Ehk kõige parem kui kaardilugeja ühendub arvutiga USB abil, nt sobib mudel SRC-331. Debian Etch ja Lenny sisaldavad paketihalduses ID-kaardi kasutamiseks sobivat tarkvara, mille koduleht asub aadressil http://ideelabor.ee/ ja mille kasutamist käesolev tekst kirjeldab.

USB kaudu ühendatud ID-kaardilugeja kasutamise eelduseks on, et operatsioonisüsteem toetab USB seadmete kasutamist, sellest annab tunnistus peale kaardilugeja ühendamist lsusb sarnane väljund, kus on muu seas näha SCR331 seadmele vastav rida

 # lsusb
 Bus 004 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
 Bus 003 Device 002: ID 0483:2016 SGS Thomson Microelectronics Fingerprint Reader
 Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
 Bus 002 Device 006: ID 04e6:e001 SCM Microsystems, Inc. SCR331 SmartCard Reader
 Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
 Bus 001 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

ID-kaardiga suhtlemiseks vajaliku tarkvara paigaldamiseks tuleb öelda

 # apt-get install opensc pcscd libccid

Seejärel tuleb redigeerida kahte faili

• Näitena jagatavas /etc/opensc/opensc.conf failis tuleb teha kolm muudatust

 # zcat /usr/share/doc/libopensc2/examples/opensc.conf.gz > /etc/opensc/opensc.conf

Leidke failist üles need parameetrid ning muutke nende väärtused sellisteks

 try_emulation_first = yes;
 lock_login = false;
 reader_drivers = pcsc, ctapi;

• Failis /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist peavad sisalduma sellised read, leidke ja muutke olemasolevaid

 <key>ifdDriverOptions</key>
 <string>0x0004</string>

Seejärel seisake ja käivitage pcscd deemon

 # /etc/init.d/pcscd restart

Kontrollimaks, et tarkvara sai korrektselt paigaldatud küsime süsteemi ühendatud kaardilugejate nimekirja

 # opensc-tool -l
 Readers known about:
 Nr.    Driver     Name
 0      pcsc       SCM SCR 331 00 00

Ning küsime ID-kaardile kantud sertifikaatide nimekirja

 # pkcs15-tool -c
 X.509 Certificate [Isikutuvastus]
       Flags    : 0
       Authority: no
       Path     : 3f00eeeeaace
       ID       : 01
 
 X.509 Certificate [Allkirjastamine]
       Flags    : 0
       Authority: no
       Path     : 3f00eeeeddce
       ID       : 02

pkcs15-tool utiliidi kasutamine

pkcs15-tool abil saab kopeerimida ID-kaardilt sertifikaate, sedasi

 # pkcs15-tool -r 01
 -----BEGIN CERTIFICATE-----
 MIIEGjCCAwKgAwIBAgIESIQxaDANBgkqhkiG9w0BAQUFADBbMQswCQYDVQQGEwJF
 RTEiMCAGA1UEChMZQVMgU2VydGlmaXRzZWVyaW1pc2tlc2t1czEPMA0GA1UECxMG
 RVNURUlEMRcwFQYDVQQDEw5FU1RFSUQtU0sgMjAwNzAeFw0wODA3MjEwNjQ5MTJa
 Fw0xMjA5MTEyMTAwMDBaMIGRMQswCQYDVQQGEwJFRTEPMA0GA1UEChMGRVNURUlE
 MRcwFQYDVQQLEw5hdXRoZW50aWNhdGlvbjEhMB8GA1UEAxMYT09MQkVSRyxJTVJF
 LDM3MDAzMjEyNzEzMRAwDgYDVQQEEwdPT0xCRVJHMQ0wCwYDVQQqEwRJTVJFMRQw
 EgYDVQQFEwszNzAwMzIxMjcxMzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA
 3FR0AP2oX5NCs8+u/hNpnYWyB2eNrnWyG3JXsiqCo14uAaOVmMb82g73SRLPEnAG
 yxU/GtRuKT7iOg4f+HTy9bGBaJp6/N9uH8MNtkOzoDppMn909Rm+OqIaHMQkskFC
 Kd8X3deAtEwI/YektKKnPbFEZFfLxLKbxvB4WNhFbYECA1W7daOCATEwggEtMA4G
 A1UdDwEB/wQEAwIEsDAdBgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwQwPAYD
 VR0fBDUwMzAxoC+gLYYraHR0cDovL3d3dy5zay5lZS9jcmxzL2VzdGVpZC9lc3Rl
 aWQyMDA3LmNybDAgBgNVHREEGTAXgRVpbXJlLm9vbGJlcmdAZWVzdGkuZWUwUQYD
 VR0gBEowSDBGBgsrBgEEAc4fAQEBATA3MBIGCCsGAQUFBwICMAYaBG5vbmUwIQYI
 KwYBBQUHAgEWFWh0dHA6Ly93d3cuc2suZWUvY3BzLzAfBgNVHSMEGDAWgBRIBt6+
 jIdXlYB4Y/qcIysroDoYdTAdBgNVHQ4EFgQUvIL+20MDRof3J9Avt6Z3d1obuAUw
 CQYDVR0TBAIwADANBgkqhkiG9w0BAQUFAAOCAQEAajU/cJ7zVocAkJDgIrV8gXn3
 hZ9CM5k1/W3GVEEXqkdTHU/clW5D14PmC+f2a7rN2FxJ3bQuxU/xB6W4xKDZ9fys
 Y31lGxpPHIsHwqaPl93l1u3iaMo9835yMVfiZOi0Iq2y0ZlnPwVAOjWNUzMwikdj
 1ElhnHacFc4NrevOqgaOZIN2A1DIDgxMXLiR8PAHlPSnK8cXnClRXgcIT3p4OPYy
 rH6z7z5vZN4059dNaqZqVg5rlVrLS5/T+sK8PHxYcO+SKDZYobddJIv6i2XlpVAQ
 LgkChEiXI2Bd3AMfpwfVbAjDsHXasblBtut7k1MItT3YLaNZ/xq9BY/B7afXqg==
 -----END CERTIFICATE-----

Selle sertifikaadi sisu arusaadavamale kujule viimiseks tuleb öelda

 # pkcs15-tool -r 01 > imreoolberg-autentimise-sertifikaat.pub
 # openssl x509 -in imreoolberg-autentimise-sertifikaat.pub -noout -text
 Certificate:
   Data:
       Version: 3 (0x2)
       Serial Number: 1216622952 (0x48843168)
       Signature Algorithm: sha1WithRSAEncryption
       Issuer: C=EE, O=AS Sertifitseerimiskeskus, OU=ESTEID, CN=ESTEID-SK 2007
       Validity
           Not Before: Jul 21 06:49:12 2008 GMT
           Not After : Sep 11 21:00:00 2012 GMT
       Subject: C=EE, O=ESTEID, OU=authentication, CN=OOLBERG,IMRE,37003212713, SN=OOLBERG, GN=IMRE/serialNumber=37003212713
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
           RSA Public Key: (1024 bit)
               Modulus (1024 bit):
 ..

Iceweasel brauseri kasutamine

Iceweasel brauseri abil on võimalik kahe tegevuse sooritamine

• autentimine - kasutaja kinnitab teenusele, nt veebiportaalile, et tema kasutuses on tema autentimise sertifikaadis sisalduvale avalikule võtmele vastav salajane võti
• digitaalne allkirjastamine - kastutaja kinnitab teenusele, nt pangaülekande sooritamisel, et tema kasutuses on tema allkirjastamise sertifikaadis sisalduvale avalikule võtmele vastav salajane võti

Kuivõrd teenuse jaoks on praktiliselt oluline, et kasutaja kinnitaks sertifikaadile vastava salajase võtme olemasolu PIN koodi sisestamise teel, siis siit järeldub, et tuleb hoolega hoida ID-kaarti ning ID-kaardi PIN koode enda teada.

Bruaseri tööleseadmine autentimiseks on lihtsam ning allkirjastamiseks keerulisem.

Mõlema juhu puhul on vajalik brauseri ID-kaardiga kasutamise ettevalmistamiseks avada

 Edit -> Preferences -> Advanced -> Encryption -> Security Devices -> Load

ning kirjeldada Eesti ID-kaardile vastava turvaseade (ingl. k. security device)

 Module Name: esteid
 Module filename: /usr/lib/onepin-opensc-pkcs11.so

Iceweasel brauseri kasutamine autentimiseks

Auntentimiseks piisab turvaseadme ettevalmistamisest ning seejärel saab näiteks logida sisse riigiportaali, küsitakse PIN1 koodi

Iceweasel brauseri kasutamine allkirjastamiseks

Nt SEB pangas makset sooritades või https://digidoc.sk.ee/ portaali kasutamisel saab anda digitaalset allkirja. Selleks peab olema paigaldatud mozilla java plugini tarkvara pakett (millega koos paigaldatakse vajadusel ka JVM)

 # apt-get install sun-java5-plugin

Ning lisaks kopeerida teek

 # mkdir /tmp/teek && cd /tmp/teek
 # wget http://ideelabor.ee/downloads/pkcs11wrapper-linux.tar.gz
 # tar zxf http://ideelabor.ee/downloads/pkcs11wrapper-linux.tar.gz
 # find . -type f -ls
 442489  104 -rwxr-xr-x   1 501      501         99004 Apr 23  2004 ./libpkcs11wrapper.so

Seejärel tuleb otsida üles arvutist JVM kataloog

 # find /usr -type f -name java -ls
 173534   68 -rwxr-xr-x   1 root     root        65116 May 28  2008 /usr/lib/jvm/java-1.5.0-sun-1.5.0.16/jre/bin/java

mis tähendab, et

 JAVA_HOME=/usr/lib/jvm/java-1.5.0-sun-1.5.0.16

Lõpuks tuleb kopeerida lahtipakitud teek kataloogi ${JAVA_HOME}/jre/lib/i386

 # cp libpkcs11wrapper.so /usr/lib/jvm/java-1.5.0-sun-1.5.0.16/jre/lib/i386

Lisaks peavad olema lingid, esimene on vajalik digidoc portaali kasutamiseks ja teine SEB pangas

 # ln -s /usr/lib/opensc-pkcs11.so /usr/lib/libopensc-pkcs11.so
 # ln -s /usr/lib/opensc-pkcs11.so /usr/lib/libesteid-pkcs11.so

Peale brauseri uuesti käivitamist esitatakse allkirja andmise juurde minemisel pisut eksitav tühi aken, kus tuleb valida Cancel

ning seejärel valides Allkirjasta öeldakse, et loetakse andmeid kiipkaardilt ning küsitakse PIN2 koodi

NB! Java tarkvara uuendamisel mõnel juhul muutub ka versiooni number nii, et muutub java asukoht failisüsteemis, nt

 /usr/lib/jvm/java-1.5.0-sun-1.5.0.16 -> /usr/lib/jvm/java-1.5.0-sun-1.5.0.17

Sel juhul tuleb libpkcs11wrapper.so kopeerida samasse alamkataloogi kuhu ennegi uue java kataloogi sisse.

Icedove postikliendi kasutamine

Lisaks nö tavalistele e-kirjadele on võimalik moodustada spetsiaalsete lisaomadustega kirju

• allkirjastatud kiri - kirja saatja moodustab allkirja oma salajase võtmega; kirja saaja saab olla kindel, et kiri on saadetud just selle kasutaja poolt kelle sertifikaadi (avaliku võtme) abil õnnestub kirja autentsust kontrollida; kirja sisu on kõigile avalik, kuid kirjale on nö attachmentiga sarnaselt juurde digitaalse allkirja osa
• kürptitud kiri - kirja saatja krüptib kirja adressaadi avaliku võtmega (sertifikaadiga); kirja saatja saab olla kindel, et mitte keegi peale selle kasutaja, kelle kasutuses on vastav salajane võti saab kirja sisuga tutvuda

Tuleb arvestada, et eposti allkirjastamine ja krüptimine omab tähendust ainult epostiga tegelemisel ning kuigi see tehnika pakub võimaluse täiendava turvalisuse saavutamiseks ei ole tegu Eesti Vabariigi seaduse mõttes kehtiva digitaalselt allkirjastatud dokumendiga juba seetõttu, et mõlemal juhul kasutatakse autentimise sertifikaati.

Kirja kürptimisel ei ole see tingimata oluline, aga allkirjastamiseks Eesti ID-kaardil asuva autentimise sertifikaadile vastava salajase võtmega eeltingimuseks on, et kasutaja on oma postiprogrammis kirjeldanud tema sertifikaadil leiduva postiaadressiga seotud konto. Sertifikaadile märgitud postiaadressi saab küsida sertifikaadilt öeldes

 $ openssl x509 -in imreoolberg-autentimise-sertifikaat.pub -noout -email
 imre.oolberg@eesti.ee

Iceweasel programmi ID-kaardiga kasutamise ettevalmistamiseks tuleb avada

 Edit -> Preferences -> Advanced -> Certificates -> Security devices -> Load

ning kirjeldada Eesti ID-kaardile vastava turvaseade (ingl. k. security device)

 Module Name: esteid
 Module filename: /usr/lib/onepin-opensc-pkcs11.so

Lisaks tuleb laadida Icedove'i SK juursertifikaat, ESTEID-SK ja ESTEID-SK 2007 sertifikaadid, mis saab kopeerida http://www.sk.ee/ (Avaleht -> Sertifitseerimine -> Baasinfo -> Juursertifikaadid) veebikohast

 Edit -> Preferences -> Advanced -> Certificates -> View Certificates -> Authorities -> Import

Kusjuures tuleb kindlasti vastata jaatavalt küsimusele, et neid usaldatakse eposti jaoks kasutamiseks

Seejärel tuleb Icedove'is seoses nn @eesti.ee aadressiga, nt imre.oolberg@eesti.ee, kirjeldatud konto juures näidata, milliseid sertifikaate kasutatakse eposti allkirjastamise ning krüptimise juures, valida ülemine Select (Digital Signing)

Peale PIN1 koodi sisestamist esitab arvuti valitud sertifikaadi andmed

Valides järgmisena Encryption juures Select küsib arvuti, kas ma soovin kasutada sama sertifikaati (õigemini sama sertifikaadiga seotud salajast võtit) teiste kasutajate poolt mulle saadetud krüptitud kirjade (mis on krüptitud minu avaliku võtmega) lahtikürptimiseks, sobib vastata jaatavalt.

Icedove postikliendi kasutamine eposti allkirjastamiseks

Kirja saatmine toimub tavapäraselt ainukese erinevusega, et enne kirja saatmist tuleb valida Security alt

 Digitally Sign This Message

Kirja saajal peab olema postiprogrammi laaditud vähemalt SK juursertifikaat ning kiri pasitab sellisena

Messsage Security aken avaneb vajutades programmiakna paremas servas asuvale kollane-punane värvi ümbriku kujutisele ja ütleb, et vaatlusalune kiri on allkirjastatud (ingl. k. signed) ning allkiri (ingl. k. signature) on kehtiv. St kirja saaja saab olla kindel, et kiri on saadetud selle poolt, kelle kasutada on allkirja kontrollimisel kasutatud sertifikaadile vastav salajane võti.

Icedove postikliendi kasutamine eposti krüptimiseks

Eposti krüptimine toimub adressaadi Eesti ID-kaardi autentimise avaliku võtmega, mis tähendab, et keegi teine peale vastava salajase võtme valdaja ei saa sõnumi teksti sisuga tutvuda. Thunderbirdi ettevalmistused on samad, mis on vajalikud signeerimiseks. Kirja saatmisel tuleb valida

 Security -> Encrypt This Message

Kirja lugemisel peab olema võimalik kasutada ID-kaarti ning tulemus võiks paista sarnane, tõsi antud juhul on lihtsalt saadetud kiri iseendale

Security Message aken avaneb vajutades programmiakna paremas servas asuvale tabaluku kujutisele ja ütleb, et kiri on krüptitud ning selle sisuga on peale adressaadi teistel kasutajatel ülimalt raske tutvuda.

Kui krüptitud kirja adressaadil on ID-kaardi kasutamine seadistamata, siis esitab programm kasutajale veateadet

 Icedove cannot decrypt this message
 
 The sender encrypted this message to you using one of your digital certificates, however Icedove was not able to find 
 this certificate and corresponding private key.
 
 Possible solutions:
 
   * If you have a smartcard, please insert it now.
   * If you are using a new machine, or if you are using a new Icedove profile, you will need to restore your certificate 
     and private key from a backup. Certificate backups usually end in ".p12".

Krüptimisel tuleb arvestada, et kirja päised sh Message-ID, Date, From, To, Subject jt ei ole krüptitud

 ..
 Message-ID: <49B277C9.8010303@eesti.ee>
 Date: Sat, 07 Mar 2009 15:34:01 +0200
 From: Imre Oolberg <imre.oolberg@eesti.ee>
 User-Agent: Mozilla-Thunderbird 2.0.0.19 (X11/20090103)
 MIME-Version: 1.0
 To: imre.oolberg@eesti.ee
 Subject: eesti muld ja eesti =?ISO-8859-1?Q?s=FCda?=
 Content-Type: application/x-pkcs7-mime; name="smime.p7m"
 Content-Transfer-Encoding: base64
 Content-Disposition: attachment; filename="smime.p7m"
 Content-Description: S/MIME Encrypted Message
 
 MIAGCSqGSIb3DQEHA6CAMIACAQAxgf0wgfoCAQAwYzBbMQswCQYDVQQGEwJFRTEiMCAGA1UE
 ChMZQVMgU2VydGlmaXRzZWVyaW1pc2tlc2t1czEPMA0GA1UECxMGRVNURUlEMRcwFQYDVQQD
 Ew5FU1RFSUQtU0sgMjAwNwIESIQxaDANBgkqhkiG9w0BAQEFAASBgB4isztO9MjE1ZQUzA7e
 U1E0YTQZF0nIW4b46Nn/Be+DtUgzZWyZjgln4YxqQ7vDWPJiFNJTqdLjNCPGb6WEJ7ddZJGp
 hM/z+tyCNHrXP6DbvjtmF9qJ9WgvyiqHyQMr8FKRCnLdcj70G+N0EzFnsMq4QsvLi6PHaE7v
 rWGWq1ynMIAGCSqGSIb3DQEHATAUBggqhkiG9w0DBwQInoBpNLI3/IOggASCAijikH35Tqn9
 ..

Selleks, et saata teistele @eesti.ee postisüsteemi kasutajatele krüptitud kirju peab olema Thunderbirdi laaditud kasutaja avalik võti, mis esineb nn autentimise sertifikaadi kujul. Selleks tuleb teades kasutaja isikukoodi kopeerida sertifikaadid ldap.sk.ee serverist, nt

 $ ldapsearch -LLL -H ldap://ldap.sk.ee -x -b "c=EE" "(serialNumber=37003212713)"

Salvestada esimesele sertifikaadile vastav tekstiosa st

 ...
 userCertificate;binary:: MIID2jCCAsKgAwIBAgIESIQxaTANBgkqhkiG9w0BAQUFADBbMQswC
 ..
 cOXVX08WgFeVtlH1S6AeDIuY1i/EIngiAUV
 ....

tekstifaili, alates MIID2.. osast, tekstifail peab algama ja lõppema spetsiaalse tunnusega, kokku peab saama sarnane fail

 -----BEGIN CERTIFICATE-----
 MIID2jCCAsKgAwIBAgIESIQxaTANBgkqhkiG9w0BAQUFADBbMQswC
 ..
 cOXVX08WgFeVtlH1S6AeDIuY1i/EIngiAUV
 -----END CERTIFICATE-----

Ning see fail tuleb laadida Thunderbirdi valides

 Edit -> Preferences -> Advanced -> Certificates -> View Certificates -> Other People's -> Import

Seejärel saab saada sertifikaadis näidatud eposti aadressile krüptitud posti ning samuti kontrollida selle kasutaja poolt allkirjastatud eposti signatuuri.

Üldiselt võib üks ja sama kiri olla samaaegselt nii signeeritud kui ka krüptitud.

@eesti.ee aadresside kasutamine

Kuna Eesti ID-kaardi autentimise sertifikaadile vastava avaliku võtmega kürptitud kirju saab saata tingimusel, et adressaadiks on sertifikaadis esitatud aadress, mis on kujul

 eesnimi.perekonnanimi@eesti.ee

või kui sama ees-ja perekonnanimega kasutajaid oma rohkem kui üks, siis järgmistele aadressidele on perekonnanime järele lisatud arv

 eesnimi.perekonnanimi.1@eesti.ee

siis oleks hea kui sellistele aadressidele saadetud kirjad mugavasti adressaadi postkasti jõuaksid.

Käesolev asjakorraldus võimaldab Eesti ID-kaardi omanikel aadressil http://www.eesti.ee/ asuvas riigiportaalis seadistada, kuhu tema @eesti.ee aadressile saadetud kirjad edasi saadetakse. Tavaliselt on selleks nt mail.ee, gmail.com vms teenusepakkuja postkastiga seotud eposti aadress.

Kuigi tehniliselt teeb @eesti.ee aadressi kasutamine mugavaks signeeritud ja krüptitud kirjade vahetamise, töötab see ka nö tavaliste kirjade puhul.

Kusjuures varasemal ajal on kasutatud ID-kaardi autentimise sertifikaadis ka aadressi kujul, kus nnnn on neljakohaline arv

 eesnimi.perekonnanimi_nnnn@eesti.ee

Lisaks, @eesti.ee postisüsteem võimaldab seadistada kasutajal omale edasisuunamise aadressi aadressile

 isikukood@eesti.ee

kuid kuna see aadress ei esine sertifikaadis, siis ei ole võimalik seda kasutada eposti allkirjastamisel ega krüptimisel.

Sertifikaadi kehtivuse kontrollimine

Avaliku võtme infrastruktuuri üheks ülesandeks on hallata kasutajate sertifikaate sh mitmetel põhjusel sertifikaat kehtetuks kuulutada. Seega, sertifikaadi kasutamisel on oluline kontrollida, kas sertifikaat kasutamise ajal kehtib, seda saab teha SK OCSP (Online Certificate Status Protocol) abil öeldes

 $ openssl ocsp -issuer esteid.pem -cert idkaardiltsert.pem -url http://ocsp.sk.ee -noverify -text
 OCSP Request Data:
   Version: 1 (0x0)
   Requestor List:
       Certificate ID:
         Hash Algorithm: sha1
         Issuer Name Hash: 4508A41C355C0A72485FE2DF7B6A6788C6A55022
         Issuer Key Hash: 4806DEBE8C875795807863FA9C232B2BA03A1875
         Serial Number: 48843168
   Request Extensions:
       OCSP Nonce: 
           0410090A1FA4F0555E82C1DFB4722FC61696
 OCSP Response Data:
   OCSP Response Status: successful (0x0)
   Response Type: Basic OCSP Response
   Version: 1 (0x0)
   Responder Id: C = EE, O = ESTEID, OU = OCSP, CN = ESTEID-SK 2007 OCSP RESPONDER, emailAddress = pki@sk.ee
   Produced At: Oct  7 22:15:36 2008 GMT
   Responses:
   Certificate ID:
     Hash Algorithm: sha1
     Issuer Name Hash: 4508A41C355C0A72485FE2DF7B6A6788C6A55022
     Issuer Key Hash: 4806DEBE8C875795807863FA9C232B2BA03A1875
     Serial Number: 48843168
   Cert Status: good
   This Update: Oct  7 22:15:36 2008 GMT
 
   Response Extensions:
       OCSP Nonce: 
           0410090A1FA4F0555E82C1DFB4722FC61696
 cert.pem: good
       This Update: Oct  7 22:15:36 2008 GMT

Kus esteid.pem sertifikaadi saab kopeerida SK veebikohast.

ID-kaardi kasutamine chroot keskkonnast

Üks praktiline vajadus kasutada ID-kaarti chroot programmiga moodustatud chroot keskkonnast oleks 64 bit Debiani operatsioonisüsteemis kasutada 32 bit Iceweaselit'i. Põhjusel, et 32 bit arhitektuurile on olemas Iceweaseli java plugin (pakett sun-java6-plugin), aga 64 bitile seda 2008 aastal pole. Omakorda on java vajalik, et saaks nt SEB pangas allkirjastada st sooritada ülekannet.

Tundub, et kui arvutile külge ühendatud ID-kaarti on tarvis kasutada chroot käsu abil moodustatud chroot keskkonnast, siis tuleb öelda (pcscd deemon töötab nn absoluutses arvutis)

 # mount --bind /var/run/pcscd /srv/arvuti-32/var/run/pcscd

ning seejärel tuleb käivitada iceweasel nt selliselt läbi sudo

 $ sudo /usr/sbin/chroot /srv/arvuti-32 iceweasel

Selleks, et chroot keskkonnas käivitatud iceweasel saaks näidata oma pilti X serverile tuleb xhost käsuga kaasa aidata, nt öelda

 $ xhost +

Kirjeldatud asjakorralduse puhul ei ole tarvis chroot keskkonda ühendada külge mingeid muid failisüsteeme (nt /proc, /sys) ega käivitada seal deemoneid pcscd vms.

Sudo töötamiseks on vajalik omakorda sellist sisu /etc/sudoers faili

 User_Alias CHROOT_USERS = mart
 Cmnd_Alias CHROOT_CMD = /usr/sbin/chroot
 Host_Alias MORAAL = arvuti
 CHROOT_USERS MORAAL = (root) NOPASSWD: CHROOT_CMD

Milliseid turvariske selline asjakorraldus tema jaoks toob peab iga kasutaja ise hindama.

Märkused

• Kui brauser või postiklient lakkavad töötamast ID-kaardiga, siis maksab need programmid sulgeda ja samuti peatada pcscd deemon ning seejärel esmalt deemon ning siis rakendusprogrammi uuesti käivitada.

Kasulikud lisamaterjalid

• Eesti ID-kaardi tarkvara - http://ideelabor.ee/
• Sertifitseerimiskeskus - http://www.sk.ee/