Eesti ID-kaardi kasutamine Debianiga
Sisukord
Sissejuhatus
Eesti ID-kaart on nn protsessorkaart, mis võimaldab autentimist ja allkirjastamist. Id kaardi kasutamiseks on vajalikud
- kehtiv eesti id kaart
- kasutada oleva arvuti ja operatsioonisüsteemiga sobiv kaardilugeja
- internetiühendus
- id kaardi võimaluste kasutamiseks sobiv kliendipoolne tarkvara
- id kaardi võimaluste kasutamiseks sobiv teenus internetis
Eesti ID-kaardi töö põhineb avaliku võtme (ingl. k. public key) krütograafia kasutamisele. Avaliku võtme infrastruktuuris (ingl. k. PKI - public key infrastructure) esitatakse kasutaja avalik võti koos kasutaja kohta käivate muude andmetega, nt kasutaja nimi ja eposti aadress selle konkreetse infrastruktuuri mõne ülemise sajalase võtmega signeeritud kujul ja seda tulemust nimetatakse kasutaja sertifikaadiks. Lisaks on sertifikaadis kirja selle sertifikaadi kehtivuse aeg.
Eesti id kaartidega seotud avaliku võtme infrastruktuuri haldab sh väljastab Sertifitseerimiskeskus http://www.sk.ee/ kusjuures id kaardil on kaks paari võtmeid, öeldakse ka, et kaks sertifikaati
- isikutuvastuse ehk autentimise sertifikaat
- allkirjastamise sertifikaat
Kahe erineva sertifikaadi kasutuselevõtmise põhjuseks on asjaolu, et sertifikaatidel on nö oluliselt erinev kaal
- isikutuvastuse sertfikaadiga kasutaja identifitseerib ennast teenuse jaoks (portaal internetis, nn allkirjastatud epost, kooduks füüsilises maailmas)
- allkirjastamise sertifikaati kasutatakse reeglina ainult digitaalallkirja andmiseks ja Eesti Vabariigis on digitaalallkirjastatud dokument võrdsustatud omakäeliselt allkirjatatud dokumendiga; reeglina pangaülekannete sooritamisel toimub sisemiselt samuti digitaalallkirjastamise protseduur ning kasutatakse teist sertifikaati.
Oletame, et kui oleks kasutuses ainult üks sertifikaat ja nt kasutaja siseneb koodukse kaudu ruumi, siis võiks konstrueerida skeemi, kus ta pahaaimamatult allkirjastada mõne dokumendi, mida ta muul juhul ei oleks nõus allkirjastama. Kahe sertifikaadi kasutamisel on võimalik erinevaid rolle lahus hoida.
Kuigi eelmises lõigus kasutati väljendeid 'isikutuvastuse sertifikaadiga kasutaja identifitseerib' ja 'allkirjastamise sertifikaati kasutatakse reeglina digitaalallkirja andmiseks' tuleb seda seda mõista nii, et sisuliselt neid protseduure sooritades kasutaja kasutab vastava sertifikaadi salajast võtit. ID kaardil asuvate salajaste võtmete kasutamine on turvakaalutlustel piiratud täiendava parooliga, nn PIN koodiga, kummalgi salajasel võtmel on oma PIN kood ja võtme kasutamise eel küsib id kaardi tarkvara kasutajalt seda koodi.
Kuna avaliku võtme infrastruktuuri üheks koostisosaks on, et kõigi kasutajate avalikud võtmed st sertifikaadid on kõigile avalikult kättesaadavad, siis SK on teinud internetis kättesaadavaks LDAP kataloogiteenuse abil aadressil ldap.sk.ee. Kasutaja sertifikaadid saab kopeerida öeldes nt
Sertifiseerimiskeskuse ldap serverist saab kopeerida kasutaja sertifikaadid (mis sisaldavad avalikke võtmeid) teades tema isikukoodi, nt
$ ldapsearch -LLL -H ldap://ldap.sk.ee -x -b "c=EE" "(serialNumber=37003212713)" dn: cn=OOLBERG\2CIMRE\2C37003212713,ou=Authentication,o=ESTEID,c=EE objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson cn: OOLBERG,IMRE,37003212713 serialNumber: 37003212713 userCertificate;binary:: MIIEGjCCAwKgAwIBAgIESIQxaDANBgkqhkiG9w0BAQUFADBbMQswC QYDVQQGEwJFRTEiMCAGA1UEChMZQVMgU2VydGlmaXRzZWVyaW1pc2tlc2t1czEPMA0GA1UECxMGRV ... z5vZN4059dNaqZqVg5rlVrLS5/T+sK8PHxYcO+SKDZYobddJIv6i2XlpVAQLgkChEiXI2Bd3AMfpw fVbAjDsHXasblBtut7k1MItT3YLaNZ/xq9BY/B7afXqg== dn: cn=OOLBERG\2CIMRE\2C37003212713,ou=Digital Signature,o=ESTEID,c=EE objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson cn: OOLBERG,IMRE,37003212713 serialNumber: 37003212713 userCertificate;binary:: MIID2jCCAsKgAwIBAgIESIQxaTANBgkqhkiG9w0BAQUFADBbMQswC QYDVQQGEwJFRTEiMCAGA1UEChMZQVMgU2VydGlmaXRzZWVyaW1pc2tlc2t1czEPMA0GA1UECxMGRV ..
Autentimine
Autentimisel kasutatakse reeglina esi
Allkirjastamine
Kaardilugeja ühendamine operatsioonisüsteemiga
Ehk kõige parem kui kaardilugeja ühendub arvutiga USB abil, nt sobib mudel SRC-331. Debian Etch ja Lenny sisaldavad paketihalduses ID-kaardi kasutamiseks sobivat tarkvara, mille koduleht asub aadressil http://ideelabor.ee/ ja mille kasutamist käesolev tekst kirjeldab.
USB kaudu ühendatud ID-kaardilugeja kasutamise eelduseks on, et operatsioonisüsteem toetab USB seadmete kasutamist, sellest annab tunnistus peale kaardilugeja ühendamist lsusb sarnane väljund, kus on muu seas näha SCR331 seadmele vastav rida
# lsusb Bus 004 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 003 Device 002: ID 0483:2016 SGS Thomson Microelectronics Fingerprint Reader Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 002 Device 006: ID 04e6:e001 SCM Microsystems, Inc. SCR331 SmartCard Reader Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 001 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
ID-kaardiga suhtlemiseks vajaliku tarkvara paigaldamiseks tuleb öelda
# apt-get install opensc pcscd libccid
Seejärel tuleb redigeerida kahte faili
- Näitena jagatavas /etc/opensc/opensc.conf failis tuleb teha kolm muudatust
# zcat /usr/share/doc/libopensc2/examples/opensc.conf.gz > /etc/opensc/opensc.conf
Leidke failist üles need parameetrid ning muutke nende väärtused sellisteks
try_emulation_first = yes; lock_login = false; reader_drivers = pcsc, ctapi;
- Failis /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist peavad sisalduma sellised read, leidke ja muutke olemasolevaid
<key>ifdDriverOptions</key> <string>0x0004</string>
Seejärel seisake ja käivitage pcscd deemon
# /etc/init.d/pcscd restart
Kontrollimaks, et tarkvara sai korrektselt paigaldatud küsime süsteemi ühendatud kaardilugejate nimekirja
# opensc-tool -l Readers known about: Nr. Driver Name 0 pcsc SCM SCR 331 00 00
Ning küsime ID-kaardile kantud sertifikaatide nimekirja
# pkcs15-tool -c
X.509 Certificate [Isikutuvastus]
Flags : 0
Authority: no
Path : 3f00eeeeaace
ID : 01
X.509 Certificate [Allkirjastamine]
Flags : 0
Authority: no
Path : 3f00eeeeddce
ID : 02
pkcs15-tool utiliidi kasutamine
pkcs15-tool abil saab kopeerimida ID-kaardilt sertifikaate, sedasi
# pkcs15-tool -r 01 -----BEGIN CERTIFICATE----- MIIEGjCCAwKgAwIBAgIESIQxaDANBgkqhkiG9w0BAQUFADBbMQswCQYDVQQGEwJF RTEiMCAGA1UEChMZQVMgU2VydGlmaXRzZWVyaW1pc2tlc2t1czEPMA0GA1UECxMG RVNURUlEMRcwFQYDVQQDEw5FU1RFSUQtU0sgMjAwNzAeFw0wODA3MjEwNjQ5MTJa Fw0xMjA5MTEyMTAwMDBaMIGRMQswCQYDVQQGEwJFRTEPMA0GA1UEChMGRVNURUlE MRcwFQYDVQQLEw5hdXRoZW50aWNhdGlvbjEhMB8GA1UEAxMYT09MQkVSRyxJTVJF LDM3MDAzMjEyNzEzMRAwDgYDVQQEEwdPT0xCRVJHMQ0wCwYDVQQqEwRJTVJFMRQw EgYDVQQFEwszNzAwMzIxMjcxMzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA 3FR0AP2oX5NCs8+u/hNpnYWyB2eNrnWyG3JXsiqCo14uAaOVmMb82g73SRLPEnAG yxU/GtRuKT7iOg4f+HTy9bGBaJp6/N9uH8MNtkOzoDppMn909Rm+OqIaHMQkskFC Kd8X3deAtEwI/YektKKnPbFEZFfLxLKbxvB4WNhFbYECA1W7daOCATEwggEtMA4G A1UdDwEB/wQEAwIEsDAdBgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwQwPAYD VR0fBDUwMzAxoC+gLYYraHR0cDovL3d3dy5zay5lZS9jcmxzL2VzdGVpZC9lc3Rl aWQyMDA3LmNybDAgBgNVHREEGTAXgRVpbXJlLm9vbGJlcmdAZWVzdGkuZWUwUQYD VR0gBEowSDBGBgsrBgEEAc4fAQEBATA3MBIGCCsGAQUFBwICMAYaBG5vbmUwIQYI KwYBBQUHAgEWFWh0dHA6Ly93d3cuc2suZWUvY3BzLzAfBgNVHSMEGDAWgBRIBt6+ jIdXlYB4Y/qcIysroDoYdTAdBgNVHQ4EFgQUvIL+20MDRof3J9Avt6Z3d1obuAUw CQYDVR0TBAIwADANBgkqhkiG9w0BAQUFAAOCAQEAajU/cJ7zVocAkJDgIrV8gXn3 hZ9CM5k1/W3GVEEXqkdTHU/clW5D14PmC+f2a7rN2FxJ3bQuxU/xB6W4xKDZ9fys Y31lGxpPHIsHwqaPl93l1u3iaMo9835yMVfiZOi0Iq2y0ZlnPwVAOjWNUzMwikdj 1ElhnHacFc4NrevOqgaOZIN2A1DIDgxMXLiR8PAHlPSnK8cXnClRXgcIT3p4OPYy rH6z7z5vZN4059dNaqZqVg5rlVrLS5/T+sK8PHxYcO+SKDZYobddJIv6i2XlpVAQ LgkChEiXI2Bd3AMfpwfVbAjDsHXasblBtut7k1MItT3YLaNZ/xq9BY/B7afXqg== -----END CERTIFICATE-----
Selle sertifikaadi sisu arusaadavamale kujule viimiseks tuleb öelda
# pkcs15-tool -r 01 > /tmp/imre.pub
# openssl x509 -in /tmp/imre.pub -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1216622952 (0x48843168)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=EE, O=AS Sertifitseerimiskeskus, OU=ESTEID, CN=ESTEID-SK 2007
Validity
Not Before: Jul 21 06:49:12 2008 GMT
Not After : Sep 11 21:00:00 2012 GMT
Subject: C=EE, O=ESTEID, OU=authentication, CN=OOLBERG,IMRE,37003212713, SN=OOLBERG, GN=IMRE/serialNumber=37003212713
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
..
Firefox ehk Iceweasel brauseri kasutamine
Nn Mozilla päritolu brauseri (sh Firefox ehk Iceweasel) id kaardiga kasutamise ettevalmistamiseks uleb avada
Edit -> Preferences -> Advanced -> Encryption -> Secutiry Devices -> Load
Ning avanenud dialoogis täita lahtrid nt selliselt
Module Name: esteid Module filename: /usr/lib/onepin-opensc-pkcs11.so
Firefox ehk Iceweasel brauseri kasutamine autentimiseks
Sovalt ettevalmistatud braseriga saab näiteks logida sisse riigiportaali, küsitakse PIN1 koodi
Firefox ehk Iceweasel brauseri kasutamine allkirjastamiseks
Nt SEB pangas makset sooritades või https://digidoc.sk.ee/ portaali kasutamisel saab anda digitaalset allkirja. Selleks peab olema paigaldatud mozilla java plugini tarkvara pakett (millega koos paigaldatakse vajadusel ka JVM)
# apt-get install sun-java5-plugin
Ning lisaks kopeerida teek
# mkdir /tmp/teek && cd /tmp/teek # wget http://ideelabor.ee/downloads/pkcs11wrapper-linux.tar.gz # tar zxf http://ideelabor.ee/downloads/pkcs11wrapper-linux.tar.gz # find . -type f -ls 442489 104 -rwxr-xr-x 1 501 501 99004 Apr 23 2004 ./libpkcs11wrapper.so
Seejärel tuleb otsida üles arvutist JVM kataloog
# find /usr -type f -name java -ls 173534 68 -rwxr-xr-x 1 root root 65116 May 28 2008 /usr/lib/jvm/java-1.5.0-sun-1.5.0.16/jre/bin/java
mis tähendab, et
JAVA_HOME=/usr/lib/jvm/java-1.5.0-sun-1.5.0.16
Lõpuks tuleb kopeerida lahtipakitud teek kataloogi ${JAVA_HOME}/jre/lib/i386
# cp libpkcs11wrapper.so /usr/lib/jvm/java-1.5.0-sun-1.5.0.16/jre/lib/i386
Lisaks peavad olema lingid, esimene on vajalik digidoc portaali kasutamiseks ja teine SEB pangas
# ln -s /usr/lib/opensc-pkcs11.so /usr/lib/libopensc-pkcs11.so # ln -s /usr/lib/opensc-pkcs11.so /usr/lib/libesteid-pkcs11.so
Peale brauseri uuesti käivitamist esitatakse allkirja andmise juurde minemisel pisut eksitav tühi aken, kus tuleb valida Cancel
ning seejärel valides Allkirjasta öeldakse, et loetakse andmeid kiipkaardilt ning küsitakse PIN2 koodi
NB! Java tarkvara uuendamisel mõnel juhul muutub ka versiooni number nii, et muutub java asukoht failisüsteemis, nt
/usr/lib/jvm/java-1.5.0-sun-1.5.0.16 -> /usr/lib/jvm/java-1.5.0-sun-1.5.0.17
Sel juhul tuleb libpkcs11wrapper.so kopeerida samasse alamkataloogi kuhu ennegi uue java kataloogi sisse.
Thunderbird kasutamine eposti signeerimiseks
Eposti signeerimine toimub kasutaja enda eesti id kaardi autentimise salajase võtmega ning signatuur kinnitab, et kirja saatja valdab sertifikaadis olevale avalikule võtmele vastavat salajast võtit. Thunderbirdi ettevalmistamine signeerimiseks toimub vastava turvaseadme (ingl. k. security device) kirjeldamisega, sarnaselt Mozilla brauserile. Avada
Edit -> Preferences -> Advanced -> Certificates -> Security devices -> Load
ning lisada
Module Name: esteid Module filename: /usr/lib/onepin-opensc-pkcs11.so
Lisaks tuleb laadida Thunderbirdi SK juursertifikaat ning ESTEID-SK ja ESTEID-SK 2007 sertifikaadid, mida saab kopeerida www.sk.ee veebikohast
Edit -> Preferences -> Advanced -> Certificates -> View Certificates -> Authorities -> Import
Kusjuures tuleb kindlasti vastata jaatavalt küsimusele, et neid usaldatakse eposti jaoks kasutamiseks
Seejärel tuleb kirjeldada Thunderbirdis kasutajakonto seoses nn @eesti.ee aadressiga, nt imre.oolberg@eesti.ee, ning näidata, milliseid sertifikaate kasutatakse eposti allkirjastamise ning krüptimise juures, valida ülemine Select (Digital Signing)
Peale PIN1 koodi sisestamist esitab arvuti valitud sertifikaadi andmed
Valides järgmisena Encryption juures Select küsib arvuti, kas ma soovin kasutada sama sertifikaati (õigemini sama sertifikaadiga seotud salajast võtit) teiste kasutajate poolt mulle saadetud krüptitud kirjade (mis on krüptitud minu avaliku võtmega) lahtikürptimiseks, sobib vastata jaatavalt.
Kirja saatmine toimub tavapäraselt ainukese erinevusega, et enne kirja saatmist tuleb valida Security alt
Digitally Sign This Message
Kirja saajal peab olema postiprogrammi laaditud vähemalt SK juursertifikaat ning kiri pasitab sellisena
Messsage Security aken avaneb vajutades programmiakna paremas servas asuvale kollane-punane värvi ümbriku kujutisele ja ütleb, et vaatlusalune kiri on signeeritud ning signatuur on kehtiv. St kirja saaja saab olla kindel, et kiri on saadetud selle poolt, kellele kuulub kasutatud sertifikaat.
Thunderbird kasutamine eposti krüptimiseks
Eposti krüptimine toimub adressaadi eesti id kaardi autentimise avaliku võtmega, mis tähendab, et keegi teine peale vastava salajase võtme valdaja ei saa sõnumi teksti sisuga tutvuda. Thunderbirdi ettevalmistused on samad, mis on vajalikud signeerimiseks. Kirja saatmisel tuleb valida
Security -> Encrypt This Message
Kirja lugemisel peab olema võimalik kasutada id kaarti ning tulemus võiks paista sarnane, tõsi antud juhul on lihtsalt saadetud kiri iseendale
Security Message aken avaneb vajutades programmiakna paremas servas asuvale tabaluku kujutisele ja ütleb, et kiri on krüptitud ning selle sisuga on peale adressaadi teistel kasutajatel ülimalt raske tutvuda.
Kui krüptitud kirja adressaadil on id kaardi kasutamine seadistamata, siis esitab programm kasutajale veateadet
Icedove cannot decrypt this message
The sender encrypted this message to you using one of your digital certificates, however Icedove was not able to find
this certificate and corresponding private key.
Possible solutions:
* If you have a smartcard, please insert it now.
* If you are using a new machine, or if you are using a new Icedove profile, you will need to restore your certificate
and private key from a backup. Certificate backups usually end in ".p12".
Krüptimisel tuleb arvestada, et kirja päised sh Message-ID, Date, From, To, Subject jt ei ole krüptitud
.. Message-ID: <49B277C9.8010303@eesti.ee> Date: Sat, 07 Mar 2009 15:34:01 +0200 From: Imre Oolberg <imre.oolberg@eesti.ee> User-Agent: Mozilla-Thunderbird 2.0.0.19 (X11/20090103) MIME-Version: 1.0 To: imre.oolberg@eesti.ee Subject: eesti muld ja eesti =?ISO-8859-1?Q?s=FCda?= Content-Type: application/x-pkcs7-mime; name="smime.p7m" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="smime.p7m" Content-Description: S/MIME Encrypted Message MIAGCSqGSIb3DQEHA6CAMIACAQAxgf0wgfoCAQAwYzBbMQswCQYDVQQGEwJFRTEiMCAGA1UE ChMZQVMgU2VydGlmaXRzZWVyaW1pc2tlc2t1czEPMA0GA1UECxMGRVNURUlEMRcwFQYDVQQD Ew5FU1RFSUQtU0sgMjAwNwIESIQxaDANBgkqhkiG9w0BAQEFAASBgB4isztO9MjE1ZQUzA7e U1E0YTQZF0nIW4b46Nn/Be+DtUgzZWyZjgln4YxqQ7vDWPJiFNJTqdLjNCPGb6WEJ7ddZJGp hM/z+tyCNHrXP6DbvjtmF9qJ9WgvyiqHyQMr8FKRCnLdcj70G+N0EzFnsMq4QsvLi6PHaE7v rWGWq1ynMIAGCSqGSIb3DQEHATAUBggqhkiG9w0DBwQInoBpNLI3/IOggASCAijikH35Tqn9 ..
Selleks, et saata teistele @eesti.ee postisüsteemi kasutajatele krüptitud kirju peab olema Thunderbirdi laaditud kasutaja avalik võti, mis esineb nn autentimise sertifikaadi kujul. Selleks tuleb teades kasutaja isikukoodi kopeerida sertifikaadid ldap.sk.ee serverist, nt
$ ldapsearch -LLL -H ldap://ldap.sk.ee -x -b "c=EE" "(serialNumber=37003212713)"
Salvestada esimesele sertifikaadile vastav tekstiosa st
... userCertificate;binary:: MIID2jCCAsKgAwIBAgIESIQxaTANBgkqhkiG9w0BAQUFADBbMQswC .. cOXVX08WgFeVtlH1S6AeDIuY1i/EIngiAUV ....
tekstifaili, alates MIID2.. osast, tekstifail peab algama ja lõppema spetsiaalse tunnusega, kokku peab saama sarnane fail
-----BEGIN CERTIFICATE----- MIID2jCCAsKgAwIBAgIESIQxaTANBgkqhkiG9w0BAQUFADBbMQswC .. cOXVX08WgFeVtlH1S6AeDIuY1i/EIngiAUV -----END CERTIFICATE-----
Ning see fail tuleb laadida Thunderbirdi valides
Edit -> Preferences -> Advanced -> Certificates -> View Certificates -> Other People's -> Import
Seejärel saab saada sertifikaadis näidatud eposti aadressile krüptitud posti ning samuti kontrollida selle kasutaja poolt allkirjastatud eposti signatuuri.
Üldiselt võib üks ja sama kiri olla samaaegselt nii signeeritud kui ka krüptitud.
Sertifitseerimiskeskuse teenuste kasutamine
Sertifitseerimiskeskus http://www.sk.ee/ pakub mitmesuguseid teenused.
Sertifikaadi kehtivuse kontrollimine
$ openssl ocsp -issuer esteid.pem -cert idkaardiltsert.pem -url http://ocsp.sk.ee -noverify -text OCSP Request Data: Version: 1 (0x0) Requestor List: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 4508A41C355C0A72485FE2DF7B6A6788C6A55022 Issuer Key Hash: 4806DEBE8C875795807863FA9C232B2BA03A1875 Serial Number: 48843168 Request Extensions: OCSP Nonce: 0410090A1FA4F0555E82C1DFB4722FC61696 OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: C = EE, O = ESTEID, OU = OCSP, CN = ESTEID-SK 2007 OCSP RESPONDER, emailAddress = pki@sk.ee Produced At: Oct 7 22:15:36 2008 GMT Responses: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 4508A41C355C0A72485FE2DF7B6A6788C6A55022 Issuer Key Hash: 4806DEBE8C875795807863FA9C232B2BA03A1875 Serial Number: 48843168 Cert Status: good This Update: Oct 7 22:15:36 2008 GMT Response Extensions: OCSP Nonce: 0410090A1FA4F0555E82C1DFB4722FC61696 cert.pem: good This Update: Oct 7 22:15:36 2008 GMT
Kus esteid.pem sertifikaadi saab kopeerida SK veebikohast.
LDAP serverist sertifikaatide kopeerimine
Sertifikaadipäringu tekitamine
Sertifikaadipäringu tekitamine võiks toimuda nt selliselt, sertifikaadipäringu alusel väljastab SK sertifikaate oma JUUR-SK -> KLASS3-SK sertifikaatide suhtes
$ openssl req -nodes -new -newkey rsa:1024 > www.loomaaed.tartu.ee.csr ... Country Name (2 letter code) [AU]:EE State or Province Name (full name) [Some-State]:Harju Locality Name (eg, city) []:Tallinn Organization Name (eg, company) [Internet Widgits Pty Ltd]: Tartu Loomaaed Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []:www.loomaaed.tartu.ee Email Address []:
ID kaardi kasutamine chroot keskkonnast
Üks praktiline vajadus kasutada ID kaarti chroot programmiga moodustatud chroot keskkonnast oleks 64 bit Debiani operatsioonisüsteemis kasutada 32 bit Iceweaselit'i. Põhjusel, et 32 bit arhitektuurile on olemas Iceweaseli java plugin (pakett sun-java6-plugin), aga 64 bitile seda 2008 aastal pole. Omakorda on java vajalik, et saaks nt SEB pangas allkirjastada st sooritada ülekannet.
Tundub, et kui arvutile külge ühendatud ID kaarti on tarvis kasutada chroot käsu abil moodustatud chroot keskkonnast, siis tuleb öelda (pcscd deemon töötab nn absoluutses arvutis)
# mount --bind /var/run/pcscd /srv/arvuti-32/var/run/pcscd
ning seejärel tuleb käivitada iceweasel nt selliselt läbi sudo
$ sudo /usr/sbin/chroot /srv/arvuti-32 iceweasel
Selleks, et chroot keskkonnas käivitatud iceweasel saaks näidata oma pilti X serverile tuleb xhost käsuga kaasa aidata, nt öelda
$ xhost +
Kirjeldatud asjakorralduse puhul ei ole tarvis chroot keskkonda ühendada külge mingeid muid failisüsteeme (nt /proc, /sys) ega käivitada seal deemoneid pcscd vms.
Sudo töötamiseks on vajalik omakorda sellist sisu /etc/sudoers faili
User_Alias CHROOT_USERS = mart Cmnd_Alias CHROOT_CMD = /usr/sbin/chroot Host_Alias MORAAL = arvuti CHROOT_USERS MORAAL = (root) NOPASSWD: CHROOT_CMD
Milliseid turvariske selline asjakorraldus tema jaoks toob peab iga kasutaja ise hindama.
Märkused
- Kui brauser või postiklient lakkavad töötamast id kaardiga, siis maksab need programmid sulgeda ja samuti peatada pcscd deemon ning seejärel esmalt deemon ning siis rakendusprogrammi uuesti käivitada.
Kasulikud lisamaterjalid
- Eesti ID-kaardi tarkvara - http://ideelabor.ee/
- Sertifitseerimiskeskus - http://www.sk.ee/
