| Autor |
Sõnum |
al(tm)
Pingviini kasutaja
Vanus: 54
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu
|
|
Kuidas pagan õnnestus FF57 all PKCS11 loaderi laadimine? Tirisin git'iga kõige värskema ja lasin kokku (üks vähestest pakkidest, mis F27 all kompileerub), mitte ningit tolku. Firefox tunneb uue versiooni kenasti ära, aga näitab, et "aeguv" ja kõik? Proovisin eraldi kasutaja alt ja lasin ka profiili maha.
Küsiks seda, kas Ubuntu FF57 ikka vanad pluginaid ära keelab? Mul on keelatud pluginate nimekirjas päris mitu asja, lisaks pkcs11 loaderile nt YouTube downloader ja Media Converter & Muxer - need peaks olema üsna kasutatavad asjad muidu.
Ja näitab ta ikka FF veebipoes oleva loader kohta not compatible with Firefox Quantum??
Mul on väga sügavad kahtlused nimetet tarne osas, mis puudutab kõikvõimaliku softi modifitseerimist "kasutajasõbralikkuse" poole. See veebipoe- plugin peaks olema keelatud juba üle aasta muidu....
|
|
|
|
|
|
|
  |
123to
Pingviini aktivist
Liitunud: 31.05.2014
Postitused: 123
Distributsioon: Xubuntu 18.04;23.04
|
|
| al(tm) kirjutas: | | Kuidas pagan õnnestus FF57 all PKCS11 loaderi laadimine? |
seda ei ole üldse tarvis, kustuta kohe pakkide alt ära, et isegi näha ei oleks FF-s
ja pane käsitsi:
# firefoxis lisad Secure Device sektsiooni about:preferences#privacy
# Module: open-EID
# Path: /usr/lib/i386-linux-gnu/onepin-opensc-pkcs11.so
# kui kaart oli sees saad kohe proovida sisse logida - küsib pin1
# testid sisselogimist erinevatele saitidel - minul avanesid kõik pangad ja digidoc.ee
allkirjastamiseks on lisaks vaja chrome-token-signing extensionit
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 40
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
| 123to kirjutas: | | al(tm) kirjutas: | | Kuidas pagan õnnestus FF57 all PKCS11 loaderi laadimine? |
seda ei ole üldse tarvis, kustuta kohe pakkide alt ära, et isegi näha ei oleks FF-s
ja pane käsitsi:
# firefoxis lisad Secure Device sektsiooni about:preferences#privacy
# Module: open-EID
# Path: /usr/lib/i386-linux-gnu/onepin-opensc-pkcs11.so
# kui kaart oli sees saad kohe proovida sisse logida - küsib pin1
# testid sisselogimist erinevatele saitidel - minul avanesid kõik pangad ja digidoc.ee
allkirjastamiseks on lisaks vaja chrome-token-signing extensionit |
Täpsustaks nii palju, et 64-bitise süsteemi puhul on see path /usr/lib/x86_64-linux-gnu/onepin-opensc-pkcs11.so
Lisamine on ühekordne tegevus ja pärast seda on jälle korras. Laiendus tõepoolest Firefox 57-ga ei tööta ja kuna PKCS11 pole 57-s veel uut tüüpi laienduste jaoks toetatud, siis enne 58. versiooni väljatulekut ei ole ka miskit eriti loota. Õnneks on ID-tarkvara arendajatel juba esialgne versioon Firefox 58 jaoks ka olemas.
|
|
|
|
_________________
  
|
|
|
 |
123to
Pingviini aktivist
Liitunud: 31.05.2014
Postitused: 123
Distributsioon: Xubuntu 18.04;23.04
|
|
|
|
sander85
Vana Pingviin
Vanus: 40
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
Allkirjastamine töötab juba ka RIA3-ga, aga äkki hakkab krüpteerimise tugi valmis saama.
|
|
|
|
_________________
|
|
|
|
123to
Pingviini aktivist
Liitunud: 31.05.2014
Postitused: 123
Distributsioon: Xubuntu 18.04;23.04
|
|
| sander85 kirjutas: |
Allkirjastamine töötab juba ka RIA3-ga, aga äkki hakkab krüpteerimise tugi valmis saama. |
näpukas, mõtlesingi jah krüptot
|
|
|
|
|
|
|
|
al(tm)
Pingviini kasutaja
Vanus: 54
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu
|
|
Jeesus kristus 
Alustuseks on Fedora all muidugi tee teine, /usr/lib64/onepin-opensc-pkcs11.so
FF saadab kukele, teade, et moodulit pole võimalik laadida. Lähemal vaatlusel tõepoolest, build date on 4. august
$ rpm -qif /usr/lib64/onepin-opensc-pkcs11.so
Name : opensc
Version : 0.17.0
Release : 3.fc27
Architecture: x86_64
Install Date: N 09 nov 2017 20:27:48 EET
Group : System Environment/Libraries
Size : 3434572
License : LGPLv2+
Signature : RSA/SHA256, L 05 aug 2017 05:27:24 EEST, Key ID f55e7430f5282ee4
Source RPM : opensc-0.17.0-3.fc27.src.rpm
Build Date : R 04 aug 2017 09:35:08 EEST
uus opensc kokku ei lähe. Nojah.
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 40
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
| al(tm) kirjutas: | Jeesus kristus
Alustuseks on Fedora all muidugi tee teine, /usr/lib64/onepin-opensc-pkcs11.so
FF saadab kukele, teade, et moodulit pole võimalik laadida. Lähemal vaatlusel tõepoolest, build date on 4. august
$ rpm -qif /usr/lib64/onepin-opensc-pkcs11.so
Name : opensc
Version : 0.17.0
Release : 3.fc27
Architecture: x86_64
Install Date: N 09 nov 2017 20:27:48 EET
Group : System Environment/Libraries
Size : 3434572
License : LGPLv2+
Signature : RSA/SHA256, L 05 aug 2017 05:27:24 EEST, Key ID f55e7430f5282ee4
Source RPM : opensc-0.17.0-3.fc27.src.rpm
Build Date : R 04 aug 2017 09:35:08 EEST
uus opensc kokku ei lähe. Nojah. |
Aeg Mageia peale kolida 
|
|
|
|
_________________
|
|
|
|
al(tm)
Pingviini kasutaja
Vanus: 54
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu
|
|
| Aeg ID kaart unustada
|
|
|
|
|
|
|
|
123to
Pingviini aktivist
Liitunud: 31.05.2014
Postitused: 123
Distributsioon: Xubuntu 18.04;23.04
|
|
| al(tm) kirjutas: | Jeesus kristus
FF saadab kukele, teade, et moodulit pole võimalik laadida. Lähemal vaatlusel tõepoolest, build date on 4. august
|
Kas eelmise FF-ga see opensc töötas? Kui töötas, siis on küll kummaline, täpselt nagu Win all, et käsitsi laadida ei saa.
|
|
|
|
|
|
|
|
al(tm)
Pingviini kasutaja
Vanus: 54
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu
|
|
No F27 all ei oska kommenteerida, sest välja tuli ta FF57'ga ja tagasi kerides saab vaid FF57 varasema patch leveli.
F26 kokkulastud opensc ei laadu samamoodi, paigaldub muidu kenasti ja (vist) ka töötas muus osas.
Muidu F26 all FF56 töötas jah, sama soft muidu.
macOS Sierraga (ja siis FF57) laadimine õnnestub, täna just proovisin töö juures, kuna kasutajad on väga kurjad juba.
P.S. Mageia all on praegu nt Gnome 2 reliisi vana (24 vs 26 mis on current), siis kasutaks juba CentOS'i kui konservatiivsus oluline 
|
|
|
|
|
|
|
|
123to
Pingviini aktivist
Liitunud: 31.05.2014
Postitused: 123
Distributsioon: Xubuntu 18.04;23.04
|
|
| sander85 kirjutas: | | äkki hakkab krüpteerimise tugi valmis saama. |
panin huvi pärast ühe vanema läpaka peale prooviks,
esialgu muud vahet ei näe, et on ära kaotatud EC 256 ja 521 pikkuste võtmete tugi ja jäänud on ainult 384, ei tea kas need teised segasid kuskil midagi?
$ opensc-tool --list-algorithms
Algorithm: rsa
Key length: 2048
Flags: padding ( pkcs1 ) hashes ( sha1 sha256 )
Algorithm: ec
Key length: 384
Flags:
ECDSA, keySize={384,384}, hw, sign, other flags=0x1800000
ECDH1-COFACTOR-DERIVE, keySize={384,384}, hw, derive, other flags=0x1800000
ECDH1-DERIVE, keySize={384,384}, hw, derive, other flags=0x1800000
varem oli selline list:
Algorithm: rsa
Key length: 2048
Flags: padding ( pkcs1 ) hashes ( sha1 sha256 )
Algorithm: ec
Key length: 256
Flags:
Algorithm: ec
Key length: 384
Flags:
Algorithm: ec
Key length: 521
Flags:
ECDSA, keySize={256,521}, hw, sign, other flags=0x1800000
ECDH1-COFACTOR-DERIVE, keySize={256,521}, hw, derive, other flags=0x1800000
ECDH1-DERIVE, keySize={256,521}, hw, derive, other flags=0x1800000
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 40
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
|
|
al(tm)
Pingviini kasutaja
Vanus: 54
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu
|
|
Näiteks nii-
[root@ftp ~]# rpm -qi openssl
Name : openssl Relocations: (not relocatable)
Version : 1.0.1e Vendor: CentOS
Release : 57.el6 Build Date: K 22 märts 2017 23:41:46 EET
Install Date: P 16 apr 2017 21:55:48 EEST Build Host: c1bm.rdu2.centos.org
Group : System Environment/Libraries Source RPM: openssl-1.0.1e-57.el6.src.rpm
Size : 4084166 License: OpenSSL
Signature : RSA/SHA1, N 23 märts 2017 17:00:46 EET, Key ID 0946fca2c105b9de
Packager : CentOS BuildSystem <http://bugs.centos.org>
Fedora stabiilsuse osas ma ep oska nagu kurta. Masinad käivad noh. Töö juures teen uuendused lihtsalt veidi hiljem (nt 27 peale läheb talvel pärast semestri lõppu), kodumasinad on aastaid läinud paar nädalat enne GA'd
Ma mõtlen tõesti aastaid, Fedorat olen kasutanud algusest peale, enne seda RedHat'i ja ka RHELi
Esimene tõsine jant ongi selle urrima ID kaardiga.
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 40
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
|
|
al(tm)
Pingviini kasutaja
Vanus: 54
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu
|
|
Mõte on selles, et RHEL (ja ka CentOS peal siis) paigad backporditakse ja teekide ning arendusvahendite versioonid ei muutu võrreldes reliisi hetkega.
Nt seesama CentOS on sama, mis RHEL6 ja on algselt välja tulnud 2010 lõpus. Isegi tuum on sama (2.6.32)- backporditud paigad muidugi välja arvata.
Algsed Fedora reliisid, millest RHEL6 aretati olid 12 ja 13. Niiet jah, üsna kindlalt saaks seal asja kokku. OpenSSL on ju vaid üks probleem, F27 vs F26 on ID kaardi komponentide kokkusaamisega vahe selline, et kui F26 all ei kompileerunud vaid libdigidoc ja digidoc klient, siis F27 all sisuliselt mitte midagi (sh opensc ja plugin)
Isegi RHEL7 peal on veel openssl 1.0.2
Aga üldiselt ma ei ole enterprise linuxite fänn, välja arvata, kui tegu on mingit väga konkreetset asja tegeva masinaga (a la failiserver vms). Alati on pigem varem kui hiljem tekkinud probleem mingi tarvilise softijupi käimasaamisega. Ja kogu värgenduse point kaob, kui tuleb hakata välja vahetama miskit ala PHP vms. Pealegi on laivõrgus olevas masinas kompilaatori hoidmine ekstra loll mõte ja nii edasi.
Töölauamasinatega on probleem veelgi reljeefsem (multimeedia, lisaseadmed, a/v soft, isegi kontoritarkvara (=loe libreoffice siis hetkel) jne). Samas on võimalikult vanilla paigaldus alati väga hea mõte.
|
|
|
|
|
|
|
|
123to
Pingviini aktivist
Liitunud: 31.05.2014
Postitused: 123
Distributsioon: Xubuntu 18.04;23.04
|
|
| Tsitaat: | | Eilsest on avatud septembris turvariski tõttu suletud ID-kaardi avalike võtmete andmebaas, mis lihtsustab dokumentide krüpteerimist. „Kuigi uuendatud ID-kaartidega ilmselt enne aasta lõppu dokumente krüpteerida veel ei saa, on see võimalus olemas neil ID-kaardi omanikel, keda kirjeldatud turvarisk ei mõjutanud ning kes kaarti uuendama ei pidanud,“ ütles Margus Arm lisades, et krüpteerimine uuendatud kaartidega taastub aasta lõpuks. |
LDAPis on küll jah ka juba uued avalikud võtmed olemas (olid ka juba eelmise nädala keskel) aga ma arvaks, et krüpteeritud faile saavad vahetada omavahel ainult vanade ID-kaartide omanikud kui mõlemal on RSA võtmed aga vana kaarti omanik uue kaarti omanikule ei saa veel krüpteerida kuna uue kaarti võti ei võimalda veel krüpteerida. Või saan valesti aru?
|
|
|
|
|
|
|
|
mocambo
Pingviini kasutaja
Liitunud: 10.06.2007
Postitused: 82
Distributsioon: Arch Linux
|
|
Hei !
Kas Archi või Manjaro kasutajatest keegi on ID-kaardi tööle saanud ? AUR's pakki ligilähedase nimega opensc-pkcs11_0.17.0-1RIA3 ei leidnud.
Ei tööta FF57 ega ka Palemoon 27 PIN1. Tuleb vist see opensc kokku lasta ja vaadata. Chrome-token-signingon juba paigaldatud, aga sellest üksi jäi väheks.
Hetkel ei tööta ka DigiDoc PIN2, kas see võib ka olla tingitud opensc puudustest ? Vaatasin, et qdigidoc ei sõltu opensc'st.
Tänan !
Hetkeseis:
qdigidoc 3.13.4.1515-1
libdigidoc 3.10.1.1212-2
libdigidocpp 3.13.2.1355-2
qesteidutil 3.12.10.1265-1
chrome-token-signing 1:1.0.6.485-3
opensc 0.17.0-1
|
|
|
|
|
|
|
|
123to
Pingviini aktivist
Liitunud: 31.05.2014
Postitused: 123
Distributsioon: Xubuntu 18.04;23.04
|
|
võibolla ei ole FF-le teada antud kus library asub, kas Secure Device all on näha
proovi kõigepealt kas PINe küsib
pkcs11-tool -l --test
pkcs11-tool -l --test --slot 1
|
|
|
|
|
|
|
|
mckevin
Pingviini aktivist
Vanus: 36
Liitunud: 02.05.2007
Postitused: 121
Asukoht: tallinn
Distributsioon: Arch Linux x86_64
|
|
| opensc git versiooni pead kasutama
|
|
|
|
|
|
|
|
|
|
|
