Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
Gomi
Pingviini aktivist
Pingviini aktivist



Liitunud: 24.12.2017
Postitused: 112

Distributsioon: Gentoo, Debian
estonia.gif
postituspostitatud: 28.06.2018, 01:44  postituse pealkiri:  (teema puudub)  

zeroconf kirjutas:
Aadressil https://www.ria.ee/limesurvey/index.php/181529 kogutakse tagasisidet DigiDoc4 osas - seal võiks siis avaldada soovi autonoomse ID-kaarditarkvara suhtes. Minu soovitus oleks ID-kaarditarkvara teha autonoomsena, nt AppImage (Wikipedia artikkel ja https://appimage.org/) vormingus, mis on kui
distro-agnostiline tarkvaravorming ehk siis töötab sisuliselt suvalise Linuxi distroga ja sisuliselt ainus asi, mida teha tuleb - allalaaditud fail käivitatavaks muuta. Tasub piisavalt vana versiooni glibc suhtes kompileerida (nt v2.12), et töötaks ka vanemates Linuxites. Versiooni näeb
Kood:
ldd --version
abil. Võib ka eri glibc versioonide suhtes kompileerida kuid väga ei ole mõtet. Glibc versioonide ajalugu.
AppImage'ina pakendamine on ilmselt tunduvalt lihtsam kui eri Linuxi distrote või isegi sama distro eri versioonide jaoks pakendama hakata ja seda siis ka kogu aeg ajakohasena hoida ehk siis uute versioonide välja tulles uuesti kõikide distrote ja nende eri versioonide jaoks pakendada.... Siis oleks üks 32-bit ja üks 64-bit .AppImage fail, mis töötab ka näiteks 5...10 aastat (või isegi veel rohkem) vanade distrotega.
-----------------------
Mõte on pakendada ID-kaarditarkvara selliselt, et:
* seda saaks kohe peale allalaadimist kasutada
* ei vajaks superkasutaja õigusi
* ei sõltuks Linuxi distributsioonist kui tegemist Linuxile mõeldud versiooniga
* ideaalis oleks üks fail, mida alla laadida
* oleks sisse ehitatud automaatne uuendamine, mis ei nõua superkasutaja õigusi


ID-kaardiga endaga rääkimiseks oleks ikkagi vaja pcscd'd vist ju? Kas see ka töötab lihtsalt niisama root-õigusteta AppImage'iga?


libre
Pingviini aktivist
Pingviini aktivist



Liitunud: 27.05.2018
Postitused: 167

Distributsioon: debian
blank.gif
postituspostitatud: 28.06.2018, 09:32  postituse pealkiri:  (teema puudub)  

Ma
ei usu, et RIA soodustab vanade ja ebaturvaliste arvutite kasutamist,
küll aga on tehtud hea rakendus nutimobiilidele: Smart-ID.
Seda saab kasutada ka arvuti veebilehitsejas, kus ei ole id tarkvara.
Lihtsalt tuvastamine suunatakse smart-id rakendusele. Sul piisab vaadata
veebilehel kinnituskoodi ja smart-id rakenduse käivitades sama
kinnituskoodi kinnitades PIN1-ga smart-id's.

Ise ma püüan kasutada neid riiklike tuvastussüsteeme nii vähe kui
võimalik.

_________________
vaba tarkvara tähtsus tõuseb veelgi

123to
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 31.05.2014
Postitused: 92

Distributsioon: Xubuntu 14.04, 18.04
estonia.gif
postituspostitatud: 28.06.2018, 17:21  postituse pealkiri:  (teema puudub)  

Gomi kirjutas:
zeroconf kirjutas:
Aadressil https://www.ria.ee/limesurvey/index.php/181529 kogutakse tagasisidet DigiDoc4 osas - seal võiks siis avaldada soovi autonoomse ID-kaarditarkvara suhtes. Minu soovitus oleks ID-kaarditarkvara teha autonoomsena, nt AppImage (Wikipedia artikkel ja https://appimage.org/) vormingus, mis on kui
distro-agnostiline tarkvaravorming ehk siis töötab sisuliselt suvalise Linuxi distroga ja sisuliselt ainus asi, mida teha tuleb - allalaaditud fail käivitatavaks muuta. Tasub piisavalt vana versiooni glibc suhtes kompileerida (nt v2.12), et töötaks ka vanemates Linuxites. Versiooni näeb
Kood:
ldd --version
abil. Võib ka eri glibc versioonide suhtes kompileerida kuid väga ei ole mõtet. Glibc versioonide ajalugu.
AppImage'ina pakendamine on ilmselt tunduvalt lihtsam kui eri Linuxi distrote või isegi sama distro eri versioonide jaoks pakendama hakata ja seda siis ka kogu aeg ajakohasena hoida ehk siis uute versioonide välja tulles uuesti kõikide distrote ja nende eri versioonide jaoks pakendada.... Siis oleks üks 32-bit ja üks 64-bit .AppImage fail, mis töötab ka näiteks 5...10 aastat (või isegi veel rohkem) vanade distrotega.
-----------------------
Mõte on pakendada ID-kaarditarkvara selliselt, et:
* seda saaks kohe peale allalaadimist kasutada
* ei vajaks superkasutaja õigusi
* ei sõltuks Linuxi distributsioonist kui tegemist Linuxile mõeldud versiooniga
* ideaalis oleks üks fail, mida alla laadida
* oleks sisse ehitatud automaatne uuendamine, mis ei nõua superkasutaja õigusi


ID-kaardiga endaga rääkimiseks oleks ikkagi vaja pcscd'd vist ju? Kas see ka töötab lihtsalt niisama root-õigusteta AppImage'iga?


ilmselt ka browsereid ei õnnestu läbi selle appimage kaartiga suhtlema panna


libre
Pingviini aktivist
Pingviini aktivist



Liitunud: 27.05.2018
Postitused: 167

Distributsioon: debian
blank.gif
postituspostitatud: 29.06.2018, 09:26  postituse pealkiri:  (teema puudub)  

123to kirjutas:

ilmselt
ka browsereid ei õnnestu läbi selle appimage kaartiga suhtlema
panna

Peaks saama, sest firefox leiab need oma kataloogidest automaatselt
üles, piisab ka lingist.

Samas on kõik võimalik. Kõik_ühes_binaar on võimalik turvakasti
ehitada, et vanemate arvutite libc teekide augud tervet programmi ei
rikuks..

_________________
vaba tarkvara tähtsus tõuseb veelgi

mait
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 14.12.2012
Postitused: 83
Asukoht: Tartu
Distributsioon: OpenSuse 12.2; 13.2, Leap
estonia.gif
postituspostitatud: 20.07.2018, 22:06  postituse pealkiri:  (teema puudub)  

Kiirkokkuvõte: PIN2 ei saa kasutada.

HP EliteBook 820 G1. BIOS sai uuendatud.
OpenSUSE Leap 15.0 DVD.iso paigaldusega. Gnome aknahaldur.

Teegid:
openssl (1.1.0h)
libpcsclite1 (1.8.23)
pcsc-lite (1.8.23)
QT (5.9.4)
OpenSC-0.18.0-171-g4de0d06a (git-st võetud, katsetatud sai ka distroga kaasas olnud versiooniga 0.17).

% opesc-tool -l
Kood:
# Detected readers (pcsc)
Nr.  Card  Features  Name
0    Yes             Alcor Micro AU9560 00 00

Ka teise välise USB-lugejaga tunneb kaardi ilusasti ära.

% pkcs15-tool -c
Kood:
Using reader with a card: Alcor Micro AU9560 00 00
X.509 Certificate [Isikutuvastus]
   ...
X.509 Certificate [Allkirjastamine]
   ...


ID-kaardi utiliidid võitsin git-st (Rakenduse versioon: 3.12.10.0 (64 bit)) ja kompileerisin üsna vähese vaevaga. FireFox-i (60.1.0esr) lisa Token signing 0.0.28 kompileerus ka.

PIN1 töötab.
Aga PIN 2 ei tööta.

Digidoc klient (qdigidocclient) võtab PIN2-i vastu dokumendi allkirjastamiseks ja siis teatab:
Kood:
ASiC_E.cpp:348 Failed to sign BDOC container.
QSigner.cpp:355 PIN koodi valideerimine ebaõnnestus PKCS11 general error


Pangas PIN2 abil allkirjastamise katsel ütleb, et "Technical error" www.digidoc.ee jt. lõpetavad samuti PIN2 peale veaga.. Sama kaart vanema Leap 42.3 distroga masinas töötab. Probleemses masinas läheb aga ka teise kaardiga nagu ülal kirjeldatud.

... veidi hiljem. Lasin opensc-l kirjutada logi (debug = 3) ja sealt mõned nopped, mis tundusid olevat asjaga seotud:
Kood:
         0x7f8a59325700 08:21:47.328 [opensc-pkcs11] card.c:297:sc_connect_card: matched: MICARDO 2.1 / EstEID 1.0 - 3.0
         0x7f8a59325700 08:21:47.328 [opensc-pkcs11] reader-pcsc.c:463:pcsc_reconnect: Reconnecting to the card...
         ...
         
         0x7f8a59325700 08:21:50.626 [opensc-pkcs11] framework-pkcs15.c:1438:pkcs15_create_tokens: Found authentication object 'PIN1'
         0x7f8a59325700 08:21:50.626 [opensc-pkcs11] framework-pkcs15.c:1438:pkcs15_create_tokens: Found authentication object 'PIN2'
         ....
         0x7f8a74424940 08:22:06.846 [opensc-pkcs11] pkcs11-session.c:298:C_Login: C_Login() slot->login_user -1
         0x7f8a74424940 08:22:06.846 [opensc-pkcs11] pkcs11-session.c:309:C_Login: C_Login() userType 1
         0x7f8a74424940 08:22:06.846 [opensc-pkcs11] framework-pkcs15.c:1521:pkcs15_login: pkcs15-login: userType 0x1, PIN length 5
         0x7f8a74424940 08:22:06.846 [opensc-pkcs11] pkcs15-pin.c:302:sc_pkcs15_verify_pin: called
         ...

         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] apdu.c:390:sc_single_transmit: returning with: 0 (Success)
         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] apdu.c:543:sc_transmit: returning with: 0 (Success)
         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] card.c:465:sc_unlock: called
         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] iso7816.c:128:iso7816_check_sw: Incorrect parameters P1-P2
         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] card-mcrd.c:1520:mcrd_pin_cmd: returning with: -1205 (Incorrect parameters in APDU)
         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] sec.c:217:sc_pin_cmd: returning with: -1205 (Incorrect parameters in APDU)
         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] pkcs15-pin.c:449:sc_pkcs15_verify_pin_with_session_pin: PIN cmd result -1205
         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] card.c:1083:match_atr_table: ATR     : 3b:jne
         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] card.c:1094:match_atr_table: ATR try : 3B:DD:18:jne
         0x7f8a74424940 08:22:06.880 [opensc-pkcs11] card.c:1097:match_atr_table: ignored - wrong length
         ....


Gomi
Pingviini aktivist
Pingviini aktivist



Liitunud: 24.12.2017
Postitused: 112

Distributsioon: Gentoo, Debian
estonia.gif
postituspostitatud: 26.07.2018, 04:17  postituse pealkiri:  (teema puudub)  

Paistab, et ilma pisut lappimata ei saagi enam uuemate ID-kaartidega ssh'd kasutada, kui sa just Fedora peal ei ole.
https://fedoramagazine.org/fedora-28-better-smart-card-support-openssh/


Arvi

Pingviini kasutaja
Pingviini kasutaja



Liitunud: 02.06.2009
Postitused: 53

Distributsioon: Xb
estonia.gif
postituspostitatud: 21.08.2018, 19:19  postituse pealkiri:  (teema puudub)  

Solus OS-le pole mingit inimlikku võimalust id-kaardi softi peale ajada?


mait
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 14.12.2012
Postitused: 83
Asukoht: Tartu
Distributsioon: OpenSuse 12.2; 13.2, Leap
estonia.gif
postituspostitatud: 14.09.2018, 22:28  postituse pealkiri:  (teema puudub)  

mait kirjutas:


PIN2 ei saa kasutada.

HP EliteBook 820 G1. BIOS sai uuendatud.
OpenSUSE Leap 15.0 DVD.iso paigaldusega. Gnome aknahaldur.
....



GIT-i ilmus äsja opensc uus versioon 0.19 . Võtsin uuesti ka ID-kaardi utiliitide alliktekstid. Kompileerisin.

Kood:

% opensc-tool --version
         OpenSC-0.19.0-8-g4fad530e, rev: 4fad530e, commit-time: 2018-09-14 08:32:11 +0200

qdigidocclient versioon 3.13.7.0, avaldatud 14.09.2018

Teegid:
openssl (1.1.0h)
libpcsclite1 (1.8.23)
pcsc-lite (1.8.23)
QT (5.9.4)

Saab allkirjastada veebis ja klientprogrammiga.


al(tm)
Pingviini kasutaja
Pingviini kasutaja


Vanus: 47
Liitunud: 28.03.2017
Postitused: 45
Asukoht: Tartu

estonia.gif
postituspostitatud: 06.10.2018, 15:42  postituse pealkiri:  (teema puudub)  

Vahepeal on märkamatult saabunud Fedora / CentOS ametlik tugi Smile
Suured tänud asjaosalistele!

open-eid on siis märksõna, töötab juba ka Fedora 29'l


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group