Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
al(tm)
Pingviini kasutaja
Pingviini kasutaja


Vanus: 53
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu

estonia.gif
postituspostitatud: 19.11.2017, 09:38  postituse pealkiri:  (teema puudub)  

Kuidas pagan õnnestus FF57 all PKCS11 loaderi laadimine? Tirisin git'iga kõige värskema ja lasin kokku (üks vähestest pakkidest, mis F27 all kompileerub), mitte ningit tolku. Firefox tunneb uue versiooni kenasti ära, aga näitab, et "aeguv" ja kõik? Proovisin eraldi kasutaja alt ja lasin ka profiili maha.

Küsiks seda, kas Ubuntu FF57 ikka vanad pluginaid ära keelab? Mul on keelatud pluginate nimekirjas päris mitu asja, lisaks pkcs11 loaderile nt YouTube downloader ja Media Converter & Muxer - need peaks olema üsna kasutatavad asjad muidu.
Ja näitab ta ikka FF veebipoes oleva loader kohta not compatible with Firefox Quantum??

Mul on väga sügavad kahtlused nimetet tarne osas, mis puudutab kõikvõimaliku softi modifitseerimist "kasutajasõbralikkuse" poole. See veebipoe- plugin peaks olema keelatud juba üle aasta muidu....


123to
Pingviini aktivist
Pingviini aktivist



Liitunud: 31.05.2014
Postitused: 123

Distributsioon: Xubuntu 18.04;23.04
estonia.gif
postituspostitatud: 19.11.2017, 11:50  postituse pealkiri:  (teema puudub)  

al(tm) kirjutas:
Kuidas pagan õnnestus FF57 all PKCS11 loaderi laadimine?


seda ei ole üldse tarvis, kustuta kohe pakkide alt ära, et isegi näha ei oleks FF-s

ja pane käsitsi:

# firefoxis lisad Secure Device sektsiooni about:preferences#privacy
# Module: open-EID
# Path: /usr/lib/i386-linux-gnu/onepin-opensc-pkcs11.so
# kui kaart oli sees saad kohe proovida sisse logida - küsib pin1
# testid sisselogimist erinevatele saitidel - minul avanesid kõik pangad ja digidoc.ee

allkirjastamiseks on lisaks vaja chrome-token-signing extensionit


sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 19.11.2017, 13:48  postituse pealkiri:  (teema puudub)  

123to kirjutas:
al(tm) kirjutas:
Kuidas pagan õnnestus FF57 all PKCS11 loaderi laadimine?


seda ei ole üldse tarvis, kustuta kohe pakkide alt ära, et isegi näha ei oleks FF-s

ja pane käsitsi:

# firefoxis lisad Secure Device sektsiooni about:preferences#privacy
# Module: open-EID
# Path: /usr/lib/i386-linux-gnu/onepin-opensc-pkcs11.so
# kui kaart oli sees saad kohe proovida sisse logida - küsib pin1
# testid sisselogimist erinevatele saitidel - minul avanesid kõik pangad ja digidoc.ee

allkirjastamiseks on lisaks vaja chrome-token-signing extensionit


Täpsustaks nii palju, et 64-bitise süsteemi puhul on see path /usr/lib/x86_64-linux-gnu/onepin-opensc-pkcs11.so

Lisamine on ühekordne tegevus ja pärast seda on jälle korras. Laiendus tõepoolest Firefox 57-ga ei tööta ja kuna PKCS11 pole 57-s veel uut tüüpi laienduste jaoks toetatud, siis enne 58. versiooni väljatulekut ei ole ka miskit eriti loota. Õnneks on ID-tarkvara arendajatel juba esialgne versioon Firefox 58 jaoks ka olemas.

_________________
Image Image Image

123to
Pingviini aktivist
Pingviini aktivist



Liitunud: 31.05.2014
Postitused: 123

Distributsioon: Xubuntu 18.04;23.04
estonia.gif
postituspostitatud: 19.11.2017, 15:11  postituse pealkiri:  (teema puudub)  

paistab, et opensc hakkab ubuntu all uuenema, enne oli RIA3, nüüd RIA4, kas keegi teab miks, kas hakkab allkirjastamise tugi tulema või mingi veaparandus?

https://installer.id.ee/media/ubuntu_1711/pool/main/o/opensc/


sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 19.11.2017, 15:13  postituse pealkiri:  (teema puudub)  

123to kirjutas:
paistab, et opensc hakkab ubuntu all uuenema, enne oli RIA3, nüüd RIA4, kas keegi teab miks, kas hakkab allkirjastamise tugi tulema või mingi veaparandus?

https://installer.id.ee/media/ubuntu_1711/pool/main/o/opensc/


Allkirjastamine töötab juba ka RIA3-ga, aga äkki hakkab krüpteerimise tugi valmis saama.

_________________
Image Image Image

123to
Pingviini aktivist
Pingviini aktivist



Liitunud: 31.05.2014
Postitused: 123

Distributsioon: Xubuntu 18.04;23.04
estonia.gif
postituspostitatud: 19.11.2017, 15:18  postituse pealkiri:  (teema puudub)  

sander85 kirjutas:
123to kirjutas:
paistab, et opensc hakkab ubuntu all uuenema, enne oli RIA3, nüüd RIA4, kas keegi teab miks, kas hakkab allkirjastamise tugi tulema või mingi veaparandus?

https://installer.id.ee/media/ubuntu_1711/pool/main/o/opensc/


Allkirjastamine töötab juba ka RIA3-ga, aga äkki hakkab krüpteerimise tugi valmis saama.


näpukas, mõtlesingi jah krüptot


al(tm)
Pingviini kasutaja
Pingviini kasutaja


Vanus: 53
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu

estonia.gif
postituspostitatud: 19.11.2017, 16:08  postituse pealkiri:  (teema puudub)  

Jeesus kristus Very Happy

Alustuseks on Fedora all muidugi tee teine, /usr/lib64/onepin-opensc-pkcs11.so

FF saadab kukele, teade, et moodulit pole võimalik laadida. Lähemal vaatlusel tõepoolest, build date on 4. august

$ rpm -qif /usr/lib64/onepin-opensc-pkcs11.so
Name : opensc
Version : 0.17.0
Release : 3.fc27
Architecture: x86_64
Install Date: N 09 nov 2017 20:27:48 EET
Group : System Environment/Libraries
Size : 3434572
License : LGPLv2+
Signature : RSA/SHA256, L 05 aug 2017 05:27:24 EEST, Key ID f55e7430f5282ee4
Source RPM : opensc-0.17.0-3.fc27.src.rpm
Build Date : R 04 aug 2017 09:35:08 EEST

uus opensc kokku ei lähe. Nojah.


sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 19.11.2017, 16:10  postituse pealkiri:  (teema puudub)  

al(tm) kirjutas:
Jeesus kristus Very Happy

Alustuseks on Fedora all muidugi tee teine, /usr/lib64/onepin-opensc-pkcs11.so

FF saadab kukele, teade, et moodulit pole võimalik laadida. Lähemal vaatlusel tõepoolest, build date on 4. august

$ rpm -qif /usr/lib64/onepin-opensc-pkcs11.so
Name : opensc
Version : 0.17.0
Release : 3.fc27
Architecture: x86_64
Install Date: N 09 nov 2017 20:27:48 EET
Group : System Environment/Libraries
Size : 3434572
License : LGPLv2+
Signature : RSA/SHA256, L 05 aug 2017 05:27:24 EEST, Key ID f55e7430f5282ee4
Source RPM : opensc-0.17.0-3.fc27.src.rpm
Build Date : R 04 aug 2017 09:35:08 EEST

uus opensc kokku ei lähe. Nojah.


Aeg Mageia peale kolida Smile

_________________
Image Image Image

al(tm)
Pingviini kasutaja
Pingviini kasutaja


Vanus: 53
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu

estonia.gif
postituspostitatud: 19.11.2017, 16:41  postituse pealkiri:  (teema puudub)  

Aeg ID kaart unustada Very Happy


123to
Pingviini aktivist
Pingviini aktivist



Liitunud: 31.05.2014
Postitused: 123

Distributsioon: Xubuntu 18.04;23.04
estonia.gif
postituspostitatud: 19.11.2017, 16:55  postituse pealkiri:  (teema puudub)  

al(tm) kirjutas:
Jeesus kristus Very Happy

FF saadab kukele, teade, et moodulit pole võimalik laadida. Lähemal vaatlusel tõepoolest, build date on 4. august



Kas eelmise FF-ga see opensc töötas? Kui töötas, siis on küll kummaline, täpselt nagu Win all, et käsitsi laadida ei saa.


al(tm)
Pingviini kasutaja
Pingviini kasutaja


Vanus: 53
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu

estonia.gif
postituspostitatud: 19.11.2017, 18:16  postituse pealkiri:  (teema puudub)  

No F27 all ei oska kommenteerida, sest välja tuli ta FF57'ga ja tagasi kerides saab vaid FF57 varasema patch leveli.
F26 kokkulastud opensc ei laadu samamoodi, paigaldub muidu kenasti ja (vist) ka töötas muus osas.
Muidu F26 all FF56 töötas jah, sama soft muidu.

macOS Sierraga (ja siis FF57) laadimine õnnestub, täna just proovisin töö juures, kuna kasutajad on väga kurjad juba.

P.S. Mageia all on praegu nt Gnome 2 reliisi vana (24 vs 26 mis on current), siis kasutaks juba CentOS'i kui konservatiivsus oluline Wink


123to
Pingviini aktivist
Pingviini aktivist



Liitunud: 31.05.2014
Postitused: 123

Distributsioon: Xubuntu 18.04;23.04
estonia.gif
postituspostitatud: 19.11.2017, 18:43  postituse pealkiri:  (teema puudub)  

sander85 kirjutas:
äkki hakkab krüpteerimise tugi valmis saama.


panin huvi pärast ühe vanema läpaka peale prooviks,
esialgu muud vahet ei näe, et on ära kaotatud EC 256 ja 521 pikkuste võtmete tugi ja jäänud on ainult 384, ei tea kas need teised segasid kuskil midagi?

$ opensc-tool --list-algorithms

Algorithm: rsa
Key length: 2048
Flags: padding ( pkcs1 ) hashes ( sha1 sha256 )

Algorithm: ec
Key length: 384
Flags:

ECDSA, keySize={384,384}, hw, sign, other flags=0x1800000
ECDH1-COFACTOR-DERIVE, keySize={384,384}, hw, derive, other flags=0x1800000
ECDH1-DERIVE, keySize={384,384}, hw, derive, other flags=0x1800000

varem oli selline list:

Algorithm: rsa
Key length: 2048
Flags: padding ( pkcs1 ) hashes ( sha1 sha256 )

Algorithm: ec
Key length: 256
Flags:

Algorithm: ec
Key length: 384
Flags:

Algorithm: ec
Key length: 521
Flags:

ECDSA, keySize={256,521}, hw, sign, other flags=0x1800000
ECDH1-COFACTOR-DERIVE, keySize={256,521}, hw, derive, other flags=0x1800000
ECDH1-DERIVE, keySize={256,521}, hw, derive, other flags=0x1800000


sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 19.11.2017, 18:45  postituse pealkiri:  (teema puudub)  

al(tm) kirjutas:

P.S. Mageia all on praegu nt Gnome 2 reliisi vana (24 vs 26 mis on current), siis kasutaks juba CentOS'i kui konservatiivsus oluline Wink


Tegelikult peaks vahe siiski olema üks reliis, sest paaritud arvud mälu järgi on Gnome'il arendusversioonid. Aga jah, Mageia stabiilses reliisis ilma mõjuva põhjuseta suuri versioone ei uuendata, sest rõhk on stabiilsusel. Kuidas CentOS sind ID-tarkvara osas edasi aitaks? Smile

_________________
Image Image Image

al(tm)
Pingviini kasutaja
Pingviini kasutaja


Vanus: 53
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu

estonia.gif
postituspostitatud: 19.11.2017, 20:23  postituse pealkiri:  (teema puudub)  

Näiteks nii-

[root@ftp ~]# rpm -qi openssl
Name : openssl Relocations: (not relocatable)
Version : 1.0.1e Vendor: CentOS
Release : 57.el6 Build Date: K 22 märts 2017 23:41:46 EET
Install Date: P 16 apr 2017 21:55:48 EEST Build Host: c1bm.rdu2.centos.org
Group : System Environment/Libraries Source RPM: openssl-1.0.1e-57.el6.src.rpm
Size : 4084166 License: OpenSSL
Signature : RSA/SHA1, N 23 märts 2017 17:00:46 EET, Key ID 0946fca2c105b9de
Packager : CentOS BuildSystem <http://bugs.centos.org>


Fedora stabiilsuse osas ma ep oska nagu kurta. Masinad käivad noh. Very Happy Töö juures teen uuendused lihtsalt veidi hiljem (nt 27 peale läheb talvel pärast semestri lõppu), kodumasinad on aastaid läinud paar nädalat enne GA'd
Ma mõtlen tõesti aastaid, Fedorat olen kasutanud algusest peale, enne seda RedHat'i ja ka RHELi

Esimene tõsine jant ongi selle urrima ID kaardiga.


sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 19.11.2017, 21:58  postituse pealkiri:  (teema puudub)  

al(tm) kirjutas:
Näiteks nii-

[root@ftp ~]# rpm -qi openssl
Name : openssl Relocations: (not relocatable)
Version : 1.0.1e Vendor: CentOS
Release : 57.el6 Build Date: K 22 märts 2017 23:41:46 EET
Install Date: P 16 apr 2017 21:55:48 EEST Build Host: c1bm.rdu2.centos.org
Group : System Environment/Libraries Source RPM: openssl-1.0.1e-57.el6.src.rpm
Size : 4084166 License: OpenSSL
Signature : RSA/SHA1, N 23 märts 2017 17:00:46 EET, Key ID 0946fca2c105b9de
Packager : CentOS BuildSystem <http://bugs.centos.org>


Ma nüüd hästi ei saa aru. Mageia arendusversiooni peal olen asjad käima saanud ka openssl 1.1-ga, kui seda mõtled. Rääkimata sellest, et Fedoral peaks olema olemas ka vana openssl 1.0.1 - seda compat-openssl10 nime all siis.

_________________
Image Image Image

al(tm)
Pingviini kasutaja
Pingviini kasutaja


Vanus: 53
Liitunud: 28.03.2017
Postitused: 51
Asukoht: Tartu

estonia.gif
postituspostitatud: 20.11.2017, 05:14  postituse pealkiri:  (teema puudub)  

Mõte on selles, et RHEL (ja ka CentOS peal siis) paigad backporditakse ja teekide ning arendusvahendite versioonid ei muutu võrreldes reliisi hetkega.

Nt seesama CentOS on sama, mis RHEL6 ja on algselt välja tulnud 2010 lõpus. Isegi tuum on sama (2.6.32)- backporditud paigad muidugi välja arvata.

Algsed Fedora reliisid, millest RHEL6 aretati olid 12 ja 13. Niiet jah, üsna kindlalt saaks seal asja kokku. OpenSSL on ju vaid üks probleem, F27 vs F26 on ID kaardi komponentide kokkusaamisega vahe selline, et kui F26 all ei kompileerunud vaid libdigidoc ja digidoc klient, siis F27 all sisuliselt mitte midagi (sh opensc ja plugin)

Isegi RHEL7 peal on veel openssl 1.0.2

Aga üldiselt ma ei ole enterprise linuxite fänn, välja arvata, kui tegu on mingit väga konkreetset asja tegeva masinaga (a la failiserver vms). Alati on pigem varem kui hiljem tekkinud probleem mingi tarvilise softijupi käimasaamisega. Ja kogu värgenduse point kaob, kui tuleb hakata välja vahetama miskit ala PHP vms. Pealegi on laivõrgus olevas masinas kompilaatori hoidmine ekstra loll mõte ja nii edasi.
Töölauamasinatega on probleem veelgi reljeefsem (multimeedia, lisaseadmed, a/v soft, isegi kontoritarkvara (=loe libreoffice siis hetkel) jne). Samas on võimalikult vanilla paigaldus alati väga hea mõte.


123to
Pingviini aktivist
Pingviini aktivist



Liitunud: 31.05.2014
Postitused: 123

Distributsioon: Xubuntu 18.04;23.04
estonia.gif
postituspostitatud: 21.11.2017, 12:40  postituse pealkiri:  (teema puudub)  

Tsitaat:
Eilsest on avatud septembris turvariski tõttu suletud ID-kaardi avalike võtmete andmebaas, mis lihtsustab dokumentide krüpteerimist. „Kuigi uuendatud ID-kaartidega ilmselt enne aasta lõppu dokumente krüpteerida veel ei saa, on see võimalus olemas neil ID-kaardi omanikel, keda kirjeldatud turvarisk ei mõjutanud ning kes kaarti uuendama ei pidanud,“ ütles Margus Arm lisades, et krüpteerimine uuendatud kaartidega taastub aasta lõpuks.


LDAPis on küll jah ka juba uued avalikud võtmed olemas (olid ka juba eelmise nädala keskel) aga ma arvaks, et krüpteeritud faile saavad vahetada omavahel ainult vanade ID-kaartide omanikud kui mõlemal on RSA võtmed aga vana kaarti omanik uue kaarti omanikule ei saa veel krüpteerida kuna uue kaarti võti ei võimalda veel krüpteerida. Või saan valesti aru?


mocambo
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 10.06.2007
Postitused: 82

Distributsioon: Arch Linux
estonia.gif
postituspostitatud: 22.11.2017, 02:18  postituse pealkiri:  (teema puudub)  

Hei !

Kas Archi või Manjaro kasutajatest keegi on ID-kaardi tööle saanud ? AUR's pakki ligilähedase nimega opensc-pkcs11_0.17.0-1RIA3 ei leidnud.

Ei tööta FF57 ega ka Palemoon 27 PIN1. Tuleb vist see opensc kokku lasta ja vaadata. Chrome-token-signingon juba paigaldatud, aga sellest üksi jäi väheks.

Hetkel ei tööta ka DigiDoc PIN2, kas see võib ka olla tingitud opensc puudustest ? Vaatasin, et qdigidoc ei sõltu opensc'st.

Tänan !

Hetkeseis:

qdigidoc 3.13.4.1515-1
libdigidoc 3.10.1.1212-2
libdigidocpp 3.13.2.1355-2
qesteidutil 3.12.10.1265-1
chrome-token-signing 1:1.0.6.485-3
opensc 0.17.0-1


123to
Pingviini aktivist
Pingviini aktivist



Liitunud: 31.05.2014
Postitused: 123

Distributsioon: Xubuntu 18.04;23.04
estonia.gif
postituspostitatud: 22.11.2017, 08:07  postituse pealkiri:  (teema puudub)  

võibolla ei ole FF-le teada antud kus library asub, kas Secure Device all on näha

proovi kõigepealt kas PINe küsib

pkcs11-tool -l --test
pkcs11-tool -l --test --slot 1


mckevin
Pingviini aktivist
Pingviini aktivist


Vanus: 34
Liitunud: 02.05.2007
Postitused: 121
Asukoht: tallinn
Distributsioon: Arch Linux x86_64
estonia.gif
postituspostitatud: 23.11.2017, 16:15  postituse pealkiri:  (teema puudub)  

opensc git versiooni pead kasutama


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group