Utilizator:Petre/eToken

De la Wiki.lug.ro
< Utilizator:Petre
Versiunea din 23 noiembrie 2010 20:56, autor: Petre (Discuție | contribuții) (definit un oarecare TOC)

Salt la: navigare, căutare

Certificate digitale calificate

.. adicatelea, cu materialul criptografic (cheia) pe un device fizic de pe care nu pot fi exportate (FIXME: link la definitie normala)

La noi in Romania, autoritatile de certificare recunoscute la momentul actual (noiembrie 2010) sunt urmatoarele:

  • digisign, aka. digisign.ro
  • certsign, aka. certsign.ro
  • transped, aka. transped.ro

Hardware

Pana acum am pus mana doar pe un device model Alladdin eToken Pro 64k (de la Digisign), care e suportat in Linux (via un .so closed source disponibil de la producator).

Certsign ofera )din ce vad pe site la ei, n-am luat legatura) doua device-uri tot de la Aladdin: tot un soi de eToken Pro (pare sa aiba un beculet in plus fata de al meu, dar seamana ca form factor, ma astept sa mearga la fel) si un eToken R2, care conform cu http://www.etokenonlinux.org/et/HowTos nu merge pe Linux.

Transped are device-uri de la Gemalto, care are drivere de Linux la ei pe site, nu stiu in ce masura au si pentru device-urile disponibile la noi.

Software

Pentru utilizarea tokenului in Linux e nevoie de daemonul pcscd (in Debian/Ubuntu e in pachetul cu acelasi nume) si de modulul de pkcs11 de la Alladdin, libeTPkcs11.so (merge pe 32bit, n-am testat pe 64bit). Pachetele .deb si .rpm aduc un utilitar de management scris in QT4 similar cu cel de pe Windows. Nu pare a fi necesar.

In principiu certificatul ar trebui sa fie utilizabil de catre orice program care stie PKCS11, folosind ca modul libeTPkcs11.so (am testat pana acum Firefox, pkcs11-tool si DigiSigner.jar). Ca fapt divers, in Acrobat Readerul curent pt. Linux (9.4) n-am vazut nimic de genul asta inca.


Instalare

Pe Debian squeeze 32bit, merge pachetul "de la ei", care contine si un program de management al tokenului si depinde de pcscd si ce mai trebuie (FIXME: de testat o procedura de install "slim", adica doar .so-ul si pachetele necesare).

De adunat cateva instructiuni basic de testare gen opensc-tool -l samd

Utilizare

Firefox

- se incarca modulul pkcs11,via Edit/Preferences/Advanced/Encryption/Security Devices si click pe Load, dupa care se cauta modulul (libeTPkcs11.so pt. etoken pro). Log in cu PIN-ul certificatului. - se incarca chainul de certificate. Edit/Preferences/Advanced/Encryption/View Certificates/Authorities , Import, dupa care se cauta .p12-le sau .cer-ul de la CA (de cautat unde sunt astea in cazul fiecari autoritati, nu strica sa le importi pe toate anyway). Ceva vorbe aici despre configurarea claselor de certificate - um, cum se testeaza?

Thunderbird
Evolution
PAM
OpenVPN
IPsec
SSH
GPG
RDesktop
Truecrypt
LUKS
OpenSSL
WPA2
semnare de documente
  • semnatura PKCS#7
  • semnatura embedded in PDF -> to adobe or not to adobe? De testat OpenSignPDF si JSignPDF