Utilizator:Petre/eToken

De la Wiki.lug.ro
< Utilizator:Petre
Versiunea din 13 decembrie 2010 12:01, autor: 86.107.58.2 (Discuție) (Software)

(dif) ← Versiunea anterioară | Versiunea curentă (dif) | Versiunea următoare → (dif)
Salt la: navigare, căutare

Certificate digitale calificate[modificare]

.. adicatelea, cu materialul criptografic (cheia) pe un device fizic de pe care nu pot fi exportate (FIXME: link la definitie normala)

La noi in Romania, autoritatile de certificare recunoscute la momentul actual (noiembrie 2010) sunt urmatoarele:

  • digisign, aka. digisign.ro
  • certsign, aka. certsign.ro
  • transped, aka. transped.ro

Hardware[modificare]

Pana acum am pus mana doar pe un device model Alladdin eToken Pro 64k (de la Digisign), care e suportat in Linux (via un .so closed source disponibil de la producator).

Certsign ofera )din ce vad pe site la ei, n-am luat legatura) doua device-uri tot de la Aladdin: tot un soi de eToken Pro (pare sa aiba un beculet in plus fata de al meu, dar seamana ca form factor, ma astept sa mearga la fel) si un eToken R2, care conform cu http://www.etokenonlinux.org/et/HowTos nu merge pe Linux.

Transped are device-uri de la Gemalto, care are drivere de Linux la ei pe site, nu stiu in ce masura au si pentru device-urile disponibile la noi.

Software[modificare]

Pentru utilizarea tokenului in Linux e nevoie de daemonul pcscd (in Debian/Ubuntu e in pachetul cu acelasi nume) si de modulul de pkcs11 de la Alladdin, libeTPkcs11.so (merge pe 32bit, n-am testat pe 64bit). Pachetele .deb si .rpm aduc un utilitar de management scris in QT4 similar cu cel de pe Windows. Nu pare a fi necesar.

In principiu certificatul ar trebui sa fie utilizabil de catre orice program care stie PKCS11, folosind ca modul libeTPkcs11.so (am testat pana acum Firefox, pkcs11-tool si DigiSigner.jar). Ca fapt divers, in Acrobat Readerul curent pt. Linux (9.4) n-am vazut nimic de genul asta inca.

Instalare[modificare]

Pe Debian squeeze 32bit, merge pachetul "de la ei", care contine si un program de management al tokenului si depinde de pcscd si ce mai trebuie (FIXME: de testat o procedura de install "slim", adica doar .so-ul si pachetele necesare).

De adunat cateva instructiuni basic de testare gen opensc-tool -l samd

Utilizare[modificare]

Firefox[modificare]

- se incarca modulul pkcs11,via Edit/Preferences/Advanced/Encryption/Security Devices si click pe Load, dupa care se cauta modulul (libeTPkcs11.so pt. etoken pro). Log in cu PIN-ul certificatului. - se incarca chainul de certificate. Edit/Preferences/Advanced/Encryption/View Certificates/Authorities , Import, dupa care se cauta .p12-le sau .cer-ul de la CA (de cautat unde sunt astea in cazul fiecari autoritati, nu strica sa le importi pe toate anyway). Ceva vorbe aici despre configurarea claselor de certificate - um, cum se testeaza?

Thunderbird[modificare]
Evolution[modificare]
PAM[modificare]
OpenVPN[modificare]
IPsec[modificare]
SSH[modificare]
GPG[modificare]
RDesktop[modificare]
Truecrypt[modificare]
LUKS[modificare]
OpenSSL[modificare]
WPA2[modificare]
semnare de documente[modificare]
  • semnatura PKCS#7
  • semnatura embedded in PDF -> to adobe or not to adobe? De testat OpenSignPDF si JSignPDF