5 593
muokkausta
Muutokset
Siirry navigaatioon
Siirry hakuun
kuva
[[Tiedosto:2019-06-11-pkcs-fig1.png|right|500px|thumb|p11-kit rajapintaa käytetään Linuxissa ja toisinaan myös macOS:ssä ja Windowsissa.]]
'''p11-kit''' on abstraktiorajapinta eri PKCS#11-plugineiden ja niitä käyttävien ohjelmien välissä mahdollisten älykorttituen lisäämisen automaattisesti niitä tukeviin ohjelmiin ja niiden asetusten asttamisen yhdessä keskitetyssä paikassa. p11-kit siten korvaa sovelluksessa yksittäiset PKCS#11-pluginit.
== Asetustiedostot Asetukset == Asetustiedostoja on monessa paikassa ja niillä on prioriteettijärjestys. Modules hakemistossa (esimerkiksi ''/usr/share/p11-kit/modules'') hakemistoissa sijaitsee eri PKCS#11-pluginien asetuksia p11-kit ympäristöön. Käytännössä kannattaa laittaa kaikki muutokset kotihakemistoon jolla välttyy niiden ylikirjoittamisen kun joissain jakeluissa paketit ovat väärin paketoitu.* /etc/pkcs11/pkcs11.conf* /etc/pkcs11/modules/** /usr/share/pkcs11/modules/** ~/.config/pkcs11/pkcs11.conf* ~/.config/pkcs11/modules/*
'''/etc/pkcs11/pkcs11.conf''' globaali asetustiedosto jota ei välttämättä ole olemassa. Oletus merge yhdistää asetukset, mutta aiheuttaa PIN2-tunnusluvun kyselyn kun ainoastaan tunnistaudutaan. Ilmeisesti asetus ''only'' on järkevin. user-config: <none|merge|only> 2017 julkaistujen G3.* sukupolven korttien [[Henkilökortti/Oberthur|Oberthur-sirua]] ei ole tuettu OpenSC:ssä ja siten ainoa mahdollinen module: asetuksen arvo on [[DigiSign Client]] ohjelman mukana tuleva libcryptoki.so. '''digisign.module''' module: /usr/lib64/libcryptoki.so Koska suomalaisessa [[henkilökortti|henkilökortisssa]] on useampia varmenteita joista vain ensimmäistä käytetään PKCS11 rajapinnan kautta tunnistamiseen ja nykyiset ohjelmistot eivät osaa erotella sitä muista varmenteista [[NonRepudiationOpenSC]] attribuutin avullapkcs11-plugineista on poistettu ''onepin-opensc-pkcs11.so'' plugin, tulee tunnistuskäytössä ohjelmille tarjota vain kortin ensimmäistä varmennetta käyttäen saattaa web-selain kysellä myös allekirjoitustunnuslukua jos kaikki ei toimi kuten pitää. Aiemmin tämä estettiin erillisellä OpenSC ''onepin-opensc-pkcs11.so'' pluginiapluginilla.
Jos p11-kit on asetettu valmiiksi käyttämään normaalia opensc-pluginia, se tulee samalla kytkeä pois käytöstä halutuilta ohjelmilta.
'''opensc.module'''
disable-in: firefox thunderbird-bin
'''onepin-opensc-onepin.module'''(tätä ei enää ole olemassa)
module: onepin-opensc-pkcs11.so
enable-in: firefox thunderbird-bin
'''Samassa modulessa ei saa käyttää enable-in ja disable-in yhtä aikaa.'''
== p11-kit ja trust ==
[https://p11-glue.github.io/p11-glue/p11-kit.html p11-kit] kirjaston työkalut. [https://p11-glue.github.io/p11-glue/p11-kit/manual/p11-kit.html p11-kit] ja [https://p11-glue.github.io/p11-glue/p11-kit/manual/trust.html trust]
<pre>
% p11-kit list-modules
module: p11-kit-trust
path: /usr/lib64/pkcs11/p11-kit-trust.so
uri: pkcs11:library-description=PKCS%2311%20Kit%20Trust%20Module;library-manufacturer=PKCS%2311%20Kit
library-description: PKCS#11 Kit Trust Module
library-manufacturer: PKCS#11 Kit
library-version: 0.25
token: System Trust
uri: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust
manufacturer: PKCS#11 Kit
model: p11-kit-trust
serial-number: 1
hardware-version: 0.25
flags:
write-protected
token-initialized
token: Default Trust
uri: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=Default%20Trust
manufacturer: PKCS#11 Kit
model: p11-kit-trust
serial-number: 1
hardware-version: 0.25
flags:
write-protected
token-initialized
module: digisign
path: /usr/lib64/libcryptoki.so
uri: pkcs11:library-description=mPollux%20DigiSign%20Client;library-manufacturer=Fujitsu%20Finland%20Oy
library-description: mPollux DigiSign Client
library-manufacturer: Fujitsu Finland Oy
library-version: 0.1
token: HENKILOKORTTI
uri: pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=xxxxxxxxxxxxxxxxxxxxxxxx;token=HENKILOKORTTI
manufacturer: FINEID
model: FINEID S4-1 V3.0
serial-number: xxxxxxxxxxxxxxxxxxxxxxxxxx
hardware-version: 1.0
firmware-version: 1.0
flags:
write-protected
user-pin-initialized
token-initialized
secondary-authentication
token: HENKILOKORTTI (PIN2)
uri: pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=xxxxxxxxxxxxxxxxxxxxxxxxxx;token=HENKILOKORTTI%20%28PIN2%29
manufacturer: FINEID
model: FINEID S4-1 V3.0
serial-number: xxxxxxxxxxxxxxxxxxxxxxxxx
hardware-version: 1.0
firmware-version: 1.0
flags:
write-protected
user-pin-initialized
token-initialized
secondary-authentication
token:
uri: pkcs11:model=Unknown;manufacturer=;serial=;token=
manufacturer:
model: Unknown
serial-number:
hardware-version: 1.0
firmware-version: 1.0
flags:
token: (PIN2)
uri: pkcs11:model=Unknown;manufacturer=;serial=;token=%20%28PIN2%29
manufacturer:
model: Unknown
serial-number:
hardware-version: 1.0
firmware-version: 1.0
flags:
module: opensc
path: /usr/lib64/pkcs11/opensc-pkcs11.so
uri: pkcs11:library-description=OpenSC%20smartcard%20framework;library-manufacturer=OpenSC%20Project
library-description: OpenSC smartcard framework
library-manufacturer: OpenSC Project
library-version: 0.25
token: TUOMALA,JUHA,382... (PIN1)
uri: pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=xxxxxxxxxxx;token=TUOMALA%2CJUHA%2C382...%20%28PIN1%29
manufacturer: IDEMIA
model: PKCS#15 emulated
serial-number: xxxxxxxxxxxx
flags:
write-protected
login-required
user-pin-initialized
token-initialized
token: TUOMALA,JUHA,382... (PIN2)
uri: pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=xxxxxxxxx;token=TUOMALA%2CJUHA%2C382...%20%28PIN2%29
manufacturer: IDEMIA
model: PKCS#15 emulated
serial-number: xxxxxxxxx
flags:
write-protected
login-required
user-pin-initialized
token-initialized
</pre>
== Katso myös ==
* [[GnuTLS|p11tool]], [[OpenSC|pkcs11-tool]], [[OpenSC|pkcs15-tool]] ja [[NSS|modutil]] komennoilla voi listata samoja tietoja.
== Aiheesta muualla ==
* http://p11-glue.freedesktop.org/p11-kit.html
* https://p11-glue.github.io/p11-glue/p11-kit/manual/config-example.html
[[Luokka:Tekniikka]]
