Henkilökortti/Oberthur

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun

Oberthur ajuriongelma viittaa Oberthur Technologies yritykseen ja suomalaisiin vuoden 2017 alusta julkaistuihin henkilökortteihin. Suomen G3-sukupolven ja myöhempien henkilökorttien sirut ovat Oberthurin valmistamia ja jotka korvasivat aiempien Gemalton valmistamat sirut.

Oberthur sirut ovat tuettuja OpenSC-projektissa, joka mahdollistaa avoimien ohjelmistojen ja runsaiden tukityökalujen käytön joita käytetään ongelmien ratkomisessa ja ohjelmistokehityksessä. OpenSC-tuen myötä henkilökortit ovat toimineet Linux- ja macOS-käyttöjärjestelmissä, niistä tehdyissä sulautetuissa ratkaisuissa ja esimerkiksi DigiDoc-allekirjoitusohjelmassa joka on täysin avointa lähdekoodia.

Ongelmat tarkemmin:

  • Linux työpöytä ei näe PCSC-OpenSC-PKCS#11 pinon läpi varmenteita
  • qDigiDoc allekirjoitusohjgelma ei toimi
  • opensc-tool
  • pkcs11-tool
  • pkcs15-tool (ja sitä käyttävät esim openssl)
  • Windows RDP (remote desktop) ei näytä terminaalin varmenteita palvelimella
  • chrome-token-signing ei toimi
  • thunderbid sähköpostiohjelma ei toimi

Vaikka yleinen ajuri on olemassa, Suomen siru ilmeisesti poikkeaa hieman siitä ja käyttää eri ATR-tunnusta jolla OpenSC-ajuri liitetään korttiin käytön yhteydessä. Suomen korttien ATR (3B:7F:96:00:00:80:31:B8:65:B0:85:04:02:1B:12:00:F6:82:90:00) tunnusta ei ole mäpätty mihinkään ajuriin eikä se toimi. Käytännössä suomalaiset uudet kortit lakkasivat toimimasta Linuxissa vuoden 2017 alusta, melkein yksi korttisukupolvi sitten (nyt 2022 alussa) ja käytännössä kaikki kortit alkavat olemaan näitä.

Asia on tiedostettu, joku on saanut jotain yritystä toimimaan mutta sitä ei otettu OpenSC-lähdekoodiin mukaan, ilmeisesti tekijän olisi pitänyt olla asiassa aktiivisempi ja sitä ei tapahtunut. Tämän kaltainen kehitystyö on vaativaa ja aikaa vievää, jos siitä ei saa korvausta ja mahdollisesti tekee samaa jo työkseen, motivaatio katoaa helposti vapaa-ajalla.

Osan näistä ongelmista voi ratkaista käyttämällä DigiSign Client ohjelman mukana tulevaa pkcs11-ajuria, mutta ei läheskään kaikkia.

Valtion Digivirasto on tietoinen asiasta. Viron vastaava virasto Riigi Infosüsteemi Amet on välttänyt koko ongelman käyttämällä itse OpenSC:tä ja teettämällä hankkeensa OpenSC-projektissa suoraan.

Aiheesta muualla