Ero sivun ”P11-kit” versioiden välillä
Siirry navigaatioon
Siirry hakuun
| Rivi 31: | Rivi 31: | ||
enable-in: firefox thunderbird-bin | enable-in: firefox thunderbird-bin | ||
| − | |||
| − | |||
| − | + | == p11-kit ja trust == | |
| − | + | [https://p11-glue.github.io/p11-glue/p11-kit.html p11-kit] kirjaston työkalut. [https://p11-glue.github.io/p11-glue/p11-kit/manual/p11-kit.html p11-kit] ja [https://p11-glue.github.io/p11-glue/p11-kit/manual/trust.html trust] | |
| − | + | ||
| − | + | <pre> | |
| − | + | % p11-kit list-modules | |
| − | + | module: p11-kit-trust | |
| − | pkcs11:model=Unknown;manufacturer=;serial=;token=%20%28PIN2%29 | + | path: /usr/lib64/pkcs11/p11-kit-trust.so |
| − | + | uri: pkcs11:library-description=PKCS%2311%20Kit%20Trust%20Module;library-manufacturer=PKCS%2311%20Kit | |
| − | + | library-description: PKCS#11 Kit Trust Module | |
| + | library-manufacturer: PKCS#11 Kit | ||
| + | library-version: 0.25 | ||
| + | token: System Trust | ||
| + | uri: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust | ||
| + | manufacturer: PKCS#11 Kit | ||
| + | model: p11-kit-trust | ||
| + | serial-number: 1 | ||
| + | hardware-version: 0.25 | ||
| + | flags: | ||
| + | write-protected | ||
| + | token-initialized | ||
| + | token: Default Trust | ||
| + | uri: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=Default%20Trust | ||
| + | manufacturer: PKCS#11 Kit | ||
| + | model: p11-kit-trust | ||
| + | serial-number: 1 | ||
| + | hardware-version: 0.25 | ||
| + | flags: | ||
| + | write-protected | ||
| + | token-initialized | ||
| + | module: digisign | ||
| + | path: /usr/lib64/libcryptoki.so | ||
| + | uri: pkcs11:library-description=mPollux%20DigiSign%20Client;library-manufacturer=Fujitsu%20Finland%20Oy | ||
| + | library-description: mPollux DigiSign Client | ||
| + | library-manufacturer: Fujitsu Finland Oy | ||
| + | library-version: 0.1 | ||
| + | token: HENKILOKORTTI | ||
| + | uri: pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=xxxxxxxxxxxxxxxxxxxxxxxx;token=HENKILOKORTTI | ||
| + | manufacturer: FINEID | ||
| + | model: FINEID S4-1 V3.0 | ||
| + | serial-number: xxxxxxxxxxxxxxxxxxxxxxxxxx | ||
| + | hardware-version: 1.0 | ||
| + | firmware-version: 1.0 | ||
| + | flags: | ||
| + | write-protected | ||
| + | user-pin-initialized | ||
| + | token-initialized | ||
| + | secondary-authentication | ||
| + | token: HENKILOKORTTI (PIN2) | ||
| + | uri: pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=xxxxxxxxxxxxxxxxxxxxxxxxxx;token=HENKILOKORTTI%20%28PIN2%29 | ||
| + | manufacturer: FINEID | ||
| + | model: FINEID S4-1 V3.0 | ||
| + | serial-number: xxxxxxxxxxxxxxxxxxxxxxxxx | ||
| + | hardware-version: 1.0 | ||
| + | firmware-version: 1.0 | ||
| + | flags: | ||
| + | write-protected | ||
| + | user-pin-initialized | ||
| + | token-initialized | ||
| + | secondary-authentication | ||
| + | token: | ||
| + | uri: pkcs11:model=Unknown;manufacturer=;serial=;token= | ||
| + | manufacturer: | ||
| + | model: Unknown | ||
| + | serial-number: | ||
| + | hardware-version: 1.0 | ||
| + | firmware-version: 1.0 | ||
| + | flags: | ||
| + | token: (PIN2) | ||
| + | uri: pkcs11:model=Unknown;manufacturer=;serial=;token=%20%28PIN2%29 | ||
| + | manufacturer: | ||
| + | model: Unknown | ||
| + | serial-number: | ||
| + | hardware-version: 1.0 | ||
| + | firmware-version: 1.0 | ||
| + | flags: | ||
| + | module: opensc | ||
| + | path: /usr/lib64/pkcs11/opensc-pkcs11.so | ||
| + | uri: pkcs11:library-description=OpenSC%20smartcard%20framework;library-manufacturer=OpenSC%20Project | ||
| + | library-description: OpenSC smartcard framework | ||
| + | library-manufacturer: OpenSC Project | ||
| + | library-version: 0.25 | ||
| + | token: TUOMALA,JUHA,382... (PIN1) | ||
| + | uri: pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=xxxxxxxxxxx;token=TUOMALA%2CJUHA%2C382...%20%28PIN1%29 | ||
| + | manufacturer: IDEMIA | ||
| + | model: PKCS#15 emulated | ||
| + | serial-number: xxxxxxxxxxxx | ||
| + | flags: | ||
| + | write-protected | ||
| + | login-required | ||
| + | user-pin-initialized | ||
| + | token-initialized | ||
| + | token: TUOMALA,JUHA,382... (PIN2) | ||
| + | uri: pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=xxxxxxxxx;token=TUOMALA%2CJUHA%2C382...%20%28PIN2%29 | ||
| + | manufacturer: IDEMIA | ||
| + | model: PKCS#15 emulated | ||
| + | serial-number: xxxxxxxxx | ||
| + | flags: | ||
| + | write-protected | ||
| + | login-required | ||
| + | user-pin-initialized | ||
| + | token-initialized | ||
| + | </pre> | ||
| + | |||
| + | |||
| + | == Katso myös == | ||
| + | * [[GnuTLS|p11tool]] ja [[OpenSC|pcs11-tool]] voi listata samoja tietoja. | ||
== Aiheesta muualla == | == Aiheesta muualla == | ||
* http://p11-glue.freedesktop.org/p11-kit.html | * http://p11-glue.freedesktop.org/p11-kit.html | ||
| + | * https://p11-glue.github.io/p11-glue/p11-kit/manual/config-example.html | ||
[[Luokka:Tekniikka]] | [[Luokka:Tekniikka]] | ||
Versio 24. maaliskuuta 2024 kello 13.59
p11-kit on abstraktiorajapinta eri PKCS#11-plugineiden ja niitä käyttävien ohjelmien välissä mahdollisten älykorttituen lisäämisen automaattisesti niitä tukeviin ohjelmiin ja niiden asetusten asttamisen yhdessä keskitetyssä paikassa. p11-kit siten korvaa sovelluksessa yksittäiset PKCS#11-pluginit.
Sisällysluettelo
Asetukset
Asetustiedostoja on monessa paikassa ja niillä on prioriteettijärjestys. Modules hakemistoissa sijaitsee eri PKCS#11-pluginien asetuksia. Käytännössä kannattaa laittaa kaikki muutokset kotihakemistoon jolla välttyy niiden ylikirjoittamisen kun joissain jakeluissa paketit ovat väärin paketoitu.
- /etc/pkcs11/pkcs11.conf
- /etc/pkcs11/modules/*
- /usr/share/pkcs11/modules/*
- ~/.config/pkcs11/pkcs11.conf
- ~/.config/pkcs11/modules/*
/etc/pkcs11/pkcs11.conf globaali asetustiedosto jota ei välttämättä ole olemassa. Oletus merge yhdistää asetukset, mutta aiheuttaa PIN2-tunnusluvun kyselyn kun ainoastaan tunnistaudutaan. Ilmeisesti asetus only on järkevin.
user-config: <none|merge|only>
2017 julkaistujen G3.* sukupolven korttien Oberthur-sirua ei ole tuettu OpenSC:ssä ja siten ainoa mahdollinen module: asetuksen arvo on DigiSign Client ohjelman mukana tuleva libcryptoki.so.
digisign.module
module: /usr/lib64/libcryptoki.so
Koska suomalaisessa henkilökortisssa on useampia varmenteita joista vain ensimmäistä käytetään PKCS11 rajapinnan kautta tunnistamiseen ja nykyiset ohjelmistot eivät osaa erotella sitä muista varmenteista NonRepudiation attribuutin avulla, tulee tunnistuskäytössä ohjelmille tarjota vain kortin ensimmäistä varmennetta käyttäen OpenSC onepin-opensc-pkcs11.so pluginia.
Jos p11-kit on asetettu valmiiksi käyttämään normaalia opensc-pluginia, se tulee samalla kytkeä pois käytöstä halutuilta ohjelmilta.
opensc.module
module: opensc-pkcs11.so disable-in: firefox thunderbird-bin
opensc-onepin.module
module: onepin-opensc-pkcs11.so enable-in: firefox thunderbird-bin
p11-kit ja trust
p11-kit kirjaston työkalut. p11-kit ja trust
% p11-kit list-modules
module: p11-kit-trust
path: /usr/lib64/pkcs11/p11-kit-trust.so
uri: pkcs11:library-description=PKCS%2311%20Kit%20Trust%20Module;library-manufacturer=PKCS%2311%20Kit
library-description: PKCS#11 Kit Trust Module
library-manufacturer: PKCS#11 Kit
library-version: 0.25
token: System Trust
uri: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust
manufacturer: PKCS#11 Kit
model: p11-kit-trust
serial-number: 1
hardware-version: 0.25
flags:
write-protected
token-initialized
token: Default Trust
uri: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=Default%20Trust
manufacturer: PKCS#11 Kit
model: p11-kit-trust
serial-number: 1
hardware-version: 0.25
flags:
write-protected
token-initialized
module: digisign
path: /usr/lib64/libcryptoki.so
uri: pkcs11:library-description=mPollux%20DigiSign%20Client;library-manufacturer=Fujitsu%20Finland%20Oy
library-description: mPollux DigiSign Client
library-manufacturer: Fujitsu Finland Oy
library-version: 0.1
token: HENKILOKORTTI
uri: pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=xxxxxxxxxxxxxxxxxxxxxxxx;token=HENKILOKORTTI
manufacturer: FINEID
model: FINEID S4-1 V3.0
serial-number: xxxxxxxxxxxxxxxxxxxxxxxxxx
hardware-version: 1.0
firmware-version: 1.0
flags:
write-protected
user-pin-initialized
token-initialized
secondary-authentication
token: HENKILOKORTTI (PIN2)
uri: pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=xxxxxxxxxxxxxxxxxxxxxxxxxx;token=HENKILOKORTTI%20%28PIN2%29
manufacturer: FINEID
model: FINEID S4-1 V3.0
serial-number: xxxxxxxxxxxxxxxxxxxxxxxxx
hardware-version: 1.0
firmware-version: 1.0
flags:
write-protected
user-pin-initialized
token-initialized
secondary-authentication
token:
uri: pkcs11:model=Unknown;manufacturer=;serial=;token=
manufacturer:
model: Unknown
serial-number:
hardware-version: 1.0
firmware-version: 1.0
flags:
token: (PIN2)
uri: pkcs11:model=Unknown;manufacturer=;serial=;token=%20%28PIN2%29
manufacturer:
model: Unknown
serial-number:
hardware-version: 1.0
firmware-version: 1.0
flags:
module: opensc
path: /usr/lib64/pkcs11/opensc-pkcs11.so
uri: pkcs11:library-description=OpenSC%20smartcard%20framework;library-manufacturer=OpenSC%20Project
library-description: OpenSC smartcard framework
library-manufacturer: OpenSC Project
library-version: 0.25
token: TUOMALA,JUHA,382... (PIN1)
uri: pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=xxxxxxxxxxx;token=TUOMALA%2CJUHA%2C382...%20%28PIN1%29
manufacturer: IDEMIA
model: PKCS#15 emulated
serial-number: xxxxxxxxxxxx
flags:
write-protected
login-required
user-pin-initialized
token-initialized
token: TUOMALA,JUHA,382... (PIN2)
uri: pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=xxxxxxxxx;token=TUOMALA%2CJUHA%2C382...%20%28PIN2%29
manufacturer: IDEMIA
model: PKCS#15 emulated
serial-number: xxxxxxxxx
flags:
write-protected
login-required
user-pin-initialized
token-initialized
Katso myös
- p11tool ja pcs11-tool voi listata samoja tietoja.
