Ero sivun ”Fedora” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
p
p
 
(9 välissä olevaa versiota samalta käyttäjältä ei näytetä)
Rivi 1: Rivi 1:
'''Fedora''' ([http://fedoraproject.org fedoraproject.org]) on yksi suosituimmista Linux jakeluista.
+
'''Fedora''' ([http://fedoraproject.org fedoraproject.org]) on [[Red Hat]] yrityksen tekemä, yksi suosituimmista Linux jakeluista. Sen ominaisuuksia on kehityksen uusimpien versioiden integrointi, RPM-paketinhallinta ohjelmistojen asennuksessa ja sitoutuminen avoimiin lisensseihin. Red Hat käyttää Fedoraa ja avoimien ohjelmien yhteisöä hyväkseen kehittääkseen kaupallisesti tuettua [[Red Hat Enterprise Linux|Enterprise Linux]]iaan.
  
  
 
== Kortit ja lukijat ==
 
== Kortit ja lukijat ==
 +
[[Tiedosto:2019-06-11-pkcs-fig1.png|right|500px|thumb|Fedora käyttää uutta p11-kit abstraktiorajapintaa.]]
  
 
Paketteja:
 
Paketteja:
 
* '''pcsc-lite'''
 
* '''pcsc-lite'''
 
* '''opensc'''
 
* '''opensc'''
 +
* '''fineid-ca-certificates''' valtion juurivarmenteet.
 
* '''pcsc-lite-acsccid''' on [[ACS]]-valmistajan [[CCID]]-ajuripaketti.
 
* '''pcsc-lite-acsccid''' on [[ACS]]-valmistajan [[CCID]]-ajuripaketti.
 +
* '''gnome-keyring''' ja '''seahorse''' varmennevarsto GUI
 +
* '''p11-kit'''
 +
* '''crypto-policies'''
 +
 +
Uusien korttien [[ATR]] on listattu joko /usr/share/pcsc/smartcard_list.txt tai /etc/opensc*.conf tiedostossa.
  
 
== DigiSign Client ==
 
== DigiSign Client ==
pääsivu: [[mPollux DigiSign Client]]
+
pääsivu: [[DigiSign Client]]
  
 
Ohjelmapaketti ei ole Digiviraston tukema, mutta [[Red Hat Enterprise Linux]] paketin ('''mpollux-digisign-client-for-vrk''' ''huokaus'') asennus onnistuu nykyisiin Fedora versioihin (2021-02).  
 
Ohjelmapaketti ei ole Digiviraston tukema, mutta [[Red Hat Enterprise Linux]] paketin ('''mpollux-digisign-client-for-vrk''' ''huokaus'') asennus onnistuu nykyisiin Fedora versioihin (2021-02).  
Rivi 26: Rivi 33:
 
  gpgkey=file:///etc/pki/
 
  gpgkey=file:///etc/pki/
 
  skip_if_unavailable=False
 
  skip_if_unavailable=False
 +
 +
DigiSign ohjelman tiedostot ovat ''~/.digisign/'' hakemistossa ja se kirjoittaa logia ''~/.digisign_logs/DigiSignApplication.log'' tiedostoon.
 +
 +
Käynnistysscripti ''/usr/bin/DigiSignApplication'' asentaa joka käynnistyksessä pkcs11-moduulit [[NSS]] ja Mozilla-perheen sovelluksiin.
  
 
Havaintoja:
 
Havaintoja:
 +
* Fedorassa p11-kit on nykyään pkcs11-rajapinta sovelluksissa ja Digisign Client on konfliktissa sen kanssa.
 
* pin2-tunnusluvun vaihto ei toimi (2015-10, 2021-02)
 
* pin2-tunnusluvun vaihto ei toimi (2015-10, 2021-02)
 
* PUK-koodin käyttö ei toimi, tulee ''Information: '''Change the PIN before using card!''''' virhe. (2021-02)
 
* PUK-koodin käyttö ei toimi, tulee ''Information: '''Change the PIN before using card!''''' virhe. (2021-02)
Rivi 35: Rivi 47:
 
== p11-kit ja fedora > 29 ==
 
== p11-kit ja fedora > 29 ==
  
'''Fedora 29''' ja uudemmat vetävät työpöydälle riippuvaisuuksien mukana [[p11-kit]] paketin jonka mukana tulee p11-kit-proxy.so, joka myös asennetaan automaattisesti [[Firefox]]-selaimeen. Kyseinen pluginin tarkoitus on toimia jonkinsortin abstraktiona eri varmennevarastoille, mutta ainakaan oletuksena se ei toimi oikein koska se ei kunnioita varmenteiden [[NonRepudiation]] lippuja ja siten vaatii yksinkertaisella tunnistamisella kaikille lyötämilleen - myös tapahtumaan liittymättymättömille varmenteille PIN-tunnusluvut.
+
'''Fedora 29''' ja uudemmat vetävät työpöydälle riippuvaisuuksien mukana [[p11-kit]] paketin jonka mukana tulee p11-kit-proxy.so, joka myös asennetaan automaattisesti mm [[Firefox]]-selaimeen joka käynnistämisen yhteydessä. Jos sen poistaa, Fedoran [https://gitlab.com/redhat-crypto/fedora-crypto-policies crypto-policy] asettaa sen uudelleen paikalleen. Kokeilut ovat osoittaneet Digiviraston [[DigiSign Client]] ja p11-kit-proxy.so olevan konfliktissa keskenään varsinkin jos p11-kit:ssä on useita varmennelaitteita. Vaikka ne kaikki asettelee oikein toimimaan p11-kit rajapinnan kautta kuten pitääkin, ne eivät toimi yhdessä. Ainoa vaihtoehto on poistaa koko p11-kit Firefoxista ja asetella se käyttämään pkcs11-plugineita suoraan (jumitus ilmeisesti tapahtuu p11-kit rajapinnassa).
  
Paketin riippuvuussotku on sellainen himmeli, että ennen kuin asia korjataan asianmukaisella tavalla, järkevintä on poistaa koko plugin komennolla:
+
Alkuun tulee estää p11-kit-proxy pluginin latautuminen. Tämän voi tehdä käynnistämällä Firefox aina scriptillä:
  # rm -rf /usr/lib64/p11-kit-proxy.so
+
  #!/bin/sh
 +
 +
# This prevents p11-kit-proxy.so autoconfiguration.
 +
# https://gitlab.com/redhat-crypto/fedora-crypto-policies/-/blob/master/update-crypto-policies.8.txt
 +
 +
NSS_IGNORE_SYSTEM_POLICY=1 /usr/bin/firefox
  
jos sitä ei tarvitse mihinkään kyseisessä laittesssa. Selaimen uudelleenkäynnistymisen yhteydessä normaali toiminta palautuu.
+
ja tallentamalla se tiedostoon hakemistossa joka on käyttäjän $PATH muuttujan listassa ennen /usr/bin hakemistoa. Jos sellaista ei ole, se tulee lisätä. Tämän jälkeen jokainen PKCS11 moduli tulee ladata erikseen Firefoxiin kuten ennen.
  
 
Aiheesta muualla:
 
Aiheesta muualla:
Rivi 50: Rivi 67:
  
  
== ATR ==
 
 
Uusien korttien [[ATR]] on listattu joko /usr/share/pcsc/smartcard_list.txt tai /etc/opensc*.conf tiedostossa.
 
  
  

Nykyinen versio 25. maaliskuuta 2024 kello 13.26

Fedora (fedoraproject.org) on Red Hat yrityksen tekemä, yksi suosituimmista Linux jakeluista. Sen ominaisuuksia on kehityksen uusimpien versioiden integrointi, RPM-paketinhallinta ohjelmistojen asennuksessa ja sitoutuminen avoimiin lisensseihin. Red Hat käyttää Fedoraa ja avoimien ohjelmien yhteisöä hyväkseen kehittääkseen kaupallisesti tuettua Enterprise Linuxiaan.


Kortit ja lukijat

Fedora käyttää uutta p11-kit abstraktiorajapintaa.

Paketteja:

  • pcsc-lite
  • opensc
  • fineid-ca-certificates valtion juurivarmenteet.
  • pcsc-lite-acsccid on ACS-valmistajan CCID-ajuripaketti.
  • gnome-keyring ja seahorse varmennevarsto GUI
  • p11-kit
  • crypto-policies

Uusien korttien ATR on listattu joko /usr/share/pcsc/smartcard_list.txt tai /etc/opensc*.conf tiedostossa.

DigiSign Client

pääsivu: DigiSign Client

Ohjelmapaketti ei ole Digiviraston tukema, mutta Red Hat Enterprise Linux paketin (mpollux-digisign-client-for-vrk huokaus) asennus onnistuu nykyisiin Fedora versioihin (2021-02).

On pyydetty, että laittaisivat päivitykset repoon, mutta virkamiehiä ei kiinnostanut, joten jokainen voi sitten laittaa Fedoraan allaolevan. Uusia versioita voi ilmoitella digivirasto@digivirasto.fi osoitteeseen :) Tehdään release-file myöhemmin.

[digivirasto]
name=Digivirasto for Fedora $releasever - $basearch
failovermethod=priority
baseurl=http://digivirasto.fi/repositories/fedora/$releasever/$basearch/
enabled=1
cost=200
metadata_expire=7d
gpgcheck=0
gpgkey=file:///etc/pki/
skip_if_unavailable=False

DigiSign ohjelman tiedostot ovat ~/.digisign/ hakemistossa ja se kirjoittaa logia ~/.digisign_logs/DigiSignApplication.log tiedostoon.

Käynnistysscripti /usr/bin/DigiSignApplication asentaa joka käynnistyksessä pkcs11-moduulit NSS ja Mozilla-perheen sovelluksiin.

Havaintoja:

  • Fedorassa p11-kit on nykyään pkcs11-rajapinta sovelluksissa ja Digisign Client on konfliktissa sen kanssa.
  • pin2-tunnusluvun vaihto ei toimi (2015-10, 2021-02)
  • PUK-koodin käyttö ei toimi, tulee Information: Change the PIN before using card! virhe. (2021-02)
  • ohjelman nimi on omituinen, väärin käytäntöjä
  • käyttöohjeessa on virheitä lähes joka kappaleessa. Tekijä ja ohjelman tilaaja ei ilmeisesti tunne käyttöjärjestelmää ollenkaan.

p11-kit ja fedora > 29

Fedora 29 ja uudemmat vetävät työpöydälle riippuvaisuuksien mukana p11-kit paketin jonka mukana tulee p11-kit-proxy.so, joka myös asennetaan automaattisesti mm Firefox-selaimeen joka käynnistämisen yhteydessä. Jos sen poistaa, Fedoran crypto-policy asettaa sen uudelleen paikalleen. Kokeilut ovat osoittaneet Digiviraston DigiSign Client ja p11-kit-proxy.so olevan konfliktissa keskenään varsinkin jos p11-kit:ssä on useita varmennelaitteita. Vaikka ne kaikki asettelee oikein toimimaan p11-kit rajapinnan kautta kuten pitääkin, ne eivät toimi yhdessä. Ainoa vaihtoehto on poistaa koko p11-kit Firefoxista ja asetella se käyttämään pkcs11-plugineita suoraan (jumitus ilmeisesti tapahtuu p11-kit rajapinnassa).

Alkuun tulee estää p11-kit-proxy pluginin latautuminen. Tämän voi tehdä käynnistämällä Firefox aina scriptillä:

#!/bin/sh

# This prevents p11-kit-proxy.so autoconfiguration.
# https://gitlab.com/redhat-crypto/fedora-crypto-policies/-/blob/master/update-crypto-policies.8.txt

NSS_IGNORE_SYSTEM_POLICY=1 /usr/bin/firefox

ja tallentamalla se tiedostoon hakemistossa joka on käyttäjän $PATH muuttujan listassa ennen /usr/bin hakemistoa. Jos sellaista ei ole, se tulee lisätä. Tämän jälkeen jokainen PKCS11 moduli tulee ladata erikseen Firefoxiin kuten ennen.

Aiheesta muualla:

Selaimen allekirjoitustuki

NPAPI:a käyttävä Firefox Token Signing plugin (npesteid-firefox-plugin.so) löytyy firefox-esteid-plugin RPM-paketista.



Katso myös