P11-kit
p11-kit on abstraktiorajapinta eri PKCS#11-plugineiden ja niitä käyttävien ohjelmien välissä mahdollisten älykorttituen lisäämisen automaattisesti niitä tukeviin ohjelmiin ja niiden asetusten asttamisen yhdessä keskitetyssä paikassa. p11-kit siten korvaa sovelluksessa yksittäiset PKCS#11-pluginit.
Sisällysluettelo
Asetukset
Asetustiedostoja on monessa paikassa ja niillä on prioriteettijärjestys. Modules hakemistoissa sijaitsee eri PKCS#11-pluginien asetuksia. Käytännössä kannattaa laittaa kaikki muutokset kotihakemistoon jolla välttyy niiden ylikirjoittamisen kun joissain jakeluissa paketit ovat väärin paketoitu.
- /etc/pkcs11/pkcs11.conf
- /etc/pkcs11/modules/*
- /usr/share/pkcs11/modules/*
- ~/.config/pkcs11/pkcs11.conf
- ~/.config/pkcs11/modules/*
/etc/pkcs11/pkcs11.conf globaali asetustiedosto jota ei välttämättä ole olemassa. Oletus merge yhdistää asetukset, mutta aiheuttaa PIN2-tunnusluvun kyselyn kun ainoastaan tunnistaudutaan. Ilmeisesti asetus only on järkevin.
user-config: <none|merge|only>
2017 julkaistujen G3.* sukupolven korttien Oberthur-sirua ei ole tuettu OpenSC:ssä ja siten ainoa mahdollinen module: asetuksen arvo on DigiSign Client ohjelman mukana tuleva libcryptoki.so.
digisign.module
module: /usr/lib64/libcryptoki.so
Koska suomalaisessa henkilökortisssa on useampia varmenteita joista vain ensimmäistä käytetään PKCS11 rajapinnan kautta tunnistamiseen ja nykyiset ohjelmistot eivät osaa erotella sitä muista varmenteista NonRepudiation attribuutin avulla, tulee tunnistuskäytössä ohjelmille tarjota vain kortin ensimmäistä varmennetta käyttäen OpenSC onepin-opensc-pkcs11.so pluginia.
Jos p11-kit on asetettu valmiiksi käyttämään normaalia opensc-pluginia, se tulee samalla kytkeä pois käytöstä halutuilta ohjelmilta.
opensc.module
module: opensc-pkcs11.so disable-in: firefox thunderbird-bin
opensc-onepin.module
module: onepin-opensc-pkcs11.so enable-in: firefox thunderbird-bin
Samassa modulessa ei saa käyttää enable-in ja disable-in yhtä aikaa.
p11-kit ja trust
p11-kit kirjaston työkalut. p11-kit ja trust
% p11-kit list-modules module: p11-kit-trust path: /usr/lib64/pkcs11/p11-kit-trust.so uri: pkcs11:library-description=PKCS%2311%20Kit%20Trust%20Module;library-manufacturer=PKCS%2311%20Kit library-description: PKCS#11 Kit Trust Module library-manufacturer: PKCS#11 Kit library-version: 0.25 token: System Trust uri: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust manufacturer: PKCS#11 Kit model: p11-kit-trust serial-number: 1 hardware-version: 0.25 flags: write-protected token-initialized token: Default Trust uri: pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=Default%20Trust manufacturer: PKCS#11 Kit model: p11-kit-trust serial-number: 1 hardware-version: 0.25 flags: write-protected token-initialized module: digisign path: /usr/lib64/libcryptoki.so uri: pkcs11:library-description=mPollux%20DigiSign%20Client;library-manufacturer=Fujitsu%20Finland%20Oy library-description: mPollux DigiSign Client library-manufacturer: Fujitsu Finland Oy library-version: 0.1 token: HENKILOKORTTI uri: pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=xxxxxxxxxxxxxxxxxxxxxxxx;token=HENKILOKORTTI manufacturer: FINEID model: FINEID S4-1 V3.0 serial-number: xxxxxxxxxxxxxxxxxxxxxxxxxx hardware-version: 1.0 firmware-version: 1.0 flags: write-protected user-pin-initialized token-initialized secondary-authentication token: HENKILOKORTTI (PIN2) uri: pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=xxxxxxxxxxxxxxxxxxxxxxxxxx;token=HENKILOKORTTI%20%28PIN2%29 manufacturer: FINEID model: FINEID S4-1 V3.0 serial-number: xxxxxxxxxxxxxxxxxxxxxxxxx hardware-version: 1.0 firmware-version: 1.0 flags: write-protected user-pin-initialized token-initialized secondary-authentication token: uri: pkcs11:model=Unknown;manufacturer=;serial=;token= manufacturer: model: Unknown serial-number: hardware-version: 1.0 firmware-version: 1.0 flags: token: (PIN2) uri: pkcs11:model=Unknown;manufacturer=;serial=;token=%20%28PIN2%29 manufacturer: model: Unknown serial-number: hardware-version: 1.0 firmware-version: 1.0 flags: module: opensc path: /usr/lib64/pkcs11/opensc-pkcs11.so uri: pkcs11:library-description=OpenSC%20smartcard%20framework;library-manufacturer=OpenSC%20Project library-description: OpenSC smartcard framework library-manufacturer: OpenSC Project library-version: 0.25 token: TUOMALA,JUHA,382... (PIN1) uri: pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=xxxxxxxxxxx;token=TUOMALA%2CJUHA%2C382...%20%28PIN1%29 manufacturer: IDEMIA model: PKCS#15 emulated serial-number: xxxxxxxxxxxx flags: write-protected login-required user-pin-initialized token-initialized token: TUOMALA,JUHA,382... (PIN2) uri: pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=xxxxxxxxx;token=TUOMALA%2CJUHA%2C382...%20%28PIN2%29 manufacturer: IDEMIA model: PKCS#15 emulated serial-number: xxxxxxxxx flags: write-protected login-required user-pin-initialized token-initialized
Katso myös
- p11tool, pkcs11-tool, pkcs15-tool ja modutil komennoilla voi listata samoja tietoja.