Ero sivun ”DigiSign Client” versioiden välillä

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun
(36 välissä olevaa versiota 3 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
'''mPollux Digisign Client''' on virallinen [[VRK|Väestörekisterikeskuksen]] teettämä henkilökortin ohjelmistopaketti joka sisältää [[Varmenne|varmenteiden]] hallintatyökaluja ja ajureita käyttöjärjestelmään ja sovelluksiin. Ohjelmiston on tehnyt Fujitsu Oy ja se on saatavilla Windows, Mac OS X ja Linux-jakeluille (SLES, RHEL, Ubuntu). Nimestään huolimatta, ohjelmistolla ei voi käytännössä digitaalisesti [[Allekirjoitus|allekirjoittaa]] sen toteutustavan ja tiedostomuodon puutteen takia.
+
{{DISPLAYTITLE:{{lcfirst:{{PAGENAME}}}}}}
 
+
{{Ohjelma
 +
| nimi=DigiSign Client
 +
| kuva=[[Tiedosto:Digisign.client.logo.png]]
 +
| kuvateksti=
 +
| kuvaus=PIN-koodien vaihtotyökalu
 +
| lisenssi=kaupallinen
 +
| käyttöliittymä=GUI
 +
| kotisivu=[https://dvv.fi/kansalaisvarmenne-kortinlukijaohjelmisto dvv.fi - mPollux Digsign]
 +
}}
 +
{{DISPLAYTITLE:{{lcfirst:{{PAGENAME}}}}}}
 +
'''DigiSign Client''' on virallinen [[Digivirasto|Digiviraston]] teettämä henkilökortin ohjelmistopaketti, joka sisältää [[Varmenne|varmenteiden]] hallintatyökaluja ja ajureita käyttöjärjestelmään ja sovelluksiin. Ohjelmiston on tehnyt Fujitsu Oy (heidän käyttämä nimi ''mpollux Digisign Client'') ja se on saatavilla Windows, Mac OS X ja Linux-jakeluille (SLES, RHEL, Ubuntu). Nimestään huolimatta ohjelmistolla ei voinut käytännössä digitaalisesti [[Allekirjoitus|allekirjoittaa]] mitään pariinkymmeneen ensimmäiseen vuoteen sen olemassaolon aikana, PDF-tiedostojen allekirjoitus on lisätty siihen vasta joulukuussa 2019.
  
 
__TOC__
 
__TOC__
Rivi 6: Rivi 16:
 
== Asennus ==
 
== Asennus ==
 
Asennuspaketit ja ohjeet löytyvät sivulta:
 
Asennuspaketit ja ohjeet löytyvät sivulta:
* [https://eevertti.vrk.fi/Default.aspx?id=247 vrk.fi - Kortinlukijaohjelmisto]
+
* [https://dvv.fi/kansalaisvarmenne-kortinlukijaohjelmisto Digivirasto - Kortinlukijaohjelmisto]
 +
* [https://dvv.fi/kansalaisvarmenne Digivirasto - aktivoi kortti]
 +
* [https://dvv.fi/testaa-varmenteen-kayttoa Digivirasto - testaa varmennetta]
  
 
== Ominaisuudet ==
 
== Ominaisuudet ==
 
* Tunnusluvun tarkistus
 
* Tunnusluvun tarkistus
* pin1 ja pin2 tunnuslukujen vaihto
+
* PIN1- ja PIN2-tunnuslukujen vaihto
 
* Lukkiutuneen kortin avaaminen PUK-tunnusta käyttäen
 
* Lukkiutuneen kortin avaaminen PUK-tunnusta käyttäen
 
* [[CRL|Sulkulistan]] päivitys
 
* [[CRL|Sulkulistan]] päivitys
* Tunnistautuminen selaimen ([[Internet Explorer]], [[Firefox]]) pluginin ([[Cryptoki]]) avulla
+
* Tunnistautuminen selaimen ([[Internet Explorer]], [[Firefox]], [[Safari]]) pluginin ([[Cryptoki]]) avulla
 
* Allekirjoittaminen
 
* Allekirjoittaminen
 +
* [[Validointi|Tarkastaminen]] lataamalla dokumentti Digiviraston tarkastuspalveluun
  
 
== Tunnistautuminen ==
 
== Tunnistautuminen ==
  
Tunnistautuminen vaatii, että kyseinen verkkopalvelu on rakennettu tukemaan väestörekisterikeskuksen henkilökorttia tai [[tunnistus.fi]] tunnistuspalvelua.
+
Tunnistautuminen vaatii, että verkkopalvelu, johon halutaan tunnistautua, tukee väestörekisterikeskuksen henkilökorttia tai [[tunnistus.fi]] tunnistuspalvelua.
  
Tunnistauduttaessa, selain aktivoi kortin lukijalaitteessa ja kysyy pin1-tunnuslukua. Onnistuneen tunnusluvun syötön jälkeen suojattu https-yhteys ([[SSL]]) avataan ja palvelu tietää kuka käyttäjä on.
+
Tunnistauduttaessa selain aktivoi kortin lukijalaitteessa ja kysyy PIN1-tunnuslukua. Onnistuneen tunnusluvun syötön jälkeen suojattu https-yhteys ([[SSL]]) avataan ja palvelu tietää kuka käyttäjä on.
  
Ensimmäisen tunnistamisen jälkeen muihin palveluihin kirjauduttaessa, pin1-tunnuslukua ei kysytä jos korttia ei ole välillä poistettu lukijalaitteesta. Kaikki istunnot tyypillisesti sulkeutuvat jos käyttäjä poistaa kortin lukijalaitteesta.
+
Ensimmäisen tunnistamisen jälkeen muihin palveluihin kirjauduttaessa PIN1-tunnuslukua ei kysytä jos korttia ei ole välillä poistettu lukijalaitteesta. Kaikki istunnot tyypillisesti sulkeutuvat jos käyttäjä poistaa kortin lukijalaitteesta.
  
 
== Allekirjoittaminen ==
 
== Allekirjoittaminen ==
 
''pääartikkeli'': [[Allekirjoitus]]
 
''pääartikkeli'': [[Allekirjoitus]]
  
'''Allekirjoitettaessa digitaalisesti''' tulee käsitellä kaksi asiaa:
+
''mPollux Digisign Client'' nimensä mukaisesti tukee allekirjoittamista. Allekirjoitettava resurssi voi olla omassa laitteessa sijaitseva PDF-tiedosto tai sisältö verkkopalvelussa, jota käytetään web-selaimella.
* allekirjoitus tapahtuu vaihtoehtoisesti:
 
** '''laitteessa''' joka on täysin käyttäjän hallussa (tietokone, tablet)
 
** '''palvelussa''' (web-palvelu, palveluväylä)
 
* allekirjoituksen muoto
 
 
 
 
 
''mPollux Digisign Client'' nimensä mukaisesti tukee allekirjoittamista, mutta vain palvelussa. Ohjelmistopaketin '''mukana ei tule käyttäjän laitteeseen asennettavaa allekirjoitusohjelmaa eikä ohjelmisto myöskään tue tai määrittele tiedostomuotoa''' (allekirjoitettua paperia vastaavaa) joka sisältäisi sekä allekirjoitettavan sisällön ja sitä vastaavan digitaalisen allekirjoituksen.
 
 
 
Allekirjoittaminen on siis mahdollista jos käytettävissä on web-palvelu joka on rakennettu tukemaan mPollux DigiSignin tapaa tehdä digitaalinen allekirjoitus varmenteella. Tiettävästi tälläistä allekirjoitusta tukevaa palvelua ei ole missään tuotantokäytössä<ref name='vrk-allekirjoituslausunto' >''aikanaan kysyttäessä asiaa Väestörekisterikeskuksesta, ei heidän asiantuntijansa ollut itsekkään koskaan tehnyt allekirjoitusta työnantajansa tuottamalla kortilla.''</ref>. Koska palvelu lähettää allekirjoituspyynnön käyttäjälle, ei ole takeita siitä, että kyseinen palvelu olisi rakennettu vastaanottamaan käyttäjän haluamaa allekirjoitettavaa sisältöä - koska tyypilllisesti web-palvelut ovat räätälöityjä. Voisi siis hyvin olla, että yksittäisen palvelun allekirjoitukset liittyäisivät vain palvelun omaan sisältöön.
 
 
 
'''Allekirjoitettaessa käyttäjä ottaa yhteyden web-palveluun ''' joka tukee allekirjoittamista ja valitsee sieltä allekirjoitettavan sisällön. Web-palvelu lähettää sisällöstä [[Tiiviste|tiivisteen]] käyttäjän selaimelle joka välittää sen kortinlukijalle ja kortille - jossa allekirjoitus tapahtuu. Itse allekirjoitus välitetään takaisin web-palveluun joka käsittelee sen kuten palveluun on määritelty.
 
 
 
'''Käyttäjälle ei jää allekirjoituksesta tiedostoa''' kuten [[DigiDoc]] minkä voisi tallentaa itselleen, koska sellaista ei muodosteta missään vaiheessa. Tämä on ongelmallista viitattaessa allekirjoitettuun sisältöön myöhemmin, tällöin tulee aina olla yhteydessä kyseiseen palveluun - joskin ei ole takeita, että kaikki osapuolet näkisivät samaan allekirjoitukseen palvelussa koska todennäköisesti näkyvyys on tiukasti rajattu. Tämä on keskeistä allekirjoituksen kannalta, koska tarkoitus on nimenomaan todistaa sopimus tms jälkikäteen kolmannelle osapuolelle, kuten tuomioistuimelle. Pahimmassa tapauksessa palvelu tuhoutuu tai poistetaan käytöstä, allekirjoittajalla ei ole tähän mitään kontrollia.
 
 
 
'''Käyttäjällä tulee olla luottamus kolmatta osapuolta kohtaan''', koska allekirjoitus tapahtuu aina palvelussa. Allekirjoitettava sisältö paljastuu palvelun omistajalle ja ylläpidolle. Tämä saattaa vähentää mielenkiintoa allekirjoittaa digitaalisesti jos sisältö on luottamuksellista tai arkaluontoista.
 
 
 
Edelläolevista ongelmista johtuen ei ole ihme, että suomalaisella henkilökortilla ei ole sen olemassaolon aikana vuodesta 1999 lähtien tehty digitaalisia allekirjoituksia mPollux ''DigiSign''-ohjelmistolla sen nimestä huolimatta. Tähän saattaa tulla muutos Suomen ja Viron aloittaessa yhteistyön digitalisaatiossa, jonka yhteydessä virolaiseen [[qDigiDoc]]-ohjelmaan (versio 3.10 ja uudemmat) lisättiin tuki Suomen henkilökortille.
 
 
 
== Tuetut määritykset ja järjestelmät ==
 
=== Laitteisto ===
 
* [[CCID]]-määritysten mukaiset kortinlukijat
 
 
 
=== Alikomponentit ===
 
* [[PC/SC]]
 
 
 
=== Korttikäyttöjärjestelmät ===
 
* [[MIOCOS]] 1.1 tai uudempi
 
* [[SetCOS]] 4.3.1, 4.3.2 ja 4.4.1
 
* Gemalto [[EID2048 applet]]
 
* Aventra [[MyEID applet]] for JCOP
 
* Oberthur [[FINEID applet]]
 
* Oberthur [[IAS-ECC]] 1.0.1
 
 
 
=== Kryptograafiset rajapinnat ===
 
* [[CNG]]
 
* [[CryptoAPI]] 2.0
 
* [[PKCS 11]] 2.0.1
 
 
 
=== Kryptograafiset algoritmit ===
 
* [[MD5]], [[SHA]], [[RC-2]], [[DES]], [[3DES]], [[AES]], [[RSA]]
 
 
 
=== Muut rajapinnat ===
 
* DigiSign Toolkit (DLL)
 
* HTTP-rajapinta allekirjoittamiseen
 
* HTTP-rajapinta älykorttien personointiin
 
  
== Dokumentaatio ==
+
Palvelussa allekirjoittaminen on mahdollista, jos palvelu tukee mPollux DigiSignin tapaa tehdä digitaalinen allekirjoitus varmenteella (työasemassa ajettavan paikallisen http-palvelun kautta). Tiettävästi tällaista allekirjoitusta tukevaa julkista palvelua ei ole missään tuotantokäytössä.
* Tekninen kuvaus
 
* Asennus ja käyttöohjeet Windowsille
 
* Asennus ja käyttöohjeet Mac OS X käyttöjärjestelmälle
 
* Asennus ja käyttöohjeet Linux jakeluille
 
  
== Versiot ==
+
== Kritiikkiä ==
* 3.5.5c
+
* Ohjelmisto on kehitetty suljetulla mallilla, eikä sen ongelmista/vioista voi raportoida mihinkään ohjelmistokehityksen normaaleilla käytännöillä. Havaittuja vikoja:
 +
** tunnuslukujen vaihto ei toimi Linuxissa, ominaisuus jonka takia ohjelma olisi kannattanut asentaa ylipäätään.
 +
** ohjelman tekijät eivät ole huomioineet yleisesti käytössä olevaa [[SELinux]]-tietoturvajärjestelmää, mikä aiheuttaa sen, että ohjelma täyttää järjestelmän lokit jatkuvilla virheilmoituksilla.
 +
* Päivityksiä ei toimiteta käyttöjärjestelmien normaaleilla jakelujärjestelmillä, joten ne jäävät usein tekemättä.
  
 
== Katso myös ==
 
== Katso myös ==
 +
* käyttöjärjestelmäkohtaista
 +
** [[Fedora]] repo-tiedosto dnf-käyttöön
 +
** [[Red Hat Enterprise Linux]]
 +
* [[Tekniikka/DigiSign Client]] teknistä tietoa ohjelmistosta
 
* [[OpenSC]]
 
* [[OpenSC]]
  
Rivi 91: Rivi 62:
 
== Aiheesta muualla ==
 
== Aiheesta muualla ==
 
* [https://eevertti.vrk.fi/Default.aspx?id=247 vrk.fi - Kortinlukijaohjelmisto]
 
* [https://eevertti.vrk.fi/Default.aspx?id=247 vrk.fi - Kortinlukijaohjelmisto]
 +
 +
[[Luokka:Allekirjoitus‏‎]]
 +
[[Luokka:Ohjelmat]]

Versio 27. tammikuuta 2022 kello 10.02

DigiSign Client
Digisign.client.logo.png
Kuvaus PIN-koodien vaihtotyökalu
Käyttöliittymä GUI
Lisenssi kaupallinen
Kotisivu dvv.fi - mPollux Digsign

DigiSign Client on virallinen Digiviraston teettämä henkilökortin ohjelmistopaketti, joka sisältää varmenteiden hallintatyökaluja ja ajureita käyttöjärjestelmään ja sovelluksiin. Ohjelmiston on tehnyt Fujitsu Oy (heidän käyttämä nimi mpollux Digisign Client) ja se on saatavilla Windows, Mac OS X ja Linux-jakeluille (SLES, RHEL, Ubuntu). Nimestään huolimatta ohjelmistolla ei voinut käytännössä digitaalisesti allekirjoittaa mitään pariinkymmeneen ensimmäiseen vuoteen sen olemassaolon aikana, PDF-tiedostojen allekirjoitus on lisätty siihen vasta joulukuussa 2019.

Asennus

Asennuspaketit ja ohjeet löytyvät sivulta:

Ominaisuudet

Tunnistautuminen

Tunnistautuminen vaatii, että verkkopalvelu, johon halutaan tunnistautua, tukee väestörekisterikeskuksen henkilökorttia tai tunnistus.fi tunnistuspalvelua.

Tunnistauduttaessa selain aktivoi kortin lukijalaitteessa ja kysyy PIN1-tunnuslukua. Onnistuneen tunnusluvun syötön jälkeen suojattu https-yhteys (SSL) avataan ja palvelu tietää kuka käyttäjä on.

Ensimmäisen tunnistamisen jälkeen muihin palveluihin kirjauduttaessa PIN1-tunnuslukua ei kysytä jos korttia ei ole välillä poistettu lukijalaitteesta. Kaikki istunnot tyypillisesti sulkeutuvat jos käyttäjä poistaa kortin lukijalaitteesta.

Allekirjoittaminen

pääartikkeli: Allekirjoitus

mPollux Digisign Client nimensä mukaisesti tukee allekirjoittamista. Allekirjoitettava resurssi voi olla omassa laitteessa sijaitseva PDF-tiedosto tai sisältö verkkopalvelussa, jota käytetään web-selaimella.

Palvelussa allekirjoittaminen on mahdollista, jos palvelu tukee mPollux DigiSignin tapaa tehdä digitaalinen allekirjoitus varmenteella (työasemassa ajettavan paikallisen http-palvelun kautta). Tiettävästi tällaista allekirjoitusta tukevaa julkista palvelua ei ole missään tuotantokäytössä.

Kritiikkiä

  • Ohjelmisto on kehitetty suljetulla mallilla, eikä sen ongelmista/vioista voi raportoida mihinkään ohjelmistokehityksen normaaleilla käytännöillä. Havaittuja vikoja:
    • tunnuslukujen vaihto ei toimi Linuxissa, ominaisuus jonka takia ohjelma olisi kannattanut asentaa ylipäätään.
    • ohjelman tekijät eivät ole huomioineet yleisesti käytössä olevaa SELinux-tietoturvajärjestelmää, mikä aiheuttaa sen, että ohjelma täyttää järjestelmän lokit jatkuvilla virheilmoituksilla.
  • Päivityksiä ei toimiteta käyttöjärjestelmien normaaleilla jakelujärjestelmillä, joten ne jäävät usein tekemättä.

Katso myös

Lähteet


Aiheesta muualla

Noudettu kohteesta ”http://digisaatio.fi/mediawiki/index.php?title=DigiSign_Client&oldid=8027