P11-kit

Kohteesta DigiWiki
Siirry navigaatioon Siirry hakuun

p11-kit on abstraktiorajapinta eri PKCS#11-plugineiden ja niitä käyttävien ohjelmien välissä mahdollisten älykorttituen lisäämisen automaattisesti niitä tukeviin ohjelmiin ja niiden asetusten asttamisen yhdessä keskitetyssä paikassa. p11-kit siten korvaa sovelluksessa yksittäiset PKCS#11-pluginit.


Asetukset

Asetustiedostoja on monessa paikassa ja niillä on prioriteettijärjestys. Modules hakemistoissa sijaitsee eri PKCS#11-pluginien asetuksia. Käytännössä kannattaa laittaa kaikki muutokset kotihakemistoon jolla välttyy niiden ylikirjoittamisen kun joissain jakeluissa paketit ovat väärin paketoitu.

  • /etc/pkcs11/pkcs11.conf
  • /etc/pkcs11/modules/*
  • /usr/share/pkcs11/modules/*
  • ~/.config/pkcs11/pkcs11.conf
  • ~/.config/pkcs11/modules/*


/etc/pkcs11/pkcs11.conf globaali asetustiedosto jota ei välttämättä ole olemassa. Oletus merge yhdistää asetukset, mutta aiheuttaa PIN2-tunnusluvun kyselyn kun ainoastaan tunnistaudutaan. Ilmeisesti asetus only on järkevin.

user-config: <none|merge|only>

2017 julkaistujen G3.* sukupolven korttien Oberthur-sirua ei ole tuettu OpenSC:ssä ja siten ainoa mahdollinen module: asetuksen arvo on DigiSign Client ohjelman mukana tuleva libcryptoki.so.

digisign.module

 module: /usr/lib64/libcryptoki.so

Koska suomalaisessa henkilökortisssa on useampia varmenteita joista vain ensimmäistä käytetään PKCS11 rajapinnan kautta tunnistamiseen ja nykyiset ohjelmistot eivät osaa erotella sitä muista varmenteista NonRepudiation attribuutin avulla, tulee tunnistuskäytössä ohjelmille tarjota vain kortin ensimmäistä varmennetta käyttäen OpenSC onepin-opensc-pkcs11.so pluginia.

Jos p11-kit on asetettu valmiiksi käyttämään normaalia opensc-pluginia, se tulee samalla kytkeä pois käytöstä halutuilta ohjelmilta.

opensc.module

 module: opensc-pkcs11.so
 disable-in: firefox thunderbird-bin

opensc-onepin.module

 module: onepin-opensc-pkcs11.so
 enable-in: firefox thunderbird-bin

Listaus

Rippuen järjestemästä listaus näyttää varmenteiden NSS-urlit.

% p11tool --list-all
pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=System%20Trust
pkcs11:model=p11-kit-trust;manufacturer=PKCS%2311%20Kit;serial=1;token=Default%20Trust
pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=4600015443498160;token=HENKILOKORTTI
pkcs11:model=FINEID%20S4-1%20V3.0;manufacturer=FINEID;serial=4600015443498160;token=HENKILOKORTTI%20%28PIN2%29
pkcs11:model=Unknown;manufacturer=;serial=;token=
pkcs11:model=Unknown;manufacturer=;serial=;token=%20%28PIN2%29
pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=EB0530760;token=TUOMALA%2CJUHA%20MATTI%2C372...%20%28PIN1%29
pkcs11:model=PKCS%2315%20emulated;manufacturer=IDEMIA;serial=EB0530760;token=TUOMALA%2CJUHA%20MATTI%2C372...%20%28PIN2%29

Aiheesta muualla