semnaturile digitale si Linuxul – partea 1

Ha, aparent a mers mult mai usor decat ma asteptam. Am zis ca spun ceva despre teorie, dar din cauza ca n-am avut rabdare sa citesc "pe sec", dau ceva detalii despre ce si cum am descoperit pana acum si poate imi fac timp si de partea academica. A se nota ca am Debian testing (aka. Squeeze) 32bit pe laptop.

La conectarea "utilajului" intr-un port USB, e vazut ca "Bus 005 Device 009: ID 0529:0600 Aladdin Knowledge Systems eToken Pro 64k (4.2)". M-am uitat rapid prin aptitude sa vad ce am prin sistem legat de pkcs11 sau smartcards, aparent era doar libpcsclite1 (dependinta a lui wpasupplicant, relativ ciudat). Aveam niste soafte primite de la Digisign, dar am zis ca sa fac un minim efort sa vad cum ma scot "default" fara ele. N-am obtinut mare lucru in afara de site-ul http://www.etokenonlinux.org/ (unde sunt tot felul de informatii cool, dar revin mai tarziu).

Eh, mi-am luat inima in dinti si am instalat din bundle-ul primit pachetul pkiclient (versiunea 5.0 SP1, build 59, pentru Ubuntu, dar nici pe Debian n-are nici o greata). Ca o paranteza, lintian pkiclient*deb a dat 2003 linii de output, iar scriptul de postinstall e cam din topor, as fi curios in ce masura cei de la Alladdin ar fi dispusi sa-l aduca mai la normal. Respectivul pachet depinde de libqt4-core, libqt4-gui si pcscd. Primele doua sunt cauzate de clientul clica-clica scris in QT (care e dragut, nu zic nu, arata fix ca interfata de Windows care mi-a fost prezentata), pcscd e "middleware-ul". Am mai instalat si opensc si pcsc-tools pentru diverse utilitare pe care le-am gasit "pe net". Din cate m-am prins pana acum obiectul cel mai important din toata tarasenia asta e /usr/lib/libeTPkcs11.so (instalat de catre pachetul de la Alladdin) care este modulul de acces cu care se leaga toate aplicatiile (gen pkcs11-tool --module=/usr/lib/libeTPkcs11.so --alti --parametri), care la randul lui discuta cu pcscd pe care probabil il informeaza cum sa vorbeasca cu device-ul.

M-am dat putin cu opensc-explorer pe device (si n-am inteles nimic din DF-urile si EF-urile alea), dar ce am rezolvat deocamdata a fost sa conving pe dl. Firefox (ma rog, Iceweasel) sa incarce certificatul de acolo, asa ca imi inchei sesiunea de azi cu ceva util:

* Edit -> Preferences ->Advanced -> Encryption
* Security Devices -> Load
* se alege un nume pt. device si i se da calea catre .so-ul minune (aici am constatat ca e cu acces exclusiv, aveam deschis opensc-explorer si dialogul ala a ramas inghetat pana am iesit de pe card)
* va aparea in partea stanga a device managerului va aparea, pe langa "NSS Internal PKCS#11 Module" si "Builtin Roots Module" si tokenul cu numele dat, si sub el toate certificatele (aparent are 6 sloturi, si le pot folosi pe celelalte 5, dar asta in alt episod)
* daca dai click pe token, se activeaza butonul de "login", si poti introduce PIN-ul (desi s-ar putea sa ti-l ceara cand are nevoie de certificat, sa zicem ai autentificare cu certificate client pe undeva)

Am dat exemplul cu FF pentru ca n-am instalat Thunderbird si nici n-am chef deocamdata sa-mi pun, am vazut demonstratie cu el in seara asta cum se poate folosi tokenul pentru semnare cu S/MIME.

Bun, deci pasul principal l-am facut: tokenul si certificatul de pe el par utilizabile bine-mersi in linux. Acu sa vedem daca il putem folosi si la ceva concret...

Comments are closed.