Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
ID-kaardist 100%
1. ID-kaardist 100%
Tartu 2009
Martin Paljak / martin.paljak.pri.ee
1
2. ID-kaart ja selle infrastruktuur on kõige
odavam ja kõige turvalisem kohe kasutatav
vahend Eesti IT lahenduste turvamisel.
2
3. Kes?
• Vabavaralise kiipkaarditarkvara torkija
aastast 2003
• OpenSC - OSS Eesti ID-kaardi draiver
• Pinpadi tugi OSS softis
• Võib sõimata, et mõnel platvormil kaart nii
niglalt töötab või tänada, et mõnel üldse
töötab.
3
4. Millest jutt?
• “Mida peaks iga (ID-kaardi) tarkvara arendaja
teadma ID-kaardi tarkvara komponentidest”
• Mis on ID-kaardil
• Kuidas kaardil olev jõuab rakendustesse
• Mida tuntud ja vähemtuntud rakendused
teevad
• Kuidas (vähemtuntud) tarkvara ID-kaardiga
räägib
4
5. Mis on kaardil
• Isikuandmete fail (ebahuvitav)
• 2x kaardil genereeritud 1024b RSA salajast võtit
“2346267345273468354127346981236459182213847619283469183764596723817263871623871263871638612387615”
• 2x X509 sertifikaati, Sertifitseerimiskeskusest
Võti “Martin Paljak, 38207162722, martin.paljak@eesti.ee”
• 2x PIN koodi (4/5..12 märki)
• 1x PUK kood (8..12 märki)
5
14. “ID-kaardil olevaid RSA võtmeid on
mõninga vaevaga võimalik kasutada
paljudes rakendustes, mis tegelevad RSA
võtmetega ja sellega parandada
süsteemi turvalisust”
7
18. Kust saab
• https://id.eesti.ee/trac - uus ja roosa;
ametlik OSS
• http://installer.id.ee - vana ja kärav; ametlik
• http://ideelabor.ee/id-kaart - vana ja
alternatiivne, OSS
11
19. Windows
Firefox Explorer
Plugin Plugin
Thunderbird
DigiDoc Outlook
Utiliit
PKCS#11 CryptoAPI
OpenSC BaseCSP
minidraiver cardlib
CT-API
PC/SC
CCID IFDHandler
Reader Reader
12
21. Mac OS X
Firefox Safari
Plugin Plugin
Thunderbird
DigiDoc Mail.app Utiliit
CDSA
PKCS#11
Securityd Cardlib
OpenSC
Tokend
PC/SC
CCID IFDHandler
Reader Reader
14
22. Tähelepanekuid
• Windows ja Mac püüavad pakkuda
kõrgemaid API-sid
• Ainus universaalne API on PKCS#11
• Iga veebilehe omanik võib enda
allkirjastamise plugina välja mõelda
15
23. Tähelepanekud 2
• Jalgratast pole mõtet leiutada, kasutada on
krüpteteegid ja API-d
• Mitte kõikide teekide autorid pole mõelnud
kiipkaardiga suhtlemisele (OpenSSL)
16
27. • Standard: autentimisvõtit SSL/TLS
ühenduse autentimisel
• Kehtib kogu brauseris realiseeritud X509
ja PKI kupatus
19
28. • Standard: autentimisvõtit SSL/TLS
ühenduse autentimisel
• Kehtib kogu brauseris realiseeritud X509
ja PKI kupatus
• Custom: allkirjavõtit (mingi dokumendi)
räsi allkirjastamiseks.
• Tehniline vidin allkirja kätte saamiseks
veebilehe kaudu
19
29. • Internet Explorer: CryptoAPI
• Firefox: PKCS#11
• Safari: CDSA/Keychain
• Google Chrome: CryptoAPI ja ... ?
• Opera: tutkit
20
31. • Standard: S/MIME kaudu e-mailide
krüpteerimisel ja signeerimisel
autentimisvõtmega
• See EI OLE digiallkiri
• Standard: SSL/TLS IMAP/POP3 jaoks
• Kah standard?: PGP abil e-mailide
krüpteerimist ja signeerimist
autentimisvõtmega
22
48. SSH: Linux (Ubuntu)
• PKCS#11 patch OpenSSH jaoks
• Originaal http://www.openssh.org
• Patch:
http://sites.google.com/site/alonbarlev/openssh-pkcs11
• Combo:
http://martin.paljak.pri.ee/download/openssh-pkcs11.tar.gz
37
49. Paigaldamine:
$ sudo apt-get install libpkcs11-helper1-dev libssl-dev build-essential
$ wget http://martin.paljak.pri.ee/download/openssh-pkcs11.tar.gz
$ tar xzvf openssh-pkcs11.tar.gz
$ ./configure --with-pkcs11 && make && sudo make install
### OpenSSH konfimisel on palju teisi võtmeid samuti
38
56. Ära krüpti ID-kaardiga
• Kui kaarti ei saa kasutada, ei saa andmetele
ligi
• Krüptimiseks kasutada varundatavaid
võtmeid
45
57. OpenVPN
• OpenVPN toetab PKCS#11 mooduleid
• Võimalusi on väga palju.
• $ openvpn --show-pkcs11-ids /usr/lib/onepin-opensc-pkcs11.so
46
58. Veel tarkvara
• engine_pkcs11 - võimalik oelmasolev
OpenSSL tarkvara panna kasutama ID-
kaardi võtmeid väikese vaevaga
• pam_pkcs11 - võimalik ligipääsu Linux
masinatele kontrollida ID-kaardi võtmetega
• gnupg-pkcs11-scd - võimalik PKCS#11
kaudu kasutada ID-kaardi võtmeid GnuPG
PGP lahenduses
47
60. Veel tarkvara 2
• GnuTLS - PKCS#11 toega teek.
• cURL - ID-kaardi toega; arendajatele
• Hea allikas:
http://sites.google.com/site/alonbarlev/open-source
• Alon Bar-Lev, OpenSC dev
49
61. reklaam: OpenID.ee
• Võimalik kasutajaid identifitseerida ja
autentida ID-kaardi ja mobiil-ID kaudu ilma
HTTPS-ita, ilma paroolideta.
• 80/20 reegel: kapakohila koerafoorum ja
veel 80% veebidest ei vaja HTTPS-i ega
jaksa realiseerida mID tuge
• OpenID tugi paljudes veebilahendustes
kohe olemas: Wordpress, Drupal, Joomla jne
50