Asmens tapatybės kortelė ir elektroninis parašas

2015 m. lapkričio 10 d. (straipsnis taisytas: 2017 m. rugpjūčio 17 d.)

Nuo 2009 m. pradžios Lietuvos Respublikos piliečiams yra išduodamos lustinės asmens tapatybės kortelės, kurios greta savo įprastinės paskirties gali būti naudojamos kaip elektroninio parašo kūrimo priemonė. Norint naudoti asmens tapatybės kortelę ar valstybės tarnautojo pažymėjimą elektroninių dokumentų pasirašymui elektroniniu parašu, visų pirma, reikia įsigyti kortelės skaitytuvą su CCID palaikymu. Linux palaikomų įrenginių ieškokite, pavyzdžiui: bendroje informacijoje, PCSC palaikomų pagrindiniame ir papildomame sąraše…

mygtuką spustelėję paruošite openSUSE Linux sistemą naudotis tapatybės kortele, kuri išduota tiek iki 2012 m. liepos 4 d., tiek ir po šios datos. Šiuo paketu įdiegiate liudijimus (CRT rinkmenas iš VRM svetainės), antros versijos ccs RPM paketą (CryptoCard Suite 2.00 yra naujesnė CryptoTech kompanijos pasiūlyta versija nei siūloma 1.50 versija iš VRM svetainės), PCSC (bei OpenSC) paketus skaitytuvams, kelis papildomus paketus konfigūracijai atlikti. Pabaigus diegti, iš naujo paleiskite darbalaukio aplinką (arba tiesiog iš naujo paleiskite kompiuterį). Po to galėsite praktiškai iš bet kurios interneto naršyklės (įskaitant Mozilla Firefox, Chromium, Chrome, SeaMonkey) prisijungti su savo tapatybės kortele prie SoDros, Registrų centro, Elektroninių valdžios vartų, Swedbank… Tiesa, kai kurios mažiau populiarios naršyklės panašu, kad nepalaiko šios funkcijos (pvz., Konqueror).

Papildymas: nuo 2017 metų kovo prisijungti prie SODROS ir kitų valstybinių įstaigų svetainių galėsite tik papildomai įsidiegę signa-browser-ext RPM paketą iš SignaBrowserExt_Linux.zip archyvo. Poreikis naudoti šį paketą iš dalies susijęs su tuo, kad šiuolaikinės naršyklės jau nustojo palaikyti NPAPI tipo papildinius (įskaitant JAVA). Daugiau informacijos straipsnelyje Asmens tapatybės kortelė ir elektroninis parašas: naršyklėje su JAVA (atnaujinta).

Beje, iki 2012 m. liepos 4 d. išduotoms tapatybės kortelėms su Gemalto MultiApp ID Core Technology (greičiausiai Gemalto IDGo 300) sistema VRM nebepateikia Classic Client programinės įrangos Linux sistemoms. Tačiau vienoje lietuviškoje svetainėje pavyko rasti PDF dokumentą, kuriame išliko nuoroda į anksčiau platintą Gem Safe 5 (Middleware for Gemalto Sealys Multi App ID Classic Client 5) versiją Linux sistemoms. Tai yra libclassicclient RPM paketas, kurio pagrindinė biblioteka yra /usr/lib/ClassicClient/libgclib.so (lygiai kaip ir šiame, šiame ir šiame šaltinyje). Internete pavyko rasti, kad naujesnę šios bibliotekos versiją pateikia LuxTrust Middleware RPM paketai, sukurti specialiai openSUSE 32 ir 64 bitų versijoms (tame pačiame puslapyje rasite Fedora ir Debian paketus). Panašu, kad Gemalto kortelių, kaip ir CryptoTech, įranga suderinama su PCSC. Vis tik neturiu Gemalto tapatybės kortelės, tad negaliu patikrinti…

Toliau pateiksiu aprašus, kaip reiktų tvarkytis, jei diegtumėte paketus ir konfigūruotumėte savarankiškai (t.y. jei nesinaudotumėte „Diegti tuoj pat“ nuoroda).

Jei diegtumėte vien tik pliką ccs paketą, tuomet nepaisykite įspėjimo, kad trūksta pcsc-lite-libs paketo, kadangi openSUSE sistemoje jo turinį pateikia kiti paketai (pscs-lite, libpcsclite1).

Norėdami patys įtraukti CryptoCard Suite į Mozilla Firefox, SeaMonkey naršykles, įeikite į nuostatas, pasirinkite kortelę „Kitkas“, „Liudijimai“, „Saugumo priemonės“, paspauskite „Įkelti“, moduliui suteikite unikalų vardą ir nurodykite /usr/lib/ccs/libccpkip11.so biblioteką naujoms (CryptoTech) tapatybės kortelėms (arba /usr/lib/ClassicClient/libgclib.so senoms (Gemalto) tapatybės kortelės).

Įdomu, kad pakako įdiegti vien tik ccs ir PCSC (pirmiausia pcsc-lite, pcsc-ccid) paketus tam, kad galėčiau prisijungti prie Sodros.

Skirtingose naršyklėse naudojama kiek skirtinga sistema, tačiau yra galimybė nurodyti naršyklėms naudotis ta pačia NSS duomenų baze ir tokiu būdu sukonfigūruoti daugumą programų iš karto. Tam reikia modutil programos iš mozilla-nss-tools paketo. Norėdami savo naudotojo programoms priskirti naująjį priedą, įvykdytume:

modutil -dbdir sql:$HOME/.pki/nssdb/ -add “CryptoCard PCSC 11” -libfile /usr/lib/ccs/libccpkip11.so -force;
modutil -dbdir sql:$HOME/.pki/nssdb/ -enable “CryptoCard PCSC 11” -force ;

Tam, kad įvairios programos iš tikrųjų naudotų šią duomenų bazę, įvykdome (poveikis bus tik naudotojui iš naujo prisijungus darbalaukio aplinkoje, išskyrus Chromium/Chrome naršykles, kurios numatytuoju atveju šią duombazę ir naudoja):

echo “export NSS_SHARED_DB_PATH=$HOME/.pki/nssdb” » $HOME/.bashrc ;
echo “export NSS_USE_SHARED_DB=1” » $HOME/.bashrc ;

Yra galimybė visiems kompiuterio naudotojams nurodyti vieną ir tą pačią /etc/pki/nssdb/ SQL duomenų bazę, tačiau tam reikia administratoriaus teisių, o prieš tai dar reiktų įdiegti mozilla-nss-sysinit RPM paketą. Tada vykdytume:

modutil -dbdir sql:/etc/pki/nssdb/ -add “CryptoCard PCSC 11 modulis root” -libfile /usr/lib/ccs/libccpkip11.so -force
modutil modutil -dbdir sql:/etc/pki/nssdb/ -enable “CryptoCard PCSC 11 modulis root” -force
echo “export NSS_USE_SHARED_DB=1” » /etc/profile

Dėmesio! Rinkitės tik vieną iš dviejų alternatyvų (arba $HOME/.pki/nssdb/, arba /etc/pki/nssdb/), o jei renkatės antrąją – tuomet NSS_SHARED_DB_PATH kintamojo neeksportuokite, nes /etc/pki/nssdb/ reikšmė yra numatytoji.

Vis tik jungimuisi prie Swedbank tiek nepakanka:

būtinai reikėjo įtraukti liudijimus iš VRM, tuomet veikia tvarkingai. Jei naudojate Firefox naršyklę, tuomet tiesiog VRM puslapyje spustelėkite ties kiekviena CRT nuoroda, sudėkite norimas varneles ir importuokite.

Įmanoma importuoti CRT į tą pačią progarmoms bendrą SQL duombazę (pvz., $HOME/.pki/nssdb/ arba /etc/pki/nssdb/) naudojant certutil programėlę iš minėto mozilla-nss-tools paketo, pvz.:

certutil -d sql:$HOME/.pki/nssdb -t TC,TC,TC -A -i LIUDIJIMAS.CRT -n LIUDIJIMO_PAVADINIMAS ;

Susitvarkius, šitaip gali atrodyti prisijungimas Chromium naršyklėje:

O taip atrodė FireFox naršyklėje:

Jungiantis prie Elektroninių valdžios vartų:

Tokia konfigūracija yra svarbus žingsnis link pasiruošimo pasirašinėti dokumentus netgi LibreOffice programoje. LibreOffice programoje eikite per meniu Priemonės → Parinktys; susiraskite kortelę „Saugumas“; nuspauskite mygtuką „Liudijimas…“.

Pažiūrėkite, ar LibreOffice aptiko NSS (pvz., Firefox) liudijimų katalogą (pavyzdžiui, /home/naudotojas/.mozilla/firefox/abcd1234.default); jei katalogų nėra, pridėkite rankiniu būdu. Jei aptikti keli katalogai, pasirinkite, kurią konfigūraciją norite naudoti. Patvirtinkite pasirinkimą ir užverkite parinkčių langus.

Atverkite kokį nors dokumentą arba sukurkite naują. Eikite meniu Failas → Skaitmeniniai parašai (ar Failas → Savybės ir spauskite mygtuką „Elektroninis parašas“). Spauskite mygtuką „Pasirašyti dokumentą“.