Älykortinlukija-pulma

[Parila]

Hankin uuden älykortinlukijan uTrust 2700 R.
Onko joku saanut p.o. kortinlukijan toimimaan ilman lisäkikkailuja?
Koneessani on käyttöjärjestelminä valittavissa Windows 10 tai Ubuntu 24.04.
Laitteen liitin mukana tulleella usb-kaapelilla tietokoneeseen.
Luulin, että tietokone tunnistaa lisälaitteen automaattisesti, mutta mitään lisälaitetta ei ollut listattuna, ei kummallakaan käyttiksellä.
Pitääkö tälle laitteelle ladata jokin ajuri-ohjelma ja jos täytyy, niin mikä ja mistä sen saa?
Digi- ja väestöviraston sivulta latasin ohjelmat Atostek ID 4.1.1.0 windows version ja Atostek ID 4.1.1.0 linux version ja asensin ne ohjeiden mukaan.
Atostekin kuvakkeen sain käynnistysvalikkoon, mutta mitään ei tapahdu klikatessani sitä.
Jos asennuksen tekee asennusohjelman antamien ohjeiden mukaan, niin pitäisikö sen mennä oikein?
Vai pitäisikö olla vanhempi ohjelmaversio?
Vai voiko uusi kortinlukija olla viallinen?
Vai pitääkö ohjelma asentaa komentoriviltä ja jos täytyy, niin mitä siihen pitää kirjoittaa?

 

[hoboc]

Tuolta ainakin löytyy ajurit eri käyttiksille, jos näyttää omalta laitteeltasi: uTrust 2700 R Drivers, Downloads, and Support | Identiv

 

[Desgorr]

Windowsin puolella pitäisi näkyä Laitehallinnassa Smart card readers (Älykortinlukijat) kohdan alla. Tällä voi myös kurkata, että tunnistaako Windows tuota liitettyä laitetta ollenkaan. Ohjelma päälle ja liitä sitten lukija kiinni ja katso tuleeko listalle.
Linuxin puolella voi antaa vaikka komennon lsusb ja katsoa näkyykö tuota listalla.

Kannattaa myös kokeilla muita USB-portteja jos ei näy. Kannattaa myös katsoa muuttaako mitenkään tilannetta jos laitat älykortin lukijaan.

 

[Parila]

Antamastasi linkistä latasin kaksi ohjelmaa, joista toinen, "Identiv uTrust V1-31" asentui helposti ja nyt laitehallinnassa näkyy myös tieto asennetusta laitteesta.
Toinen ohjelma jonka latasin on "uTrust Win10 driver v1.09.00.07". Se on zip-tiedosto. Sen asentaminen ei kuitenkaan onnistu minun tiedoilla ja kokemuksella.
Kun nappaan ohjelman auki, niin se kyllä purkaa sen hakamistoon, mutta yhtään kohtaa en löytänyt millä sen saisi asennetuksi.
Onko hyviä neuvoja?

 

[Desgorr]

Tuo uTrust Windows Driver Installer v1.31 on vaan helppo asennusohjelma ajureille, joten noita zip-paketissa olevia ajureita ei tarvitse enää erikseen asentaa. Jos laitat nyt vaikka henkilökortin lukijaan, niin tuleeko laitehallintaan mitään lisää? Kortin pitäisi näkyä Smart cards (Älykortit) kohdan alla. Nyt nähtävästi kuitenkin itse lukija tuolla näkyy?

Näkyykö Windowsissa ilmoituspalkissa tämä Atostek ID -kuvake?

Tuota oikealla klikkaamalla pääset hallitsemaan älykorttia ja näkemään lukijan sekä kortin tiedot. Voit kurkata vaikka mitä "Diagnostiikka" ja "Lukijat ja kortit" sanoo. Tämä löytyi myös ohjeesta: "Atostek ID -kuvake(kuva 1). Ohjelman logo on punainen, jos yhtään kortinlukijaa ei ole yhdistetty. Ohjelman logo onkeltainen, jos yhtään korttia ei ole yhdistetty. Ohjelman logo on vihreä, jos kortti on yhdistetty ja sentiedot luettu onnistuneesti."

 

[Valo]

Onko joku saanut toimimaan Atostek ID 4.2.1.0 henkilökortin (varmennekortin) lukijaohjelmiston Linux Mint 22:n Firefox-selaimessa? Itselläni tuo yhdistelmä ei hyväksy esim. kansalaisaloite.fi-palveluun kirjautumisen yhteydessä kortille tallennettua pin1-koodia. Pin1-koodin syöttämisen jälkeen ponnahtaa pin2-koodin syöttöruutu seuraavaksi, ja mikäli ko. ponnahdusikkunan sulkee, niin seuraavaksi ruutuun ilmestyy henkilökortin sertifikaatti (jota ei kuitenkaan pysty lähettämään eteenpäin, vaan tulee samat ponnahdusikkunat uudestaan).

Sen sijaan Atostek ID -kortinlukijaohjelmiston vianmäärityksessä ohjelmisto kelpuuttaa sekä pin1-koodin että pin2-koodin vikaraportin oheen. Atostek ID -ohjelmiston sisäinen salaus esim. pdf-dokumenttiin vaikuttaisi toimivan. Aikaisempi mPollux Digisign Client -ohjelmisto toimi hyvin vanhemman Linux Mintin kanssa, mutta sitä ei pysty enää käyttämään Linux Mint 22:n kanssa (valittaa riippuvuuksista, jotka ovat liian vanhoja 22:n kanssa).

Linux-versiot | Digi- ja väestötietovirasto - Digi- ja väestötietovirasto - YJA

 

[jyrkipes]

Debian12 täällä. "Toimii" muuten paitsi itse tarpeeseen.

Asostekin ID 4.2.1.0 asennettu ja sen Diagnostiikka -osion kautta pystyn toteamaan että
- kirjautuminen toimii
- allekirjoitus toimii

Kun yritän käyttää näitä ominaisuuksia selaimen (Chromium ja/tai Opera)
- allekirjoitus toimii käyttäen sivustoa: Fineid
- kirjautuminen ei toimi käyttäen sivustoa: Fineid

Vihjeitä siitä että jotain on pielessä on vähän. Asostekin ID - Diagnostiikka valittaa kyllä näin:
....

Atostek ID HTTPS certificate:
Using certificate: BuiltInCert_Prod.pfx
Thumbprint: 5c625bab7f8771df29103ab12aadae4a61ef6d94
Valid until: 2025-09-23
ERROR: Certificate chain of HTTPS certificate is not trusted or cannot be verified.
Certificate chain of HTTPS certificate:
Atostek ID open HTTPS ports:
default port: 44304 connection succeeded
default port: 54984 connection succeeded
default port: 64007 connection succeeded
Protocols:
Protocol erasmartcard:// is not registered
OS Information: Linux, Debian GNU/Linux 12 (bookworm), x86_64, 6.1.0-31-amd64

....
Eli jokin certti ei olisi ok tai oikeassa paikassa? Kohdekoneen selain kyllä avaa nuo testisivustot (kts. alla) joten ei korreloi (suoraan) Windows -ongelmien kanssa.

Ainoa vinkki oli DVV:n ylimalkainen viittaus Asostek ID TokenDriveriin macOS-asennuksessa:

"please check that the Atostek ID TokenDriver is installed correctly."

- dokumentti: DVV: MacOS - User Guide
Arvelen ettei liity tähän koska aito linux eikä mikään omena.

Toinen vinkki oli Asostekin toteamus Release Notes:eissa:

- "...users have the option to install DVV's root CAcertificates. However, an outdated VRK certificate is currently being installed as part of thisprocess. We plan to remove this certificate from future installations..."

- tuokin on rajattu kyllä Windows ja Mac -versioihin, yhtäkaikki vihjaa certtiepäjatkuvuuksiin
- dokumentti: DVV: AsostekID Release Notes


Windowsin puolella asennus ei mennyt myöskään hetkessä maaliin. Lopulta ongelmia oli saavuttaa näitä testisivustoja:
- http://ocsp.fineid.fi/vrksp4/status
- https://erasmartcard.ehoito.fi:44304 (HUOM: tämä käytännössä osoittaa localhostiin)
- https://localhost:53952/

Nämä ratkesivat kun asensin ca.crt manuaalisesti, jonka latasin localhostista (nyt en enää muista miten sinne päädyin..)

Käytän hinnat-alkaen lukijaa Kärkkäisen valikoimasta: Kärkkäinen: Nedis -lukija
- Windowsin puolella ok certifikaatit käsin JA rajoitin lisäksi että tls=1.1 maksimissaan (Win 10 Home + Chrome)
- lukija siis toimii "kuin junan vessa" koska juttelee ihan ok tuon Asostekin softan kanssa

Kiusallisinta tässä on se että virallista tukea näihin ongelmiin on vaikea löytää. Vika kun ei ole DVV:ssä eikä Asostekissa
- Asostek: Support but not for user problems
- DVV: Support but not for user equipment problems

Käyttäjän näkökulmasta taas "se vaan ei toimi".

Tämä foorumi oli ainoa paikka missä näytti olevan älykästä elämää aiheeseen liittyen. Olen toiveikas.

 

[telcoM]

Eli allekirjoitus toimii mutta kirjautuminen ei? Se kuulostaa vähän siltä että selain ei syystä tai toisesta pysty käyttämään Atostekin PKCS#11-moduulia.
Atostek ID Linux 4.2 -ohjelmiston asennusohje v1.0 sanoo:

Atostek ID -sovelluksen paketin mukana asentuu Atostek ID:n oma PKCS#11-moduuli. Lisää tarkempaa tietoa
moduulista ja sen käytöstä löytyy Atostek ID integraatio-ohjeesta.
Debian-pohjaisilla järjestelmillä PKCS#11-moduuli asentuu sijaintiin /usr/lib/Atostek-ID-PKCS11.so ja Red Hat
-pohjaisilla sijaintiin /usr/lib64/Atostek-ID-PKCS11.so.

Toisin kuin Windowseissa ja Maceissa, Linuxeissa ei oikein ole ollut vakiintunutta keskitettyä tapaa hallita PKCS#11-moduuleita tai muita tunnistus/salauslaitteita, vaan jokainen niitä käyttävä ohjelma on enemmän tai vähemmän järjestänyt PKCS#11-moduulien valinnan itse omalla tavallaan.

Jokin aika sitten Linux-kuvioihin tuli mukaan p11-kit-paketti (Debianissa paketit libp11-kit0 + p11-kit-modules + p11-kit) joka tarjoaa keskitetyn tavan määritellä PKCS#11-moduuli(t), mutta tästä "kaikki hoitavat homman itse omalla tavallaan"-historiasta johtuen aika monelle softalle pitää ensin erikseen kertoa että sen olisi syytä käyttää p11-kitin proxy-moduulia (Debianissa /usr/lib/x86_64-linux-gnu/p11-kit-proxy.so) joka sitten toimii välikätenä sovelluksen ja yhden tai useamman PKCS#11-moduulin kanssa.

Lisäksi näköjään tuo Atostek 4.2.1.0 versio ei näköjään automaattisesti tee tarvittavaa määrittelytiedostoa p11-kitille, vaan se pitää tehdä itse, ja integraatio-ohjeen sivulla 5 oleva ohje on vähän heikkolaatuinen: sen sijaan että Atostekin PKCS#11-moduulia käytettäisiin suoraan sieltä missä se on, ohje kehottaa _siirtämään_ sen /opt/atostek-id/ -hakemistoon, jolloin käytettävä moduuliversio ei tule päivittymään kun AtostekID DEB-pakettia seuraavan kerran päivitetään, vaan vanha käsin kopioitu moduulitiedosto jää käyttöön "maailman tappiin".

Itse tekisin tuon vain näin:

sudo install --directory --mode=755 /etc/pkcs11/modules
echo "module: /usr/lib/Atostek-ID-PKCS11.so" | sudo tee /etc/pkcs11/modules/atostek-id.module > /dev/null

ja sitten käskyttäisin selaimen käyttämään /usr/lib/x86_64-linux-gnu/p11-kit-proxy.so :ta PKCS#11-moduulina, mikä sitten onkaan ko. selaimen tapa tehdä tuo määritys. Jos muistan oikein, Chromium taitaa käyttää siihen ~/.pki/nssdb/pkcs11.txt -tiedostoa ja asetus pitää todennäköisesti tehdä joka käyttäjälle erikseen.

Ja kaiken huipuksi, tuo AtostekID-4.2.1.0-paketti on ilmeisesti tehty lähinnä Ubuntua ajatellen, ja sen PKCS#11-moduulin kirjastoriippuvuudet eivät oikein istu Debian 12:een:

$ ldd /usr/lib/Atostek-ID-PKCS11.so 
/usr/lib/Atostek-ID-PKCS11.so: /lib/x86_64-linux-gnu/libstdc++.so.6: version `GLIBCXX_3.4.32' not found (required by /usr/lib/Atostek-ID-PKCS11.so)
/usr/lib/Atostek-ID-PKCS11.so: /lib/x86_64-linux-gnu/libstdc++.so.6: version `GLIBCXX_3.4.31' not found (required by /usr/lib/Atostek-ID-PKCS11.so)
/usr/lib/Atostek-ID-PKCS11.so: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.38' not found (required by /usr/lib/Atostek-ID-PKCS11.so)
        linux-vdso.so.1 (0x00007f51996f1000)
        libpcsclite.so.1 => /lib/x86_64-linux-gnu/libpcsclite.so.1 (0x00007f51996b4000)
        libstdc++.so.6 => /lib/x86_64-linux-gnu/libstdc++.so.6 (0x00007f5198800000)
        libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007f5198b21000)
        libgcc_s.so.1 => /lib/x86_64-linux-gnu/libgcc_s.so.1 (0x00007f5199694000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f519861f000)
        /lib64/ld-linux-x86-64.so.2 (0x00007f51996f3000)

Sanoisin että tämän perusteella Debian 12:n kanssa kannattaa toistaiseksi vielä pysyä vanhan mPollux DigiSign-softan puolella, kunnes saadaan versio joka toimii Debianissa ilman noita yllä esittämäni ldd-komennon kolmea "version ... not found"-virheilmoitusta. Seuraavassa Debian-versiossa tuo ehkä voisi toimia jo suoraan.

Onko selain (mainitsit Chromium ja/tai Opera) muuten asennettu snapista, vai natiivi *.deb paketista? Snappien oletusarvoinen eristys omaan hiekkalaatikkoonsa (sandboxing) mutkistaa erillisten softakomponenttien kuiten juuri tuon PKCS#11-moduulin käyttöä snappipaketoidun selaimen kanssa.

 

[mikajh]

Debian12 täällä. "Toimii" muuten paitsi itse tarpeeseen.

Päivitin Ubuntu hostissa pyörivän KVM virtuaalikoneen Ubuntu 24.04.2 LTS:ään.
SSH:lla temput vm:än suuntaan >näin<, jotta virtuaalikone voi käyttää kortinlukijaa.
AtostekID toimii vm:ssä.
Snap:in sijaan Mozilla Debian Firefox Package 136.0.4:ssa näyttää toimivan Security devices -asetuksissa PKCS#11 -moduulin lisäys. Siten p11-kit-proxyä ei tarvita.

Ja ihmeiden aika ei ole ohi, tunnistautuminen toimii sivulla Fineid
Edelleen niin monimutkaiselta ja huteralta korttitalolta vaikuttaa suomalaisen henkilökortin käyttö varsinkin Linuxissa, että voi olla varma siitä jotta pikaisen asiontitarpeen sattuessa se ei toimi yhtään sen paremmin kuin Fujitsun vastaava tekele