E-paraksta viedkaršu programmatūras uzstādīšana uz Linux

Iepriekš rakstīju par to cik slikti, par e-paraksta viedkaršu lietošanu, ir informēti Linux lietotāji.

Pievienoju pamācību loģiski domājošiem Linux lietotājiem, kuriem nav paniskas bailes no komandrindas.

Kas ir nepieciešams?

Viedkaršu lasīšanas iekārta

Saprotams, ka vajadzīga iekārta, kurā ievietot viedkarti. Iesaku izvēlēties iekārtas, kurām priekš Linux ir pieejami draiveri.

Kā jau minēju iepriekšējā rakstā – SCR3310 ir gana lēta un pārbaudīta iekārta.

IMG_20130829_145914

Pieslēdzam iekārtu datoram un lasām tālāk.

Viedkaršu lasītāja draiveris Linux kernelim

SCR3310 gadījumā nekādi papildus draiveri nebija jāinstalē, jo tie nāk komplektā ar pietiekoši jaunu kerneļa versiju. Kaut kur lasīju, ka senāk vajadzēja atjaunināt firmware, bet pašam ar to nav nācies saskarties.

Citām iekārtām varētu nākties uzinstalēt papildus draiverus un/vai firmware.

Programmatūra komunikācijai ar iekārtu

Pieļauju, ka šim mērķim pastāv dažādas aplikācijas, bet vispopulārākā ir “pcscd” (PC/SC Smart Card Daemon).

Uz Archlinux to var uzinstalēt palaižot:

Uz Debian bāzētām (Debian/Ubuntu/Mint/u.c.) sistēmām to var uzinstalēt palaižot:

Pēc instalācijas jāieslēdz pcscd serviss. Uz Archlinux jāpalaiž:

Uz Debian bāzētām sistēmām tam vajadzētu notikt automātiski, bet ja tā nenotiek, tad jāpalaiž:

 

Šobrīd ieliekot e-paraksta viedkarti iekārtā, un palaižot komandu

vajadzētu parādīties informācijai par ievietoto karti. Ja parādīts tikai sarkans uzraksts “waiting for the first reader”, vai “waiting for the card”, tad attiecīgi vai nu nestrādā iekārta, vai arī Tu nepareizi esi ievietojis viedkarti. 🙂

Middleware bibliotēka konkrētajam viedkaršu modelim

Ar to vien, ka spējam noteikt kāda viedkarte ievietota iekārtā – nepietiks. Pcscd nav informācija par to kā pilnvērtīgi komunicēt ar Latvijā izsniegto e-paraksta viedkarti, tāpēc nepieciešams uzstādīt viedkaršu ražotāja bibliotēku.

Latvijā lieto Luxtrust ražotās viedkartes, tāpēc jādodas uz viņu mājaslapu un lejupielāžu sadaļā jāmeklē Middleware programmatūra Linux sistēmām.

Brīdī, kad šo rakstu, Luxtrust lapā ir pieejamas “.deb” pakas Ubuntu distribūcijai, 32 bitu un 64 bitu versijām.

Piedāvātās pakas visdrīzāk būs derīgas arī citās, uz Debian bāzētās distribūcijās (Debian/Mint/u.c.).

Ubuntu/Debian lietotājiem jāaizvieto 64bit ar 32bit, ja tiek lietota 32 bitu sistēma, un jāizpilda:

Archlinux lietotājiem esmu izveidojis luxtrust-middleware PKGBUILD failu, kas ir pieejams AUR sistēmā. Ja lieto Archlinux un ir uzinstalēts yaourt palīgrīks, tad to var uzinstalēt izpildot:

Es gan neizpētīju vai Luxtrust bibliotēkas nav atkarīgas no citām bibliotēkām, tāpēc, ja kaut kas nestrādā, lūdzu paziņot komentāros.

Citu distribūciju lietotājiem vai nu jāizpēta iespējas konvertēt esošās .deb pakas uz jūsu distribūcijas paku formātu, vai arī pakas saturs manuāli jāizpako, un jāiekopē attiecīgajās sistēmas mapēs (ko es noteikti nerekomendēju darīt).

Kad middleware programmatūra uzinstalēta, vajadzētu varēt atvērt PIN koda mainīšanas aplikāciju, ko var atvērt izpildot:

Ja aplikācija atveras un viss strādā – lieliski, varam turpināt. Ja parādās kļūdu paziņojumi – lūdzu ziņot komentāros. 🙂

PMLP, vai LVRTC iepriekš piedāvātajās middleware pakās tika lietoti citi failu nosaukumi. Tā kā tie ir statiski ierakstīti e-paraksta Java aplikācijās, jāizveido symbolic link, savādāk saņemsim kļūdas paziņojumu.

Pārlūkprogrammas konfigurācija

Vēlāk izveidošu pamācību Chromium lietotājiem, bet šobrīd pieejama informācija par uzstādīšanu uz Firefox.

seciba

Atveram Firefox Preferences > Advanced > Certificates > Security devices > Load.

Nosaukumu ierakstam pēc izvēles, bet pie Module filename norādām:

Pēc OK pogas nospiešanas, sarakstā būtu jāparādās jaunajai iekārtai. To izvēloties, būtu jāaktivizējas Log in pogai. Uz tās uzspiežot vajadzētu parādīties PIN koda pieprasījuma logam. Ja tā ir, tad viss kārtībā.

Turpmāk lietojot e-parastu, var gadīties, ka pēc iekārtas, vai viedkartes atvienošanas un atkārtotas pieslēgšanas, var nākties pārstartēt interneta pārlūkprogrammu.

LVRTC un/vai Latvijas pasta sertifikāti

Pēdējais solis ir sertifikātu pievienošana. Kā to izdarīt uz Chromium – aprakstīšu vēlāk. Šobrīd pieejama pamācība Firefox pārlūkprogrammai.

Dodamies uz eparaksta mājas lapu, un ielādējam nepieciešamos sertifikātus.

Firefox vajadzētu automātiski piedāvāt uzinstalēt sertifikātus, bet ja tā nenotiek, saglabājam tos datorā un pievienojam manuāli, atverot  Firefox Preferences > Advanced > Certificates > View Certificates logu.

Nobeigumā

Tagad visam vajadzētu strādāt. Tikai jāatceras, ka pēc iekārtas pievienošanas, visdrīzāk, nāksies pārstartēt pārlūkprogrammu, kā arī labākais veids kā noskaidrot, vai viedkarte kārtīgi ievietota iekārtā, ir izpildot komandu pcsc_scan.

Gaidīšu jūsu komentārus un ieteikumus. 🙂

Labais un sliktais Latvijas e-paraksta sistēmā

Manuprāt, lielākā daļa piekritīs, ka e-paraksta ideja – iespēja elektroniski parakstīt dokumentus, iesniegt tos dažādām iestādēm nosūtot e-pastu , un parakstus pārbaudīt elektroniski –  ir ļoti laba. Vairs nekāda dirnēšana garās rindās, nav jāmaksā notāram par paraksta apstiprināšanu, kā arī dokumentus var iesniegt no jebkuras vietas, kur pieejams interneta pieslēgums.

Izklausās ļoti labi. Gandrīz pārāk labi.

Šobrīd reāli Latvijā darbojas 3 dažādi e-paraksti, no kuriem tikai 2 varētu būt gana droši, un tikai vienu var iegūt komplektā nesaņemot to nedrošo, turklāt tas nav pieejams kuram katram.

E-paraksta veidi

  • Latvijas pasta e-paraksts uzņēmumiem – EME (viedkarte)
  • ID kartes, kuras var lietot pases vietā, ceļojot pa ES – eID (viedkarte)
  • Virtuālais e-parasts (nāk komplektā ar eID, turklāt no tā nav iespējams atteikties)

EME

Sākumā tika ieviests EME. Šķiet, ka tas neguva pietiekoši lielu atsaucību, un pēc eID iznākšanas pie EME var pieteikties tikai uzņēmumi.

Neskatoties uz to, ka EME var pieteikt tikai caur uzņēmumu, tas vizuāli izskatās ļoti nenopietni.

IMG_20130828_121515

eID

ID kartes, kuras izsniedz PMLP, ir Latvijā oficiāli atzīts dokuments. To var lietot ceļošanai pa ES, un, ja nemaldos, to var izmantot kā atgriešanās atļauju, ja tiek pazaudēta pase (ārpus ES).

Tajās ir RFID čips (tāds pats kāds jaunajās pasēs), kā arī e-paraksta viedkarte.

20120401-personas-aplieciba-eid-paraugs

Virtuālais e-paraksts

Izstrādāts ķeksīša pēc?

eparaksts_preview

Virtuālais e-paraksts ļauj parakstīt dokumentus portālā eparaksts.lv un ir drošs tikai tāpēc, ka tā ir ierakstīts likumā. 🙂 Realitātē tas ir pakļauts MITM uzbrukuma riskiem un tieši šī iemesla dēļ ar virtuālo e-parakstu parakstītus dokumentus nepieņem praktiski neviena nopietnāka iestāde.

Varētu vaicāt – kāpēc tad tika izveidots virtuālais e-paraksts?

Es varu tikai minēt, ka tas tika izveidots tāpēc, ka eID un EME lietošana ir gana sarežģīta, un lietošanas instrukcijas ir tik ļoti nepilnīgas, ka gadījumā, ja nebūtu izveidots virtuālais e-paraksts, tiktu sacelta liela jezga par kārtējo, ne līdz galam novesto e-paraksta risinājumu.

Potenciālās un reālās problēmas

Informācija par e-paraksta lietošanu

Sākumā šķiet, ka eparaksts.lv mājas lapa ir ļoti pārskatāma un labi strukturēta, bet brīdī, kad mēģini sameklēt sev nepieciešamo informāciju, rodas sajūta, ka pie sistēmas strādājuši pirmklasnieki. Informācija daudzās lapās dublējas, bet dažas lietas vienkārši nav iespējams sameklēt. Daļu tehniskās informācijas man bija vieglāk sameklēt Igaunijas e-paraksta mājas lapā, jo tā ir labāk strukturēta un informācija ir pilnīgāka.

OSX un Linux lietotājiem

Ja OSX (Apple) lietotājiem ir pieejama vismaz kaut kāda nepilnīga un greiza informācija par e-paraksta viedkaršu lietošanu, tad Linux lietotājiem pasaka, ka eparaksts.lv neatbalsta Linux operētājsistēmu, un kaut arī ražotājs (kas gan nekur nav norādīts) apgalvo, ka Linux ir atbalstīts, viņi par to neko nezin un nevēlas zināt.

Vairāk informāciju izdevās sameklēt pēc tam, kad vienā no PDF dokumentiem atradu karšu ražotāja nosaukumu, un tālāk jau palīdzēja Google.

Eparaksts.lv foruma administratori

E-paraksta mājas lapā ir arī forums, kurā ikviens var uzdot  jautājumus.

Vecākos foruma ierakstos var novērot, ka foruma administratori uz sev nepatīkamiem jautājumiem cenšas atbildēt ar: “mēs par to neesam atbildīgi, ejiet pie PMLP”. Turklāt, palasot šīs tēmas, var secināt, ka pievienotās saites uz PMLP lapu vairākas reizes palikušas nederīgas. (Kāda velna pēc PMLP lapai tik bieži maina linku struktūru?) [123]

Ja sākumā eparaksts.lv foruma administrācija centās novelt vainu uz PMLP, tad ar jauno e-parakstu, kas būtībā ir identisks vecajam (+ virtuālais e-paraksts), tiek piekopta vilcināšanās stratēģija. [1]

Jaunākos ierakstos foruma administratori tēmās, kas saistītas ar OSX un Linux instalācijām, paprasa, kuru no e-paraksta veidiem jautājuma uzdevējs ir domājis, tādejādi vilcinot laiku, droši vien cerībā, ka jautājuma uzdevējs vairs neatgriezīsies. (Neviens lietotājs nepiesauktu operētājsistēmu, ja mēģinātu lietot virtuālo e-parakstu. Un pat ja piesauktu, priekš kam lieki tērēt cilvēku laiku? Uzreiz būtu uzrakstījuši, ka no Linux un OSX “ne bū, ne bē”, un lieta darīta.)

Mistiskie Latvija.lv paziņojumi

Mēģinot ar EME ielogoties portālā latvija.lv, parādās paziņojums, ka ar Firefox un Opera pārlūkiem nav iespējams ielogoties. [1] Kas tās par muļķībām?

2013-09-12-154407_852x255_scrot

Es vēlāk atšifrēju, ka tas paziņojums visdrīzāk ir domāts Windows lietotājiem, kuriem IE un Chrome pārlūki lieto Windows iebūvēto sertifikātu sistēmu, bet Firefox un Opera ir savas sistēmas, kas oficiāli netiek atbalstītas.

Tās tiešām izrādījās muļķības, jo beigu beigās man sanāca ielogoties no Firefox un Chrome gan uz Linux, gan uz OSX.

Es noteikti kādā no nākamajiem rakstiem pievienošu pamācību kā lietot e-parakstu OSX un Linux vidē.

E-paraksta standarts

E-paraksta dokumentiem ir savs standarts. Atvērts standarts. Atvērts standarts, kura dokumentācija hostējās Microsoft mājas lapā, bet saites uz tiem ir nomirušas.

…pag, tad ir open source, vai nav?

Izmeklējoties pa Google, pie dokumentiem var tikt caur lietuviešu adresēm, jo izskatās, ka Latvija mēģina Lietuvai piedāvāt tādu pašu standartu.

E-paraksta programmatūra

Šobrīd pieejamā e-paraksta programmatūra ir rakstīta programmēšanas valodā Java.

sign

Labi, Java nav tā ātrākā, vai drošākā, bet vismaz būtu jādarbojas uz visām operētājsistēmām, vai ne?

Kind of…

Darbinot pārlūkprogrammu debug režīmā ievēroju, ka uz Linux eparaksta appleti meklē neeksistējošas bibliotēkas. Nezinu kāpēc tā, bet to izdevās atrisināt izveidojot symlinku uz ražotāja bibliotēku. Šķiet, ka tas tāpēc, ka PMLP piedāvātajās pakās bibliotēkām ir citi nosaukumi. Diez kāpēc tā? Vai tur ir kādi papildus pārsteigumi? 😀

Lejupielādei ir pieejama arī offline lietošanai paredzēta e-paraksta aplikācija (joprojām Java).euso

Tajā atverot jaunu dokumentu izlec dažādas izstrādātāja reklāmas. Es ceru, ka par to izstrādātājs valstij iedeva nelielu atlaidi. 🙂

spam1 spam2spam3

Fun fact: Ideja par vēlēšanām internetā

Manuprāt, ja šobrīd vēlēšanas notiktu internetā, tad vai nu tajās caur internetu nobalsotu labi ja 0.1% vēlētāju (ja viedkaršu lietošana būtu obligāta), vai arī ļoti ticams, ka vēlēšanu rezultāti būtu sagrozīti (virtuālā e-paraksta potenciālo ievainojamību dēļ).

Fun fact: E-paraksta time stamp serveri darbina IIS

Man nav nekādu iebildumu pret Microsoft (ir gan) un kompilētu kodu, bet pārāk bieži ir redzētas problēmas ar caurumainu, nepārskatāmu bināru blāķi, ko beigās nav iespējams izlabot, jo ražotājs, protams, nav iedevis izejas kodu. Protams, tā nav problēma, ja Tev ļoti patīk darboties asemblerī. 🙂

Es ļoti, ļoti ceru, ka tuvākajā laikā netiks atrasta kāda Windows vai IIS ievainojamība, kas ļautu bojāt time stamp servera darbību.

Fun fact: Caurums e-paraksta forumā?

Apskatot foruma arhīvu, pēdējā lapā atradu ko interesantu.

2013-09-12-182941_701x441_scrot

Vai esmu vienīgais, kurš to pamanījis? Un ja ir šāds caurums, cik liela iespējamība, ka pārējā sistēma ir droša? 🙂

Problēmu risinājumi un pozitīvais

Es ieteiktu LVRTC darbiniekiem pakonsultēties ar zinošākiem Linux un OSX lietotājiem/administratoriem, lai izveidotu jaunu, derīgu pamācību, kā uz Linux uzinstalēt nepieciešamās bibliotēkas un draiverus, kā arī nomainīt kļūdu paziņojumus, lai lietotāji netiktu maldināti. Tas nav tik sarežģīti, vai neiespējami.

Pozitīvais

Eparaksts.lv foruma lietotāji

Ar e-paraksta foruma lietotājiem nav tik traki kā ar administratoriem. Vairāki lietotāji ir ierakstījuši tīri labas pamācības. Ja vēl strādātu programmatūras lejupielādes saites, un tiktu norādīts, ka pastāv arī programmatūra, kas domāta 64 bitu sistēmām, būtu pavisam labi. 🙂

 

Offtopic: Viedkaršu lasītāju SCR3310 no ebay var pasūtīt pa ~10 latiem.

IMG_20130829_145914

Kad tomēr izdodas uzstādīt nepieciešamo programmatūru, lietot e-parakstu ir diezgan vienkārši un ērti.