Vad finns kvar att göra för 1.0?
Grattis till release 0.3.0. Mycket passande med en ny release med stöd för att hämta certifikat i dessa deklarationstider. Men vad finns kvar att göra innan vi kan släppa version 1.0? Mvh Henrik
Re: Vad finns kvar att göra för 1.0?
sön 2011-04-24 klockan 20:18 +0200 skrev Samuel Lidén Borell: > Skulle inte säga att det är så mycket, det viktigaste är väl att komma > ikapp Nexus/BISP med signering av PDF:er (som tillkom vid årsskiftet) > och att certifikathämtningen testas av fler användare. När/vilka används signering av PDF:er? > När det gäller kortstödet så har jag inte testat det själv, så jag kan > inte uttala mig om det behövs något mer där. Gör man det som nämns i wikin så fungerar det utmärkt. men missar man att köra "pkcs15-tool -L" så går det som sirap. Ett alternativ för att slippa använda fil cache är att vid början av sessionen starta en bakgrundsdaemon som all kommunikation går igenom istället för att starta om från början vid varje operation. Men hjälper naturligtvis inte vid inloggning utan bara signering. > Jag skrev ihop ett förlsag på en "Roadmap"[1] på wiki:n för ett tag > sen med lite fler idéer för framtida versioner. Kanske tog i lite med > version 0.4.0 där, nu när du frågar om 1.0 tror jag att det är bättre > att vänta med features & platformar och få klart en stabil och > användbar version 1.0 snabbare. "lite"... Det enda jag håller med om är möjligtvis "Signering av PDF" och "Byta lösenord". Och för 0.4 räcker det gott att en av dessa är på plats. NGE/NGP säger jag blankt nej till, av flera skäl. Den lilla vinst i smidighet detta ger uppväger inte de stora nackdelarna - Omfattande reverse-engineering av Nexus krävs för att analysera krypteringen - Krypteringsnyckeln som används av Nexus är hemlig och deras intellektuella egendom. - I mångt och mycket jämförbart med att knäcka kopieringsskydd. Skulle vi göra detta i USA så riskerar man att dra på sig DCMA anmälningar. - Den hemliga krypteringen i Nexus är deras skydd mot att kundernas identiteter blir stulna. Bryter vi upp denna och visar hur svagt detta skydd egentligen är så finns risk att relationen tar onödiga snedsteg. Angående Mac & Windows så finns inte samma behöv av FriBID på dessa plattformar. Användarna på de plattformarna föredrar i absolut största majoritet Nexus klienten även om FriBID skulle kunna stödja de plattformarna. Givetvis, lägger någon ned arbete på att stödja någon av dessa plattformar så visst, men inget som någon FriBID release skall stå och vänta på, vare sig det är beta eller 1.0. Och skulle vi porta till Windows så dyker även punkten "Porta till MSIE" upp då MSIE har ett annat plugingränssnitt. Rätt meningslöst att tillhandaha en Windows port som inte funkar med MSIE. Mvh Henrik
Re: Vad finns kvar att göra för 1.0?
mån 2011-04-25 klockan 02:51 +0200 skrev Samuel Lidén Borell: > > sessionen starta en bakgrundsdaemon som all kommunikation går igenom > > istället för att starta om från början vid varje operation. Men hjälper > > naturligtvis inte vid inloggning utan bara signering. > > Ok, nej detta känns rätt komplicerat. Inte särskilt komplext. Och är vad Nexus gör förutom att de startar redan när man loggar på datorn och därför har gott om tid att scanna av kortet innan det används. Men att köra som en bakgrundsprocess ställer större krav på hantering av minnesläckor mm. > Rent tekniskt borde det väl gå att spara ner alla cert som använts > till filcachen vid avslut? Det lär ju inte gå via PKCS#11, men kanske > om man använder OpenSC direkt? Jag måste kolla i OpenSC-koden om detta > är möjligt. Känns lite rörigt om vi både skall köra libp11 och opensc. Dessutom är OpenSC rätt tydliga på att de inte vill att man använder OpenSC direkt. Kedjan ser idag ut som följer: fribid -> libp11 -> [PKCS#11] -> OpenSC. libp11 känner inte till OpenSC utan anropar via OpenSC PKCS#11 gränssnittet. (liknande plugingränssnittet till webbläsarna) OpenSC har inget direkt publikt API utan hänvisar till PKCS#11 mm, så att programmera direkt mot OpenSC är inte något direkt alternativ. libp11 är ett wrapper library som implementerar PKCS#11 API mot PKCS#11 "plugin", dvs dynamisk länkning, anropspunkter, strukturer, konstanter mm. OpenSC implenterar sedan gränssnittet mellan PKCS#11 och det som sker mot smartcard. > Ja det är ju inte direkt nödvändigt längre eftersom vi har stöd för > hämtning. Jag tror dock att NGE/NGP formatet till viss del också > handlar om att gå runt "begränsningar" i PKCS#12, t.ex. att man > behöver lösenordet för att spara mottagna CA-certifikat (vilket > egentligen inte har något med PKCS#12 att göra, utan snarare om man > använder "password integrity mode" eller ej). Har i alla fall för mig > att detta "löstes" i samband med att man gick över till de nya > formaten. Möjligt att det delvis kan stämma för lagringen på hårddisk, men för exportformatet är enda skälet till bytet att knyta exporten till specifikt USB media förutom lösenord, plus att göra formatet mer otillgängligt över lag för att ytterligare försvåra oönskad tillgång til lde elektroniska ID handlingarna som certifikat+nycklar utgör. Mvh Henrik
Re: Hur hantera långsam avläsning av kort
tis 2011-04-26 klockan 15:31 +0200 skrev Samuel Lidén Borell: > Däremot så kan man ju ha en checkbox som Marcus föreslog, fast att den > kör "pkcs15-tool -L" (kan vara en #define). Det kanske är säkrare än > att anropa libopensc direkt. Dessutom så är det ju väldigt enkelt att > implementera :) Låter bra. Checkbox för att uppdatera cache, samt config parameter för vilket kommando som körs. Mvh Henrik
Nya Handelsbanken inloggningskort
Handelsbanken kommer tydligen att byta inloggningskort, och ny BankID klient igen till 4.18 som släpps i mitten av maj. De nya korten kräver tydligen uppgradering av programvaran för att fungera, och kan därför även kräva ändring i FriBID. De gamla korten skall fortsätta fungera tills giltighetstiden går ut. Det äldsta kort jag har tillgång till gäller till Maj 2014, men kan försöka ordna så jag får tillgång till ett nytt kort när de lanserats för att undersöka hur de påverkar FriBID. Mvh Henrik
Fribid 0.3.0 paketerad för Fedora
Fribid 0.3.0 finns paketerad för Fedora http://repos.fedorapeople.org/repos/hno/fribid/ Även RHEL6 version kan vara på gång, men är tydligen något som strular med smartcard stödet där. Mvh Henrik
E-legitimationsnämnden bjuder in till teknisk workshop | E-legitimationsnämnden
http://www.elegnamnden.se/aktuellt/nyheter/elegitimationsnamndenbjuderintilltekniskworkshop.5.70ac421612e2a997f85800081697.html
Re: E-legitimationsnämnden bjuder in till teknisk workshop | E-legitimationsnämnden
sön 2011-06-12 klockan 01:10 +0200 skrev Henrik Nordström: > http://www.elegnamnden.se/aktuellt/nyheter/elegitimationsnamndenbjuderintilltekniskworkshop.5.70ac421612e2a997f85800081697.html > > Jag kommer
Re: E-legitimationsnämnden bjuder in till teknisk workshop | E-legitimationsnämnden
fre 2011-06-17 klockan 17:08 +0200 skrev Samuel Lidén Borell: > Kollade igenom betänkandet för e-leg[1]... Intressant att de är > positiva till en central signeringentjänst, och speciellt detta (sid. > 309, eller 296 i PDF:en): > > "Användaren behöver inte installera någon specialkonstruerad > klientprogramvara. Hela processen att signera kan utföras med > en vanlig webbläsare." Bra. Blir iofs rätt naturligt av federationsmodellen då det blir svårt att standardisera på en teknisk plattform för signering som alla skall implementera under de premisserna utan att det läcker oönskad information från respektive identifikationsteknologi. Rätt implementerat så bör det inte lida av phishing problem. Men beror på hur relationen mellan utfärdare, signeringsservrar och mottagare ser ut. Mvh Henrik
Fedora paket uppdaterade
Kom på att jag glömt nämna att Fedora paketen har blivit uppdaterade till 0.3.1 + TextCharacterEncoding + PRNG state http://repos.fedorapeople.org/repos/hno/fribid/ givetvis signerade med min GPG nyckel (39cc33db). Nedladdningslänk är välkommen. Mvh Henrik
Re: Statisk kodanalys
Bra! tor 2011-08-04 klockan 22:38 +0200 skrev Samuel Lidén Borell: > > > > Körde Sparse och clang --analyze, och upptäckte att jag hade gjort ett > > litet slarvfel i certutil.c: > > > > Hittade en del andra fel också för hand också. Och använde vanliga grep för > att hitta vissa typer av fel: > > grep -F '[' *.c -- array-problem > grep -F '+' *.c -- integer overflows > grep -E ' (strcat|strcpy|sprintf)' *.c -- rasprintf är säkrare! > >
Re: FriBID 1.0?
mån 2011-08-08 klockan 09:35 +0200 skrev Simon B.: > > För att få ut en version 1.0 -- är det fortfarande mer testning som > behövs? Mer testning är inte fel. Den stora testningen är att testa med olika tjänsteleverantörer. Och för detta behöver vi nå ut lite bredare. Funktionsmässigt är det väl främst följande som saknas: * Hantering av lösenord för nycklar. * Hantering av pin för smartcard (PKCS11_change_pin()). > Kanske vore en ide att få ut info om FriBID på typ ubuntu.se eller > något bred mejllista? Har annonserats på svenska linuxföreningens lista och foss-sthlm några ggr. Men bredare spridning är bra. > Jag har bara Swedbank som ju verkar vältestat. En kompis har kört > Handelsbanken och hade någon slags bekymmer. Är Handelsbanken > intressant att testa mera? De flesta Handelsbanken kunder har smartcard inloggningskort, och Handelsbankens smarcard fungerar klockrent numera bara man ställer in opensc rätt enligt instruktionerna i wikin (diskussion med opensc pågår för att slippa detta i framtiden, beror på en bugg/misfeature). Skall försöka testa mjuka cert med de banker jag har, dvs Handelsbanken. Swedbank, SEB, Ikano. Tror jag även kan få tillgång till att prova mot Länsförsäkringar Bank. Mvh Henrik
Re: Dags för 1.0
sön 2011-09-11 klockan 00:52 +0200 skrev Samuel Lidén Borell: > Jag funderar på att släppa version 1.0. Så jag undrar om någon sitter på > någon patch, buggrapport eller liknande, som ni vill att jag ska ta hänsyn > till. Annars släpper jag 1.0 från det som finns i GIT master någon gång i > veckan. Möjligen att vi vill titta på varför den är instabil under nspluginwrapper. Orakar många installationsproblem då nspluginwrappre ofta är installerat som standard (behövs för 32-bit flash på 64-bit OS bland annat) och då tar alla plugins som inte har blivit vitlistade (dvs tvärt emot nspluginwrappers egna dokumentation på rekommenderad användning...) Mvh Henrik
Re: Dags för 1.0
sön 2011-09-11 klockan 15:36 +0200 skrev Samuel Lidén Borell: > Installerar en 64-bitars Fedora i en VM för att testa (har inte > upplevt detta i Ubuntu iaf)... Finns det något speciellt man kan göra > för att reproducera, eller är det bara "slumpmässigt"? inloggning funkar, men signering ger "Okänt fel". Mvh Henrik
Handelsbanken godkänner inte fribid längre
Försöker man logga in på handelsbanken så möts man nu av det föga uppmundrande meddelandet Säkerhetsprogram saknas För att använda Internettjänsten krävs att säkerhetsprogrammet är installerat. Du kan ladda ner och installera programmet på vår installationssida. http://www.handelsbanken.se/loggainprivat Kortläsare med sladd Mvh Henrik
Re: Två kortläsare
Två kortläsare har funkat för mig. Har kört med både Handelsbankens och en Fujitsu-siemens ccid kompatibel läsare på en gång, med kort i bägge. - Ursprungsmeddelande - > Hej! > > Har under en tid haft problem med min ena laptop som inte kunnat logga > in via kort men har inte haft tid att titta mer på det utan har använt > sambons dator / loggat in utan sladd. > > Men nu blev jag trött på det och tittade lite extra och upptäckte då att > laptopen jag sitter på har en inbyggd kortläsare (som förmodligen inte > fungerade i tidigare ubuntu-versioner) och dessutom tillräckligt diskret > att jag inte sett den förrän nu > > Hursomhelst, problemet verkar vara att fribid inte tar hänsyn till om > det finns flera kortläsare utan endast går på den sista i listan - kan > det stämma och är det något som ni redan vet om? Själv kommer jag inte > ha tid att gå in i koden o titta på det den närmsta tiden och det är > inget problem för mig alls, tvärtom egentligen. Nu slipper jag ta med > mig handelsbankens kortläsare :) > > I övrigt, tack för ett mycket bra o smidigt program! > > Mvh > Marcus
Re: Supporting card Handelsbanken (SHB) BankID
tis 2012-08-21 klockan 13:03 +0200 skrev Peter Åstrand:
> Hi! It would be nice if OpenSC could support cards from the Swedish bank
> "Handelsbanken" (SHB). This is a BankID type of cards. I've tried multiple
> versions of OpenSC and they all fail to communicate with the card, with
> one exception:
I use Handelsbanken cards frequently with fribid and opensc. Was what
the smartcard support in fribid was developed against. My card is some
years old and there is apparently a newer card which I have no
experience of.
The relevant settings for making my card work:
app default {
framework pkcs15 {
# Not strictly needed, but major performance difference
use_file_caching = true;
}
}
app opensc-pkcs11 {
pkcs11 {
# This is needed or else signing will fail and other errors
lock_login = true;
}
}
Regards
Henrik
Problem med skatteverket
Funkar sedan en tid inte att logga in till skatteverkets e-tjänster så som skattekonto mm. Antar att det är någon liten detalj vi saknar? Mvh Henrik
Detaljerad info om BankID säkerhetsprogram
Ramlade över detta idag i en google sökning: http://www.bankid.com/Global/wwwbankidcom/RP/BISP%20-%20beskrivning%20till%20f%C3%B6rlitande%20part%202.2.pdf Och efter lite ytterligare grävande samlingssida för integrering: http://www.bankid.com/rp/info/ Mvh Henrik
Re: Detaljerad info om BankID säkerhetsprogram
tor 2012-11-01 klockan 17:13 +0100 skrev Samuel Lidén Borell: > Där hittade du deras "halvhemliga" infosida (fast som finns länkad från > deras publika presentationer)! Hittade den själv på samma sätt som du. > Ledsen att du fick gräva efter den men den finns faktiskt länkad från > wikin. Där ser man ;) Kan inte påstå att jag grävde. Totalt 4 google sökningar under några minuter. Tog nog längst tid att skriva emailet. Fast Google hittade visst inte vår wiki? Mvh Henrik
Någon som tittat på nya BankID? (5.1+)
Har kommit ut en ny klient 5.1, och med den en ny testsida på test.bankid.com. Någon som tittat på hur den fungerar? 5.1 verkar bara finnas i Windows & Mac versioner. Senaste Linux är 4.19.1.11663. Märkte det då test.bankid.com sparkar bakut trots att fribid är installerad, och fanns en länk för att testa nya versionen som såg lite annorlunda ut, och inte sparkade bakut bara för att man kör Linux. Dock hittar den inte BankID klienten alls istället.. Mvh Henrik
