Využitie eID - libpkcs11_x64.so (Linux) pre externé aplikácie

Zdravím,
chcel by som využiť eID vo verzii 4.1 resp. modul /usr/lib/eID_klient/libpkcs11_x64.so z externých aplikácií ako napr. LibreOffice Draw, Okular apod. na Ubuntu 22.04 pre podpisovanie s kvalifikovaným elektronickým podpisom. Priamu podporu smartkariet by mal mať napr. Thunderbird a Firefox. Podobne ako je to možné z aplikácií ako Podpisuj, alebo Web Singer. Web Singer modul rozozná automaticky a funguje. V aplikácií Podpisuj ho musím vyhľadať manuálne, následne funguje bez problémov. Firefox a Thunderbird bohužiaľ pri pokuse o komunikáciu zamrznú a musím ich ukončiť natvrdo. Tiež je celkom zaujímavý postup využitia uvedený tu Prihlásenie na SSH s občianskym preukazom no ani ten mi žiaľ nefunguje. Nedokážem extrahovať verejné kľúče. Máte prosím nejaké skúsenosti s využitím ibpkcs11_x64.so?
Ďakujem za pomoc.

Tiež by som rád, ale sa mi nepodarilo.

Problém bude v tom, že slovenská implementácia eID (s knižnicou libpkcs11) je odlišná od štandardného pkcs11, konkrétne dátový kontajner na karte a/alebo spôsob komunikácie medzi kartou a aplikáciou. Keby sa zachoval štandard, tak by fungovalovo podpisovanie PDF slovenským eID v LibreOffice a iných aplikáciách, a to kvalifikovaným podpisom aj zdokonaleným podpisom.

Zrejme z rovnakého dôvodu slovenský eID klient potrebuje Oracle JRE 1.8.0, ale nechce fungovať so štandardným openJDK v aktuálnej verzii.

Linux balíky, ktoré môžu byť potrebné ku eID (ak sa závislosti nevyriešili automaticky pri inštalácii):
pkcs11 (libpkcs11)
pcscd
pcsc-tools
opensc
libccid
gnutls-bin

Kombinácia pkcs11 + gpg:
scdaemon
gpgsm
dirmngr
gnupg-agent
pinentry-qt

Kombinácia pkcs11 + ssh:
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/deployment_guide/sec-ssh_certificate_pkcs_11_token
https://developers.yubico.com/PIV/Guides/SSH_with_PIV_and_PKCS11.html

Vďaka za reakciu.
Ak je odlišná tak je to veľká škoda… :-/ Nechápem prečo sa nedržia štandardu PKCS-11.
No neviem, či je to vec dátového kontajneru, skôr myslím, že je problém v spôsobe komunikácie. Totiž dakedy možno s inou verziou eID klienta fungoval asi napr. export verejných kľúčov (+ten postup prihlásenia sa na SSH), čo mne teraz nefunguje, skúšal ešte niekto?
Na Windowse som kedysi dokázal podpisovať bez problémov s eID cez Adobe Acrobat, tiež so staršou verziou eID klienta, ale teraz už Windows vôbec nepoužívam, takže som to dlho neskúšal :slight_smile: Nevie prosím niekto, či to ešte funguje bez problémov? Tiež sa to asi pokúsim v blízkej dobe otestovať s aktuálnou verziou eID.
Balíčky mi chýbali len libpkcs11, gnupg-agent, gnutls-bin, po doinštalovaní to vyskúšam opäť.
A v neposlednom rade neskúšal prosím niekto napísať ohľadom tejto veci na support slovensko.sk resp. tomu dodávateľovi, ktorý to pre nich zaisťuje? Mňa so všetkými technickými otázkami odkázali vždy priamo na dodávateľa…Myslím, že podpora PKCS-11 by mal byť štandard a mali by sme to od nich vyžadovať… :slight_smile:
Ak by bol problém dátového kontajneru na OP myslíte, že s novým OP od 1.12 (kvôli exspirácií certifikátu plánujem hneď začiatkom decembra poň ísť) sa niečo v tomto smere zmení?
Vďaka.

Vyskúšal som aj návody z daných odkazov, bohužiaľ rovnako neúspešné…
Skúsil som podpísať dokument na Windows:
S Adobe Acrobat Reader funguje podpis s využitím pkcs11_x64.dll eID 4.1 bez problémov, dokonca OP rozozná aj Firefox/Thunderbird, dokáže si ho načítať spustí zadanie BOK…

1 Like

Dnes som testoval využitie PKCS11 s verziou eID 3.7 na Ubuntu 22.04. Exportovať verejné kľúče sa mi podarilo bez problémov, vyskočí okno eID s virtuálnou klávesnicou…
Podobne sa mi podarilo sprístupniť zariadenie aj vo Firefoxe - opäť vyskočilo okno eID s virtuálnou klávesnicou. Firefox/Thuderbird je potrebné použiť iba ako prostredníka pre PKCS11, nakoľko LibreOffice priamo smartkartu neidentifikuje.
Následne som skúsil podpísať s využitím úložiska certov FF cez LibreOffice. Ten mi dokázal zobraziť certy na OP (zdokonalený aj kvalifikovaný), dokázal zobraziť eID virtuálnu klávesnicu, ale nedokázal dokončiť podpisovanie.
Skúšal som aj Okular cez FF úložisko, kde bola karta prístupná, opäť sa spustilo eID, zobrazilo virtuálnu klávesnicu no potom Okular padol…
Asi napíšem supportu, ale ak by ešte niekto vedle zdieľať svoje skúsenosti s obdobnými pokusmi (či napr. nie je chyba dakde u mňa) bol by som vďačný…