eID sa na Slovensku začal vydávať od 02.12.2013. Jedna sa o elektronickú identifikačnú kartu s čipom resp. ide o elektronicky občiansky preukaz, ktorý slúži na komunikáciu s úradmi. Keď som testoval eID pod MS Windows, tak to fungovalo dosť intuitívne, ani nebolo potrebné nahliadnuť do manuálu. Pod Linuxom to už také jednoduché nebolo, ale manuál obsahuje takmer všetko potrebné aby nám to fungovalo aj v linuxe.
Keď som si bol v Januári 2016 (po expirácii starého občianskeho preukazu) vybaviť nový eID, tak som dostal okrem certifikátu aj čítačku kariet gemalto zadarmo. Podľa slovensko.sk je teraz za vybavenie eID poplatok 4,5€. OK, poďme si povedať čo potrebujeme na komunikáciu s úradmi elektronicky. Len pripomeniem, že tento blog popisuje prevádzku eID v OS Linux.
- PC (notebook) s procesorom x86, x86_64
- OS založený na Debiane
- Debian 9 alebo 10
- Ubuntu 18.04, alebo 20.04
- Linux Mint 19, alebo 20
- PC musí byť pripojený k internetu
- Čítačku čipových kariet PC/SC
- Samotný eID
- Platný BOK, ZEP (PIN, PUK)
OS Linux Debian, Ubuntu a Mint sú uvedené v návode, ktorý bol aktualizovaný 01.07.2020. Silne verím, že to bude fungovať aj na iných linuxových distribúciách. Ja osobne som to testoval na Linux Mint 19.3 XFCE (64-bit).
Inštalácia aplikácie pre eiD
Najprv si vytvorime adresár, kde stiahneme, rozbalíme a nainštalujeme aplikáciu
mkdir ~/eid
cd eid
wget https://eidas.minv.sk/download/Aplikacia_EID/linux/mint/Aplikacia_pre_eID_amd64_mint.tar.gz
tar xvf Aplikacia_pre_eID_amd64_mint.tar.gz
./install.sh
Inštalujeme balík: Aplikacia_pre_eID_amd64_mint.deb
[sudo] heslo pre používateľa jany:
Reading package lists... Done
Building dependency tree
Reading state information... Done
Reading state information... Done
Vyžaduje inštaláciu nasledovných balíkov: libccid libutempter0 pcscd xterm
Aplikácia pre eID
Chcete nainštalovať softvérový balík? [a/N]:a
Na inštaláciu sa vyžaduje mať práva roota, preto po zadaní hesla pokračujeme podľa inštrukcií a odsúhlasíme inštaláciu balíka. Inštalácia potrebných balíkov a knižníc bude trvať niekoľko sekúnd. Po inštalácii pripojíme čitačku čipových kariet pomocou USB rozhrania k PC (notebooku) a môžeme spustiť aplikáciu eID. Aplikáciu spustíme tak, že klikneme na spodnej lište na LM tlačidlo (obdoba ponuky štart vo windows), napíšeme eid, kde uvidíme ikonu aplikácie eID a klikneme na ňu.
Identifikácia čitačky pod linuxom
Bus 001 Device 005: ID 08e6:3437 Gemalto (was Gemplus) GemPC Twin SmartCard Reader
Po spustení eID vyskočí do popredia okno ktoré nám oznamuje, že na PC nemáme nainštalovaný Design Web Signer, ktorý slúži na vyhotovenie elektronického podpisu. Takže ho môžeme kľudne nainštalovať.
A nakoniec dostaneme otázku, či chceme aby sa aplikácia pre eID spúšťala po štarte systému, načo som odpovedal záporne (čiže klikol som na button zavrieť). Ak mame záujem aby sa aplikácia spúšťala po štarte PC, tak klikneme na button Potvrdiť (príp. to môžeme nastaviť dodatočne v nastaveniach aplikácie).
eID aplikácia (pokiaľ je v čítačke zasunutá eID karta) nás vyzve aby sme zadali 6 miestny BOK.
Teraz prejdeme na web slovensko.sk a môžeme sa prihlásiť. Znova zadáme správny BOK.
Ak sme podnikateľ, alebo právnická osoba, tak sa nás systém opýta, či sa chceme prihlásiť ako bežný občan, alebo ako firma na IČO.
Tak prvá úloha je za nami, a mi sme sa prihlásili na portál skovensko.sk. Štát nám automaticky založil aj e-mailovú schránku do ktorej budeme dostávať elektronickú poštu.
Vytvorenie KEP
KEP je kvalifikovaný elektronický podpis, ktorý budeme používať na potvrdzovanie dokumentov ako napr. podanie daňového priznania a pod. Tu je citát z webu slovensko.sk „Na prácu vo webových prehliadačoch nepodporujúcich technológie NPAPI, ako je napríklad Google Chrome, je potrebné si inštalovať aplikáciu D.Launcher. Java komponenty pre KEP sa pri použití aplikácie D.Launcher stiahnu automaticky, ak má príslušný portál orgánu verejnej moci funkčnosť integrovanú v rámci svojich webových stránok.„
Aplikácia D.Launcher slúži na vytvorenie spojenia a zabezpečenie komunikácie medzi web stránkou prehliadača a komponentami pre kvalifikovaný elektronický podpis (KEP), napr. D.Signer/XAdES, D.Signer Tools, resp. D.Viewer, ktoré sú integrované v rámci portálových riešení informačných systémov. Aplikácia D.Launcher zabezpečuje:
- v prípade volania funkcií komponentu pre KEP z web stránok portálu spustenie príslušného komponentu pre KEP na PC používateľa
- vytvorenie zabezpečeného (HTTPS) komunikačného kanálu medzi web stránkou prehliadača a príslušným komponentom pre KEP
V prípade volania funkcií niektorého z komponentov pre KEP z web stránok zobrazených vo web prehliadači pošle najprv web stránka prehliadača aplikácii D.Launcher požiadavku na spustenie príslušného komponentu (D.Signer/XAdES, D.Signer Tools alebo D.Viewer). Aplikácia D.Launcher spustí príslušný komponent pre KEP a získa od neho komunikačnú URL, ktorú odovzdá naspäť web stránke prehliadača. Tá sa následne pripojí na zabezpečenú komunikačnú URL (HTTPS) a tým sa vytvorí bezpečné komunikačné spojenie medzi web stránkou prehliadača a príslušným komponentom pre KEP.
Môžeme zostať v adresári kde sa práve nachádzame ~/eid. Následne stiahneme posledný Oracle Java 8 x64, rozbalíme a zaregistrujeme. Posledný príkaz je zadaný konkrétne aj z užívateľským menom. Ak budete použivať príkaz, tak je potrebné upraviť užívateľské meno.
wget https://javadl.oracle.com/webapps/download/AutoDL?BundleId=244058_89d678f2be164786b292527658ca1605
tar -zxvf AutoDL?BundleId=244058_89d678f2be164786b292527658ca1605
sudo update-alternatives --install /usr/bin/javaws javaws /home/jany/eid/jre1.8.0_281/bin/javaws 1
V terminály by mal byť výstup
update-alternatives: using /home/jany/eid/jre1.8.0_281/bin/javaws to provide /usr/bin/javaws (javaws) in auto mode
Teraz môžeme stiahnuť D.launcher
Po stiahnutí aplikácie, ktorá je zabalená zipom ju rozbalíme napr. tiež do ~/eid, pridelíme jej práva na spustenie a potom inštaláciu spustíme, alebo to spravíme jednoducho cez terminál.
wget https://www.slovensko.sk/static/zep/apps/DLauncher.linux.x86_64.zip
unzip DLauncher.linux.x86_64.zip
chmod +x DLauncher.linux.x86_64.run
./DLauncher.linux.x86_64.run
Ďalej pokračujeme intuitívne podľa sprievodcu inštaláciou a po vygenerovaní certifikátov vyskočí nasledujúca hláška
Po potvrdení tlačidla OK dostaneme ďalšiu hlášku, ktorú tak isto potvrdíme OK
V terminály nám zostane visieť tento log
[I] Startujem... ("/home/jany/.ditec/dlauncher-bin/dLauncher") (:0, )
[I] Startujem v rezime launcher (:0, )
[I] Startujem... ("/home/jany/.ditec/dlauncher-bin/dLauncher", "-s") (:0, )
[I] Startujem v rezime hlavnej instancie (:0, )
[W] QSslSocket: cannot resolve SSLv2_client_method (:0, )
[W] QSslSocket: cannot resolve SSLv2_server_method (:0, )
Teraz prejdeme na slovensko.sk do poštovej schránky a vyskúšame vytvoriť novú správu. Čiže v schránke klikneme na + Vytvoriť správu a ako službu vyberieme Všeobecné podanie. Z rolovacieho menú vyberieme možnosť TEST-NASES a klikneme „Prejsť na službu “
Do kolónky predmet napíšeme nejaký predmet a do oblasti pre text nemusíme písať nič (pretože sa jedná len o test). Hneď môžeme kliknúť na button Podpísať a uvidíme niečo podobné, kde sa prehliadač Google Chrome snaží otvoriť aplikáciu na podpisovanie. Pokojne môžeme kliknúť na Otvoriť xdg-open.
Spustí sa Java. Z portálu slovensko.sk stiahne potrebné jar komponenty a následne nám položí otázku či chceme spustiť aplikáciu D.Signer/XAdES Java. Ďalej nás aplikácia upozorňuje, že bude bežať s neobmedzeným prístupom a môže ohroziť náš počítač a osobné informácie. Čiže môžeme kliknúť na run, len ak dôverujeme vydávateľovy. Ak označíme checkbutton „Do not show this again for apps from the publisher and location above“ tak toto okno sa viac nebude zobrazovať
Po prečítaní odsúhlasíme licenčnú zmluvu
Nastavíme autokonfiguráciu, príp. označíme EAC MW klient a odklikneme OK.
Klikneme na podpísať
V ďalšom okne máme nastavený prístup k certifikátom PKCS#11/PKCS#12 a použitú knižnicu. Takže vyberieme slot #1 a klikneme na ďalej
Zadáme náš BOK
Potom uvidíme okno, kde bude náš certifikát, ktorým podpíšeme dokument. V tomto prípade je tam jeden certifikát vydaný na naše meno a mi klikneme na OK. Ak nás to zaujíma, tak si môžeme nechať zobraziť vygenerovaný certifikát, ale pre bežného človeka je to zhluk nezmyselných znakov.
Aplikácia bude chcieť od nás KEP PIN
V následujúcom okne uvidíme ako sa nám zobrazí informácia o podpísanom dokumente a nám stačí odkliknuť button OK
V mailovej schránke už vidíme, že dokument bol podpísaný kvalifikovaným elektronickým podpisom. Samozrejme správu neodosielame (môžeme ju zmazať). Našim cieľom bolo preveriť či náš systém dokáže použiť KEP.
Záver
Aj tak si myslím, že slovensko.sk nepripravilo manuál pre linux dokonale, pretože sa mi to nepodarilo rozbehnúť tak jednoducho ako je to popísané v manuály. Je mi úplne jasné, že Linux používa možno 1-2% populácie, takže sa tým úrady asi veľmi nezaoberajú. Avšak, keď som potreboval poradiť, tak nebol žiadny problém. Komunikáciu so servicedeskom slovensko.sk hodnotím na výbornú, pretože na moje emaily odpovedali promptne a fundovane. Viac detailných informácii je možné nájsť v linkoch, ktoré som umiestnil pod blog.