OpenPGP kiipkaart koos GnuPG-ga Fedora operatsioonisüsteemis#

Märkus

Järgnevad juhised eeldavad, et Nitrokey 3-le on paigaldatud vähemalt püsivara versioon 1.4.0. Selle uuendamise kohta lugege firmware update.

GnuPG kiipkaardi toetus nõuab scdaemon. Fedoras on scdaemon osa GnuPG paketist.

Märkus

scdaemon on paigaldatud /usr/libexec/scdaemon. See tee ei ole tavaliselt osa PATH keskkonnamuutujast.

GnuPG projekt toetab kahte seadistust OpenPGP nutikaardiga ühendamiseks.

  1. GnuPG (scdaemon koos CCID draiveriga) → Smartcard (nt Nitrokey)

    Selles seadistuses suhtleb scdaemon otse Nitrokey’ga oma sisemise CCID draiveri ja libusb abil. See eeldab Udev reeglite seadistamist, sest scdaemon töötab kasutaja ruumis sisselogitud kasutaja õigustega.

  2. GnuPG (scdaemon koos PCSC raamatukoguga) → pcscd → Smartcard (nt Nitrokey)

    Selles seadistuses suhtleb scdaemon * pcscd*, mis omakorda suhtleb Nitrokey’ga.

Fedoral on toetatud ainult teine seadistus, sest GnuPG paketi konfiguratsioon seab CCID draiveri välja lülitatud ja pcsc toe nõutavaks. Vastav konfiguratsioon on leitav spec failist siin ja siin.

Veaotsing#

Viimane Fedora 38 versioon peaks pärast paigaldamist probleemideta töötama. Fedora uuendatud versioonidel võivad olla vastuolulised konfiguratsioonid ja neid tuleks kontrollida nagu allpool. Fedora Silverblue’l on teatatud probleemidest GnuPG ja nutikaartidega. Allpool toodud juhised kehtivad ainult Fedora Workstation ja Fedora Server väljaannetele.

Seadistuse õiget seadistust saab kontrollida, küsides teavet Nitrokey kohta aadressil gpg --card-status.

Kontrollida tunnustamist#

Kontrollige käsuga lsusb, et Nitrokey on tuvastatud. Väljund peaks näitama Nitrokey’d, nt Bus 001 Device 002: ID 20a0:42b2 Clay Logic Nitrokey 3.

Kontrollige süsteemi konfiguratsiooni#

  1. Veenduge, et pcscd pakett on installeeritud koos dnf install pcsc-lite. Lisaks peab teenus systemd ja socket olema lubatud ja käivitatud koos systemctl enable pcscd.socket pcscd.service && systemctl start pcscd.socket.

  2. scdaemon vajab libpcsclite raamatukogu, et ühendada pcscd. pcsc raamatukogu tee saab määrata selgesõnaliselt echo "pcsc-driver /usr/lib64/libpcsclite.so.1" >> ~/.gnupg/scdaemon.conf. Alternatiivselt võib raamatukogu teha kättesaadavaks ka sümbolilinkiga järgmiselt ln -s /usr/lib64/libpcsclite.so.1 /usr/lib64/libpcsclite.so. Veenduge, et failis ~/.gnupg/scdaemon.conf ei ole rakendatud vastuolulisi seadistusi.

  3. scdaemon ootab vaikimisi ainuõiguslikku juurdepääsu pcscd, et vältida võimalikke probleeme kaardil oleva teabe samaaegse muutmisega. See põhjustab juurdepääsu ebaõnnestumise, kui teised kliendid, tavaliselt veebibrauserid, pääsevad kaardile ligi, isegi kui see on ainult lugemine. Jagatud ligipääsu saab lubada käsuga echo "pcsc-shared" >> ~/.gnupg/scdaemon.conf (GnuPG versioonis 2.2.28 või uuemas versioonis).