Kortinlukijaohjelmiston päivitys & kansalaisvarmenne

Huomasin tässä loppukesästä ongelmia sähköisen asioinnin tunnistautumisessa eli henkilökortin sirun sisältämän kansalaisvarmenteeni käytössä. Päivitin kortinlukijaohjelmistoni 4.2.x uudempaan ja sitten ei toiminut mikään. Onneksi oli sateisia päiviä, niin tuli kahlailtua netissä parempaa osaamista etsien. Ohjeita ja vinkkejä löytyi, mutta ei ratkaisua. Vanha konsti avuksi: kaikki älykortin lukemiseen liittyvät kilkkeet pois, ja sen jälkeen hain apua dvv:n sivustolla olevasta ohjeesta ’Loppukäyttäjän ohje Asennus- ja käyttöohje – Linux, V4.2.6

DS_siivousta_I_27ix2024822×466 47.4 KB

Sitten tarpeelliset ladataan kuten
mpollux-digisign-client-for-dvv 4.3.0-8707 [käsin, lähde https://dvv.fi/kortinlukijaohjelmisto]
scute 1:1.5.0-1.1 - OpenPGP smartcard plugin for Mozilla Network Security Services
firefox 130.0.1+linuxmint1+wilma - The Firefox web browser
ym.

Ja nyt toimii ja jopa kannettavan omalla lukijalla Alcor Micro AU9540 / Kla3e

Olkoon tämä jatko-osa II
Käytän turvallisuussyistä mieluiten HST-korttia/kansalaisvarmennetta kun tarvitaan vahvaa tunnistautumista. Linuxa käyttävälle vain usein tulee ongelmia kun on monta liikkuvaa osaa: selainta, kortinlukuohjelmaa tai sen riippuvuuksia päivitetään.

Digi- ja väestötietovirasto (DVV) on valinnut Atostek Oy:n Atostek ID kortinlukuohjelmiston viralliseksi ohjelmistoksi kaikkiinin julkisiin palveluksiin. Ohjelman ensimmäinen versio julkaistiin loppuvuodesta 2024. Olin jo innostumassa: hyvä juttu, vihdoinkin parannusta tilanteeseen? Niinpä ryhdyin kokeilemaan versiota AtostekID_DEB_4.2.1.0.deb, alkuun asennusohjeen avulla, mutta huomasin aika nopeasti tarvitsevani myös integraatio-oppaan (tuolloin Atostek ID 4.2 Integration Guide v1.0).

Tyypillisin ongelma oli alkuun ‘sertifikaatti’ joka näkyi Atostekin lokissa merkinnällä

*...*
*'Cert is missing.'*
*|*
*'Certificate fetch succeeded, but cert was empty. Try fetch again later.'*
*|*
...

Integraatio-oppaassa oli kuitenkin viite Ubuntun tutoriaaliin (ks. jäljempänä lisätietoa), jonka avulla puolivahingossa pääsin kirjautumaan DVV:n testisivulla ja jopa muutamaan palveluun ja vihdoin veroilmoitusta tekemään, mikä keväällä olikin tarpeen. Mutta sitten pitikin puolestaan päivittää Firefox ja siihen loppui se lysti. Sen myötä innostukseni alkoi hiipua samaa tahtia mitä selan tahmaantui. Koko homma meni aivan alusta pitäen uusiksi: kaikki pois ja vaiheittain säätäen takaisin.

Kokemus tästä oli se, että riippuvuuksien hallinnoinnissa ja ajureiden/kirjastojen/moduulien/sertifikaattien sijaintien sunteen kannattaa olla tarkkana.

Kuvakaappaus 2025-03-14 15-03-39713×627 75 KB

Linuxin jakelusta ja versioista riippuen moduulien paikat voivat vaihdella ja etsimisen jälkeen nämä olivatkin minulla näin:

/etc/pkcs11/modules/atostek-id.module
/usr/lib/x86_64-linux-gnu/p11-kit-proxy.so

Huhtikuussa tuli version päivitys uuteen AtostekID_DEB_4.3.0.0.deb, jonka toteutuin poistamalla vanhan version eli ns. puhtaalle alustalle kuten jo edellä tuli tehtyä muista syistä.
Kun asennus on onnistunut ja sertifikaatti paikoillaan tulee sivun https://localhost:53952/ tuottaa ilmoitus “Atostek ID SCS test page loaded OK.”
Jos epäilee jotain olevan pielessä, kanattaa alkuun tutkailla tekstitiedosto Atostekin loki

• /home/{käyttäjä}/.local/share/Atostek Oy/Atostek ID/Error.log

Vaan eipä auttanut; lokissa oli useita eri virheilmoituksia, joista ohessa osa:

*...*
*'|    Error    | Https waitForEncrypted timed out. Error: Network operation timed out'*
*...*
*'|    Error    | Https waitForEncrypted timed out. Error: Error during SSL handshake: error:0A000076:SSL routines::no suitable signature algorithm'*
*...*
*'|    Error    | Https waitForEncrypted timed out. Error: The remote host closed the connection'*
*...*
*'|    Error    | SCardConnectW failed error code hex 8010000c'.*

Ja nyt sitten kolmannen kerran kaikki Atostekiin viittava kokonaan pois
“Seuraavat paketit poistettiin kokonaan: atostekid 4.3.0.0”

Suivaantuneena päitin palata vanhaan DigiSigniin, josta oli kuitenkin tullut uusi vielä versio 27.2.2025, onneksi!
Ladattu dvv.fi sivuilta ohjelma sekä asennus- ja käyttohje — Linux V4.3.2. ja mpollux-digisign-client-for-dvv_4.3.2-8863_amd64.deb

Nämäpä asentuivat kerralla paikoileen ja testisivu https://localhost:53952/ näytti lupaavalta

DigiSing_testi_4v2025951×935 73.3 KB

Nyt pääsin em. DVV:n testisivulle ongelmitta sekä kokeeksi muutamaan viranomaispalveluunkin sujuvasti.

Kokeilun tulos: atostekid 4.x tuottaa tuskaa, mutta versiolla mpollux-digisign-client-for-dvv_4.3.2 palvelut toimivat hyvin.

Pohdintaa
Onko niin, että linuxia käyttävät ovat marginaaliryhmä, joihin ei tarvitse kiinnittää huomiota? Verovaroilla tuotetaan huonosti toimivia kokonaisuuksia ja ohjeistuksella ei ilman lisätietoja saa varmennepalvelu toimimaan ongelmitta. Suositusta seuraamalla päätyy ojasta allikkoon?

Oma kokoonpanoni, joka ainakin tällä hetkellä jopa toimii, on seuraava:
Kernel: 6.8.0-58-generic arch: x86_64 bits: 64 compiler: gcc v: 13.3.0 clocksource: tsc
Desktop: Cinnamon v: 6.4.8 tk: GTK v: 3.24.41 wm: Muffin v: 6.4.1 vt: 7 dm: LightDM v: 1.30.0
Distro: Linux Mint 22.1 Xia base: Ubuntu 24.04 noble
Selain: firefox-beta 139.0b3~build1
DigiSign Client: mpollux-digisign-client-for-dvv 4.3.2-8863

Lisätietoa:

• https://dvv.fi/kansalaisvarmenne-kortinlukijaohjelmisto

• Install Firefox on Linux | Firefox Help

• https://askubuntu.com/questions/342484/etc-pki-tls-certs-ca-bundle-crt-not-found

• https://ubuntu.com/tutorials/how-to-use-smart-card-authentication-in-ubuntu-desktop

Nyt vuorossa jatko-osa III

Huomasin, että vihdoinkin Atostek ID:stä on tullut Linuxille uusi versio 4.4.1.0, ja DVV:n sivustolla teksti on muuttunut mutoon: “DigiSign Client on DVV:n aikaisempi kortinlukijaohjelmisto, joka on asiakkaidemme käytettävissä vielä vuoden 2026 loppuun saakka. DVV:n jakelemaan versioon DigiSign Clientista ei kuitenkaan enää aktiivisesti kehitetä uusia ominaisuuksia, vaan kehitystyö painottuu pääosin bugikorjauksiin. Tämän vuoksi suosittelemme asiakkaitamme siirtymään Atostek ID:n käyttöön.”

No innokkaana lähdin kokeilemaan mitenkäs nyt toimii ja tutustuin ohjeisiin ‘Atostek ID Linux 4.4 -ohjelmiston asennusohje v2.0’

Em. ohjeen mukaan poistin edeltävän DigiSign Clientin seuraavasti.

Seuraavat paketit poistettiin kokonaan:
mpollux-digisign-client-for-dvv

(Luetaan tietokantaa… 783241 tiedostoa ja hakemistoa asennettu tällä hetkellä.)
Poistetaan mpollux-digisign-client-for-dvv (4.3.2-8863)…
Käsitellään paketin desktop-file-utils (0.27-2build1) liipaisimia…
Käsitellään paketin gnome-menus (3.36.0-1.1ubuntu3) liipaisimia…
Käsitellään paketin mate-menus (1.26.1+mint1) liipaisimia…
Käsitellään paketin libc-bin (2.39-0ubuntu8.6) liipaisimia…
Käsitellään paketin mailcap (3.70+nmu1ubuntu1) liipaisimia…
Käsitellään paketin bamfdaemon (0.5.6+22.04.20220217-0ubuntu5) liipaisimia…
Rebuilding /usr/share/applications/bamf-2.index…
(Luetaan tietokantaa… 783222 tiedostoa ja hakemistoa asennettu tällä hetkellä.)
Purging configuration files for mpollux-digisign-client-for-dvv (4.3.2-8863) …
rm: tiedostoa ‘/etc/xdg/Fujitsu/Seed.txt’ ei voi poistaa: Tiedostoa tai hakemistoa ei ole
rm: tiedostoa ‘/etc/xdg/Fujitsu/SSLCA.cer’ ei voi poistaa: Tiedostoa tai hakemistoa ei ole
rm: tiedostoa ‘/etc/xdg/Fujitsu/SSL.p12’ ei voi poistaa: Tiedostoa tai hakemistoa ei ole
Käsitellään paketin libc-bin (2.39-0ubuntu8.6) liipaisimia…

Seuraavaksi latasin Firefoxissa moduulin huom. sijainti ohjeesta poikkeavasti

 /usr/lib/x86_64-linux-gnu/p11-kit-proxy.so

Ja sitten kokeilemaan. Kokeilu ei tuottanut tulosta, vaikka

selaimessa https://localhost:53952
→ Atostek ID SCS test page loaded OK.

selaimessa https://erasmartcard.ehoito.fi:44304/
→ Test page loaded OK

ja lokin mukaan | Information | SHA256 Login tested succesfully eli kirjautumistesti onnistui

Testaa_kirj_4i2026_17540×778 105 KB

Erinäisten kokeilujen jälkeen päätin tehdä ‘manuaalisesti’ selainasetukset ympäristöön, kuten ohjeen kohdassa ‘3.3. Käyttäjäkohtaisten selainasetusten määritys’ opastetaan eli terminaalissa komento:

====
******@:~$ /usr/bin/atostekid-setup-user-browser.sh

“era.ehoito.fi”
“edemo.atostek.com”
44304
54984
64007
49152 - 65535
“era.ehoito.fi”
“edemo.atostek.com”
44304
54984
64007
49152 - 65535
Certificate generated: ‘/home/***********/.local/share/Atostek Oy/Atostek ID//scsca.cer’.
Trying to add CA to NSS database…

Certificate Nickname Trust Attributes

SSL,S/MIME,JAR/XPI
mkcert development CA 1034577C,
DigiSign WebSigner ROOT Certificate for homeperseensuo11a CT,c,c
AID-SCSCA C,
Removing existing ‘AID-SCSCA’ certificate from '/home//.pki/nssdb’.
Successfully added ‘scsca.crt’ to NSS database in '/home//.pki/nssdb’!
Searching for Firefox certificate databases…
Trying to add CA to 3 Firefox certificate databases in all profiles of the user…
|
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
R10 ,
R11 ,
WR3 ,
DigiCert TLS RSA SHA256 2020 CA1 ,
DigiCert TLS RSA SHA256 2020 CA1 ,
AID-SCSCA C,
Successfully added ‘erasmartcard_ehoito_fi_ca.crt’ to '/home/*/.local/share/ice/firefox/testaus91’!

Tein tämän useamman kerran — tästä opin sen, että pitää ihan rauhassa odottaa, että määritykset tulevat oikein kaikkiin selainversioihin; minulla on useampi versio, ja vastaavasti aikaa kuluu enemmän. Pitää odottaa skriptin päättymiseen saakka, muuten asetukset eivät mene kohdilleen.

Pääsin kommelluksin DVV:n varmenteen testisivulle
Kommeluksena pidän sitä, että palvelu vaatii PIN2 (allekirjoitustunnus) ensinnä ja tarpeettomasti.

Kuvakaappaus 2026-01-05 17-33-44523×183 16.8 KB

Ehkä minulla on jotain vanhaa roinaa jossain, joka edelleen häiritsee tai en tulkitse ohjeita oikein. Mutta näillä ohjeilla en ilmeisesti saa parempaa; tyytyminen on siis himen kömpelöön kirjautumiseen, mutta se kuitenkin onnistuu työläästi. Onhan tämä parannus ja suunta on oikeaan, mutta ei ole kovin käyttäjäystävällinen.