Ich hab auch ein Problem mit dem Client. Ich habe es heute neu geladen und installiert. Fehlermeldungen sehe ich keine. Ich habe Ubuntu 18.04 und Mint 19 probiert. Der Client wird installiert und dann soll ich den Browser (Firefox) neustarten und das Setup dort weitermachen. Nach Browserneustart sehe ich nur meine alten Tabs. Das Zertifikat ist wohl importiert, aber wohin soll ich jetzt surfen??? https://localhost:9998 ergibt 404.
beaClientSecurity lässt sich nicht installieren
Anmeldungsdatum: Beiträge: Zähle... |
|
||||||||||||
Anmeldungsdatum: Beiträge: 108 |
|
||||||||||||
Anmeldungsdatum: Beiträge: Zähle... |
ist mir dann auch aufgefallen 😉 |
||||||||||||
Anmeldungsdatum: Beiträge: 293 |
Und geht es? |
||||||||||||
Anmeldungsdatum: Beiträge: 18 |
ja, Dienst wird erkannt. |
||||||||||||
Anmeldungsdatum: Beiträge: 57 |
Ein Erfahrungsbericht vom April 2019: Die Client-Security startet hier einigermaßen zuverlässig unter
sowie unter Ubuntu 18.04 nach Installation von folgenden Installationsmedien:
Startet bedeutet hier:
Eingriffe in die Datei Die Client-Security startet nicht nach Installation von folgenden Installationsmedien:
Startet nicht bedeutet:
Die Client-Security lässt sich des weiteren folgendermaßen zum Laufen bringen:
Wird die Client-Security mit dem Standarddesktop von Ubuntu 18.04 gestartet, erscheint in der Konsole eine Meldung, die nahelegt, das Paket Dieser Weg des Nachinstallierens des gewünschten Desktops kann insofern von Interesse sein, als Ubuntu 18.04 LTS über fünf Jahre Sicherheitsaktualisierungen von Canonical erhält. Dies gilt für Pakete aus den Quellen Systeminformationen: getestete Rechner:
getestete Chipkartenleser:
Getestet wurde lediglich das Anmelden am beA-Postfach. Nicht alle Geräte unterstützen das Anlegen qualifizierter elektronischer Signaturen (qeS). getestete Versionen der Client-Security:
Die Client-Security wurde mit dem aktuellen Installations-Tar-Archiv der Version v2.0.1 installiert. Weshalb die eine Versionsangabe vierstellig ist, die andere dreistellig, entzieht sich meiner Kenntnis. Bekannt ist mir lediglich, dass die Versionsnummer der Software auf den BRAK-seitigen Rechnern dreistellig ist (momentan v2.1.6, vgl. https://www.bea-brak.de/). Die spielt für die lokale Installation aber (hoffentlich) gar keine Rolle. |
||||||||||||
Anmeldungsdatum: Beiträge: 293 |
Wow! Herzlichen Dank!! Das erklärt, warum meine bisherigen Versuche fehlschlugen: Mate und Unity .... 😳 |
||||||||||||
Anmeldungsdatum: Beiträge: 57 |
Noch ein paar Notizen zur Installation von Chipkartenlesern: Der Hersteller Reiner SCT bietet für die Installation unter Ubuntu geeignete Treiber für die PCSC-Schnittstelle als DEB-Paket an (Stand SP 13). In etwas älterer Fassung (Stand SP 9) befinden sich diese Treiber auch in den Ubuntuquellen „universe“ (in SP 11 und SP 12 wurde Unterstützung für den cyberjack One nachgerüstet, die Änderungen in SP 10 und SP 13 sind mir nicht näher bekannt). Diese Treiber lassen sich mittels
installieren. Die Treiberversion lässt sich folgendermaßen ermitteln:
Mit den Herstellertreibern von Reiner SCT aus den Ubuntuquellen (Ubuntu 18.04 universe) wurde das Anmelden am beA erfolgreich mit folgenden Chipkartenlesern geprüft:
Neben der PCSC-Schnittstelle gibt es auch einen herstellerübergreifenden Standard CCID zum Ansprechen von Chipkartenlesern (https://de.wikipedia.org/wiki/CCID), der auch von Linux unterstützt wird. Chipkartenleser, die diesen Standard unterstützen, können so ganz ohne Herstellertreiber angesprochen werden. Fliegt die Unterstützung für das eigene Gerät aus dem Herstellertreiber heraus (das ist schon vorgekommen), berührt einen das wenig. Der Betrieb über die CCID-Schnittstelle sollte dauerhaft möglich sein. (Allerdings befindet sich das Paket Will man die CCID-Schnittstelle verwenden, muss das Paket
Mit den CCID-Treibern aus den Ubuntuquellen (Ubuntu 18.04 universe) wurde das Anmelden am beA erfolgreich mit folgenden Chipkartenlesern geprüft:
Die oben erwähnten drei anderen Geräte von Reiner SCT unterstützen die CCID-Schnittstelle offenbar nicht. Es sei nochmals der Hinweis angebracht, dass die Nutzung der qualifizierten elektronischen Signatur (qeS) nicht von allen Chipkartenlesern unterstützt wird. Ich habe dazu bisher keine Tests durchgeführt. |
||||||||||||
Anmeldungsdatum: Beiträge: 57 |
Ein paar Anmerkungen zum Kauf und Umgang mit Chipkartenlesern:
|
||||||||||||
Anmeldungsdatum: Beiträge: 293 |
Noch einmal: wow! Ich hoffe, auch die BRAK/Dienstleister hat dein KnowHow (bekommen)? Die waren damals ziemlich ahnungslos. |
||||||||||||
Anmeldungsdatum: Beiträge: 293 |
Wir haben's noch einmal, diesmal mit dem aktuellen Ubuntu Mate probiert: Alles funktionierte spontan. Ich mein, es wäre sogar nur die Live-Version von Mate gewesen. Nun, nach vollständiger Installation, funktioniert es wieder nicht. Immerhin weit weniger nicht 😉 als unter Standard Ubuntu: Es fehlt "nur" die Anzeige des Tokens nach dem Einstecken der Signaturkarte. Das heißt: Das start-up-Logo des Security Clients erscheint und verschwindet und es wird dann das Icon in der Menüleiste angezeigt und dieses ist auch bedienbar. Der Firefox startet dann auch den Security Client, es erscheint aber eben kein Leseerfolg des Kartenlesers, d.h. es kommt kein Vorschlag des Tokens, den ich gern wie normal dann mit "ok" anklicken würde und dann die PIN zwei Mal eingeben würde. Mir schwant es fehlt an der korrekten Übergabe des Zertifikats an den Firefox. Wo kann ich das nachprüfen? Die Anzahl der Zertifikate ist erschlagend. Wonach müsste ich suchen? Danke schon einmal ... wir sind erst einmal ratlos. ps. Ja, mehrfacher Neustart und auch erst den SC und dann den FF gestartet ... |
||||||||||||
Anmeldungsdatum: Beiträge: 57 |
Manche Leser bestehen darauf, dass beim Anschließen/Einschalten keine Karte steckt. Um welchen Leser handelt es sich?
Was meldet
|
||||||||||||
Anmeldungsdatum: Beiträge: 293 |
Vielen Dank für deine Reaktion! Ich hab ihn gleich heute Morgen noch einmal gestartet: Nun funktioniert alles! NIX geändert, aber nun geht's! Auch deine Tools, die ich bei früheren Versuchen schon einmal genutzt habe, hatte ich noch nicht installiert. Neustart's hatten wir auch gestern gemacht ... Die Karte lass ich bei meinen Versuchen immer erst draußen, bis dieses Untermenü auftaucht, wo der Token fehlt. Dann steck ich sie rein, der Token wird angezeigt, ich klicke ok und gebe zwei Mal die PIN ein. Boaaahh ... gestern haben wir da bestimmt 1,5 h dran gesessen. Hab den Verdacht, dass dort ein Server down war ... Danke noch einmal! |
||||||||||||
Anmeldungsdatum: Beiträge: 57 |
Dass es sich um ein Zertifikats-Problem handelt, erschien mir gleich unwahrscheinlich. Denn <TL;DR:> Dieser Kommentar beleuchtet etwas das technische Zusammenspiel von Client-Security und Firefox. Er enthält keine wichtigen Informationen für die reine Anwendung des beA. In Firefox existiert nach Installation der Client-Security laut GUI (Einstellungen ⇒ Datenschutz & Sicherheit ⇒ Zertifikate ⇒ Zertifikate anzeigen... ⇒ Server) zwar ein Zertifikat für einen Rechner mit der Adresse 127.0.0.1:9998. Ansehen oder exportieren lässt sich das Zertifikat jedoch nicht. Firefox verwendet unter Ubuntu als Vertrauensbasis die systemweiten Zertifikate aus dem Paket
Als Argument wird der Pfad des verwendeten Firefox-Profils benötigt. Dieses sollte (Stand Nov. 2019) eine Datei namens
Eine Suche in der Ausgabe des Kommandos mit Neben den eigentlichen Zertifikatsspeichern verwendet Firefox für die Prüfung der Vertrauenswürdigkeit von Zertifikaten auch eine Ausnahmeliste (Datei
Die durch Doppelpunkt getrennten Hex-Zahlen in der dritten Spalte entsprechen dem Hash des Zertifikats. Der Typ des Hashs wird durch den OID in der zweiten Spalte festgelegt. In diesem Fall ist es ein SHA-256-Hash. Das Zertifikat selbst wird bei der Installation der Client-Security im Verzeichnis
Bei jedem Start der Client-Security wird geprüft, ob die Ausnahme in sämtlichen vorhandene Firefox-Profilen des aktiven Nutzers verzeichnet ist, und diesen gegebenenfalls hinzugefügt. Nachvollziehen lässt sich das zum Beispiel mit dem Werkzeug
Dazu führt man das folgende Kommando aus und startet danach die Client-Security:
Zunächst wird das Zertifikat aus der Datei Sofern eine Datei
Diese Meldung ist inhaltlich falsch. "Nun erstellt" wurde das Zertifikat keineswegs, nachdem ein Profil mit fehlender Zertifikatsausnahme gefunden wurde. Dies mit den gezeigten Werkzeugen nachzuvollziehen, bleibt dem Leser überlassen. Hat die Einrichtung einer Zertifikatsausnahme in Firefox statt der Installation im Zertifikatsspeicher Auswirkungen auf die Sicherheit der Client-Security? Vermutlich nicht. Die effektive Schlüssellänge für die Identitätsprüfung des lokalen Servers wird technisch zwar erheblich herabgesetzt (von 2048 auf 256 Bit, das heißt um den Faktor 2^-1792 ≈ 10^-500). Da das Zertifikat an die Adresse 127.0.0.1 gebunden ist, das heißt an das lokale Gerät, scheint dies allerdings zumindest in Verbindung mit dem Linux-Netzwerkstack kein offensichtliches Tor für einen Angriff aus der Ferne zu öffnen. Wenngleich der Weg, den der Dienstleister der BRAK gewählt hat, der Firefox-Installation das lokale Serverzertifikat unterzuschieben, alles andere als sauber zu bezeichnen ist. |
||||||||||||
Anmeldungsdatum: Beiträge: 57 |
Und weil wir dabei sind, werfen wir noch einen kurzen Blick auf die weiteren Dateien des Verzeichnisses Achtung!Die Dateien im Verzeichnis Hinweis: Im Verzeichnis Hier der Inhalt eines jungfräulichen Verzeichnisses
Die Datei
Bei dem Fingerabdruck handelt es sich um den des Zertifikats in der Datei
Ein Blick in die Datei
Die Datei entpuppt sich schließlich als Zertifikatsarchiv im PKCS-12-Format. Sie enthält sowohl das bereits bekannte Zertifikat (den öffentlichen Schlüssel), den ein Browser zur Prüfung der Identität eines Servers benötigt, als auch den dazu gehörenden privaten Schlüssel, den der lokale Server zum Nachweis der Identität gegenüber dem Browser verwendet. Das PKCS-12-Archiv ist mit einem Passwort gesichert, welches in der Datei
Wie zu erwarten, ist das ausgegebene Zertifikat im PEM-Format identisch zu dem bereits bekannten in der Datei |