Skip to content

Eesti ID-kaardi tarkvara ehk open-eid v. 23.3 kasutamine Debian bookworm'is

Täna ilmunud Debian bookworm'is on id-kaardi tarkvara paigaldamine või varasemast versioonist uuendamine lihtne. Seekord on Ubuntu ja Debiani arendusjärgud open-eid suhtes nii ilusti sünkroonis, et ühtegi lisakohendust pole vaja teha.

1) uuendamine eelmisest Debian versioonist
Kui uuendad varasemast Debian versioonist ja sul RIA avalik võti oli lisatud vanal meetodil (näed, et saad vea "Key is stored in legacy trusted.gpg keyring"), siis nüüd käib see teisiti ja tee ühte alljärgnevast (kui juba oli sel meetodil lisatud, siis ära muuda midagi):

kui arvuti on seadistatud sudo't kasutama:

wget -qO- https://installer.id.ee/media/install-scripts/C6C83D68.pub | sudo tee /etc/apt/keyrings/open-eid.asc

kui arvuti pole seadistatud sudo't kasutama:

wget -qO- https://installer.id.ee/media/install-scripts/C6C83D68.pub | tee /etc/apt/keyrings/open-eid.asc

Ning lisa /etc/apt/sources.list faili read:

# dist-urgrade focal->jammy aaaa-kk-pp
deb [signed-by=/etc/apt/keyrings/open-eid.asc] https://installer.id.ee/media/ubuntu/ jammy main

Ja tee tavaline uuendus:

apt update && apt upgrade

2) puhta Debian bookworm'i puhul on paigaldus selline (kõik tegevused juurkasutajana):

wget -qO- https://installer.id.ee/media/install-scripts/C6C83D68.pub | tee /etc/apt/keyrings/open-eid.asc
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb [signed-by=/etc/apt/keyrings/open-eid.asc] https://installer.id.ee/media/ubuntu/ jammy main' >> /etc/apt/sources.list
apt update
apt install open-eid web-eid-firefox
(või Chromiumi eelistamise puhul)
apt install open-eid web-eid-chrome
(või nii Firefoxi kui Chromiumi kasutamise puhul)
apt install open-eid web-eid-firefox web-eid-chrome

Varasemad artiklid id-kaardi tarkvara paigaldusest:

ID-kaardi tarkvara qdigidoc4 kokkujooksmine Debianis on nüüd korras

Hiljuti kirjutasin, et ID-kaardi tarkvara qdigidoc4 jookseb kokku Debian Bullseyes. Tegemist oli veaga mis on dokumenteeritud siin Segfault with OpenSSL 1.1.1n and newer #1090 ning on parandatud Open EID versioonis 22.6.0.1926 siin Upgrade openssl 1.1.1m and fix crash with new openssl version #453.

Seega tehke oma Debianis uuendused nagu tavaliselt teete ning Digidoc'i kokkujooksmist enam ei teki. Kui panite ss'i pakkide uuendamise ootele ja tegite downgrade'i, siis ärge unustage see nüüd maha võtta:
aptitude unhold libssl1.1 openssl
apt update && apt upgrade


Kui teil ssl'i versioon on juba 1.1.1n-0+deb11u3, siis seda muret pole.

ID-kaardi tarkvara qdigidoc4 jookseb kokku Debian Bullseyes

ID-kaardi tarkvara qdigidoc4 jookseb kevadel 2022 kokku Debian Bullseye's. Olen testinud vaid amd64 puhul ja teisi arhitektuure antud osas kommenteerida ei oska. Visuaalselt näeb see viga välja nii:
  • uue allkirjastatud faili saad näiteks failihalduri kontekstimenüüst luua ja seejärel qdigidoc4 lõpetab töö, kuid allkirjadega fail üldjuhul on olemas
  • allkirjafaili avamisel kuvab qdigidoc4 teadet "Laadin TSL-nimekirja" ja siis jookseb kokku
  • niisama ilma failita käivitamisel qdigidoc4 toimib
  • mõlemal kokkujooksmise juhul on syslog'is "qdigidoc4[$123456]: segfault at 1 ip $midagi sp $sedagi error 4 in libc-2.31.so[$veelmidagi]"
  • muus osas open-eid tarkvara toimib (näiteks autentimine ja allkirjastamine brauseris)
  • juhtub nii open-eid versiooni 21.6 kui 22.1 puhul

Põhjuseks pole aga libc ise, vaid viimane openssl'i versioon. Hetkel on ainus toimiv lahendus ssl teegi downgrade versioonini 1.1.1k-1+deb11u2. Kui sa turvakaalutlustel seda teha ei taha, siis Debianis hetkel head lahendust pole.

Downgrade'i jaoks leiad kaks vajalikud kaks pakki siit:

Ja paigaldad nad käsurealt näiteks nii (olles juurkasutaja õigustes):
  • dpkg -i openssl_1.1.1k-1+deb11u2_amd64.deb
  • dpkg -i libssl1.1_1.1.1k-1+deb11u2_amd64.deb
  • aptitude hold libssl1.1 openssl (et järgmise uuendusega nad ei läheks vahetamisele)

Eesti ID-kaardi tarkvara ehk open-eid v. 21.02 kasutamine Debian Bullseyes

Debian 11 ehk Bullseye külmutamisprotsess on piisavalt kaugel ning suuri muutusi enam ei tule ning ilmselt saavad ID-kaardi huvilised kasutada järgmist loogikat tarkvara paigaldamiseks.

Debianis teatavasti on võimalik kasutada Ubuntu jaoks mõeldud ID-kaardi tarkvara. Kuna nende kahe distro arendusprotsess on natuke nihkes, siis alati üks-ühele paigaldamine ei õnnestu. Nii on länud ka seekord - vajalik libxalan-c111 ei ole Bullseye's saadaval. Üldjoontes on kaks võimalust:

1) sul on kasutusel endine Buster, millele oled teinud distro-upgrade ning orphaner'iga pole seda üle käinud, siis on ta sul olemas, aga igaks juhuks vaata üle:

dpkg -l libxalan-c111 | grep libxalan-c111
ii libxalan-c111:amd64 1.11-9 amd64 XSLT processor library for C++

2) sul on puhas Bullseye või testing'u paigaldus, siis pead ta lisama näiteks Buster'ist

cd /tmp
wget http://ftp.ee.debian.org/debian/pool/main/x/xalan/libxalan-c111_1.11-9_amd64.deb
dpkg -i libxalan-c111_1.11-9_amd64.deb

Aga open-eid paigaldamine on olemuselt sama kui eelmisel korral:

wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb https://installer.id.ee/media/ubuntu/ focal main' >> /etc/apt/sources.list
apt update
apt install open-eid

Kuna apt-key kasutamine senines vormis lõppeb alates Debian 12'st, siis tekib võtme lisamisel hoiatus, kuid lisamine ise toimib.

Busterist üle kolides lihtsalt muuda repositoorium bionic'ust focal'iks ning tee:

apt update && apt upgrade

Varasemad artiklid id-kaardi tarkvara paigaldusest:

Eesti ID-kaardi tarkvara ehk open-eid v. 20.01 kasutamine Debianis

Kui just eelmisel aastal middleware kaasamisest tekkinud ajutine kaos välja arvata, siis hetkel on Debian 10 (aka buster) id-kaardi tarkvara paigaldus uus paigaldus lihtne. Pole vaja ei kombineerida ega midagi.

wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb https://installer.id.ee/media/ubuntu/ bionic main' >> /etc/apt/sources.list
apt update
apt install open-eid

Stretchist üle kolides lihtsalt muuda repositoorium xenial'ist bionic'uks ning tee

apt update && apt upgrade

Varasemad artiklid id-kaardi tarkvara paigaldusest:

Eesti ID-kaardi tarkvara ehk open-eid v. 17.10 kasutamine Debianis

Nädal tagasi ilmus uus ID-kaardi tarkvara versiooninumbriga 17.10. Kui oled Debian stretch'i kasutaja, siis kõik mis on kirjas artiklis Eesti ID kaardi tarkvara ehk open-eid v. 3.12 kasutamine Debianis kehtib jätkuvalt, kuid sul võib vaja olla kahte täiendust:

Kui sul tekib uuendamise käigus veateateid, mis viitavad nimetatud teekidele, siis lisa need kas eraldi "dpkg -i xxx" stiilis, või pannes vastavad repod oma arvuti sources.list faili ning open-eid saab uuendatud versioonini 17.10. Tegemist on siis selle tarkvaraversiooniga, millega saad teha ka ID-kaardi sertifikaatide uuendused.

Eesti ID kaardi tarkvara ehk open-eid v. 3.12 kasutamine Debianis

Aasta tagasi kirjutasin artikli Eesti ID kaardi tarkvara v. 3.11 kasutamine Debianis. Kõik seal märgitu kehtib Debian Jessie kohta jätkuvalt edasi.

Debian testingu (ehk Stretch) kasutajad, kellel on ID-kaardi tarkvara paigaldatud selle sama juhendi alusel on ehk aptitude update või apt-get update puhul märganud selliseid teateid:

Err https://installer.id.ee/media/ubuntu trusty InRelease
The following signatures were invalid: 43650273CE9516880D7EB581B339B36D592073D4
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: https://installer.id.ee/media/ubuntu trusty InRelease: The following signatures were invalid: 43650273CE9516880D7EB581B339B36D592073D4
W: Failed to fetch https://installer.id.ee/media/ubuntu/dists/trusty/InRelease: The following signatures were invalid: 43650273CE9516880D7EB581B339B36D592073D4

Põhjus see et RIA kasutab ID-kaardi tarkvara pakkide allkirjastamiseks uut võtit. Ning kui juba võtmeuuenduseks läheb, siis on mõttekas ka repo uuema vastu ära vahetada. Seega tee juurkasutajana käsurealt alljärgnev:

wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key

Kommenteeri sources.list failist välja või kustuta senine trusty-repo ja lisa samasse faili

deb https://installer.id.ee/media/ubuntu/ xenial main

Tee seejärel

aptitude update && aptitude safe-upgrade

ning näed et osa pakke jääb uuendamata, mistõttu tee kas kohe algselt või seejärel

aptitude dist-upgrade

ning libxml-security-c17 eemaldatakse ja libxml-security-c17v5 tuleb asemele ning kõik komponendid uuenevad viimase versioonini.

Kui sul on pidevalt edasirullunud Debian testing, siis järgevat sinu arvutis ei juhu. Aga uue stretch'i paigalduse puhul tekib probleem libssl teegiga - nimelt stretch'is on olemas libssl1.0.2 ja libssl1.1, kuid vaja oleks libssl1.0.0 pakki.

Loomulikult võid teha vajaliku paki alla sikutada (faili nimi on artikli koostamise seisuga). See näide on amd64 jaoks, kuid vastav sarnane url ja faili nimi on olemas ka i386 ja muude arhitektuuride jaoks.

wget http://security.debian.org/debian-security/pool/updates/main/o/openssl/libssl1.0.0_1.0.1t-1+deb8u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1t-1+deb8u5_amd64.deb

Kuid kuna see libssl saab turvapaikasid veel hea mitu korda, siis õigem oleks kui lisad sources.list faili

# open-eid vajab libssl1.0.0, mida stretch'is pole
deb http://security.debian.org/debian-security jessie/updates main

ning siis tee

aptitude install libssl1.0.0

Kui Debian stretch arvutis varem ID-kaardi tarkvara pole olnud, siis kogu tegevus on selline:

aptitude install apt-transport-https
wget -O /tmp/ria-public-2016.key https://installer.id.ee/media/install-scripts/C6C83D68.pub
apt-key add /tmp/ria-public-2016.key
echo '# open-eid ehk id-kaardi tarkvara' >> /etc/apt/sources.list
echo 'deb https://installer.id.ee/media/ubuntu/ xenial main' >> /etc/apt/sources.list
echo '# open-eid vajab libssl1.0.0, mida stretchis pole' >> /etc/apt/sources.list
echo 'deb http://security.debian.org/debian-security jessie/updates main' >> /etc/apt/sources.list
aptitude update
aptitude install libssl1.0.0
aptitude install open-eid

Eesti ID kaardi tarkvara v. 3.11 kasutamine Debianis

Kuutõrvajas on toimiv juhend Eesti ID kaardi tarkvara v. 3.8 kasutamine Debianis 2014 suvel. Sel viisil paigaldatud tarkvara toimib Stretch'is ja Jessie's edasi, kuid paari kiiksuga:

  • viimased Firefox'id eeldavad et laiendused on allkirjastatud ning vastasel juhul laiendused on blokeeritud (kui kasutad ametlikus repos leiduvat Iceweasel'it, siis see on parasjagu 38ESR'i juures ja seal seda olukorda ei teki)
  • BDOC'i tugi on killuke poolik (ilmselt vajalikud uuemad sertifikaadid on puudu)
  • Ubuntu Precise repo on nüüdseks installer.id.ee saidist puudu ning see võib tekitada olukorra kus /var/lib/apt/lists/partial/ kausta hakatakse poolikuid faile kuhjama ning /var või muu partitsioon, kus ta asub, kirjutatakse varem või hiljem triiki täis (kui sa järgnevat uuendust ei plaani teha, siis vähemalt kommenteeri sources.list failist see rida välja -> deb https://installer.id.ee/media/ubuntu/ precise main)

Ubuntule tehtud ID-tarkvara on saadaval hetkel 14.04 ja 15.04 jaoks. Neist esimene on LTS ning eeldatavalt püsib EstEID tugi kuni järgmise LTS'i ehk 16.04 jaoks saavad EstEID pakid tehtud. Mistõttu mina läksin 14.04 teed (järgmised toimingud loomulikult administraatori õigustes):

  • dokumenteerimise mõttes kommeneteeri /etc/apt/sources.list failist välja rida

    # deb https://installer.id.ee/media/ubuntu/ precise main
    ning lisa
    # tänane kuupäev
    deb https://installer.id.ee/media/ubuntu/ trusty main

  • tee tavaline uuendus

    aptitude update
    aptitude safe-upgrade


Jessie puhul ei tohiks tohiks ühtegi probleemi tekkida - EstEID tarkvara uueneb versioonini 3.11.1 ja kõik toimib nagu seni.

Debian testingus aga ei toimi DigiDoc'i klient. Praegune Debian testing (Stretch) on stable'ga (Jessie) võrreldes oluliselt edasi liikunud ning EstEID kontekstis on komistuskiviks libxml-security-c17 puudumine testingus. Olemas on libxml-security-c17v5, aga sellest ei tea EstEID veel midagi.

Lahendus on lihtne: Sikuta Jessie jaoks mõeldid pakk ja paigalda käsitsi (minul konflikte ei tekkinud):
64-bitise paigalduse puhul:

wget http://ftp.ee.debian.org/debian/pool/main/x/xml-security-c/libxml-security-c17_1.7.2-3+b1_amd64.deb
dpkg -i libxml-security-c17_1.7.2-3+b1_amd64.deb

32-bitise paigalduse puhul:

wget http://ftp.ee.debian.org/debian/pool/main/x/xml-security-c/libxml-security-c17_1.7.2-3+b1_i386.deb
dpkg -i libxml-security-c17_1.7.2-3+b1_i386.deb

ning seejärel uuesti

aptitude safe-upgrade

(või vastav arm'i pakk kui seda kasutad)
ning uuendamata jäänud libdigidocpp-tools, libdigidocpp0 ja libdigidocpp-common saavad ka korda ja EstEID tervikuna töökorda.

Kui arvutis varem EstEID oli puudu, siis Debian stable's ehk Jessie's tee nii:

aptitude install apt-transport-https
wget -O /tmp/ria-public.key https://installer.id.ee/media/install-scripts/ria-public.key
apt-key add /tmp/ria-public.key
echo 'deb https://installer.id.ee/media/ubuntu/ trusty main' >> /etc/apt/sources.list
aptitude update
aptitude install estonianidcard qesteidutil esteidfirefoxplugin

Stretch'i puhul oleks tegevus sama, aga enne paigaldust lisa käsitsi libxml-security-c17 (vt eespool).

Lisaks tavapärasele toele Firefox/Seamonkey brauserites toimib autentimine nüüd ka Chromiumis. Kui kasutad Chromiumi kohustuslike eelseadistuste funktsionaalsust (Managed policies) ja seal ExtensionInstallWhitelist direktiivi, siis lisa ckjefchnfjhjfedoccjbhjpbncimppeg ka loendisse.