Identity
Gestão de Identidades no SAPO

08 Dezembro 2009

Depois do teaser que deixámos em Setembro, ficou disponível desde o Codebits 2009 a primeira versão do software do cartão do cidadão para OSX

 

OSX Citizen

 

Qualquer cidadão utilizador de Mac que experimentasse usar o software oficial do cartão do cidadão teria certamente vários problemas

 

1. Instalação é à falta de melhor adjectivo, obnóxia.

2. Compatibilidade exclusiva com o browser Firefox.

3. Permanente atraso face à release actual do OSX (ainda vai no 10.5)

4. Inexistência de integração com o Keychain (Porta-chaves)

 

CIdadão OSX, mas de segunda categoria. Ao contrário dos belgas que viram a distribuição do OSX contemplar nativamente o seu cartão do cidadão, os portugueses têm de se contentar com um "port" da versão Windows, fechada a 7 chaves.

 

No SAPO fizémos várias abordagens ao tema. Conversas com a Apple e a Zetes a quem agradecemos a atenção que dispensaram ao tema mas cujas mãos estavam aparentemente atadas por questões de negócio.

O objectivo inicial era usar o tokend nativo do OSX.

 

A alternativa mais viável foi juntar as peças do puzzle. Por um lado, a comunidade dos developers com os brilhantes João Poupino e Paulo Andrade; por outro um projecto opensource dedicado aos Smart Cards: o OpenSC.

 

A peça final do puzzle foi-nos gentilmente cedida pela A.M.A. (Agência para a Modernização Administrativa) que nos disponibilizou a documentação possível.

 

O resultado foi esta primeira versão que integra plenamente com o Keychain e consequentemente com o Safari.

 

O código é totalmente open source. Inclusive soubémos que os desenvolvimentos feitos irão integrar a distribuição oficial do OpenSC em breve.

 

É uma versão beta. Reportes de bugs e sugestões serão bem vindas. Developers interessados em participar no projecto também.

 

O roadmap prevê vários objectivos entre os quais destacamos

 

1. Criar uma interface gráfica (GUI) para vizualizar os dados do cartão

2. Criar forma fácil e eficiente de obter certificados de mail junto de uma CA e incorporá-los no próprio cartão. Isto permitirá assinar mails no Mail.app

 

Experimentem e deixem-nos o vosso feedback.

 

PS. Agradecimentos especiais ao cidadão osx honorário número 1, o Manuel Silva dos Açores que muito interveio na fase inicial.

publicado por Eduardo às 22:34

Viva, necessitava de testar o meu cartão pq irão haver mudanças de residência na familia mas estou a obter o seguinte com MAC OS X Lion aqui no sapo.

Error 141 (net::ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED): Unknown error.

qqer ajuda é bem vinda.

abraços e continuação de bom trabalho.
Miguel Saraiva Sampaio a 10 de Janeiro de 2012 às 21:35

Olá Miguel,

Obrigado por nos ter reportado o problema.

Podia voltar a tentar fazer login no SAPO?

Se o problema persistir, pode-nos dizer qual a versão do browser que está a utilizar?

Cumprimentos,
João


João a 30 de Janeiro de 2012 às 18:05

Continuo com o mm problema no chrome.

Obrigado.
Miguel Sampaio a 30 de Janeiro de 2012 às 20:09

Olá Miguel.

Várias questões. Ajudar-nos-á se as puder responder.

1. Qual é a versão do Chrome que está a utilizar? Pode vê-lo em Chrome->About Google Chrome
2. Se tentar fazer login em login.sapo.pt com o cartão de cidadão no Safari, qual o resultado?
3. Pode abrir a aplicação Terminal, com o cartão colocado no leitor, e correr o seguinte comando?:
/Library/OpenSC/bin/pkcs11-tool -tl

Qual é o resultado?

Obrigado,
João
João a 30 de Janeiro de 2012 às 23:42

1. Qual é a versão do Chrome que está a utilizar? Pode vê-lo em Chrome->About Google Chrome
--> 16.0.912.77

2. Se tentar fazer login em login.sapo.pt com o cartão de cidadão no Safari, qual o resultado?
--> Não me aceita o certificado unknown após introduzir a pass do keychain, fica em loop escolher certificado -> pass ....

3. Pode abrir a aplicação Terminal, com o cartão colocado no leitor, e correr o seguinte comando?:
/Library/OpenSC/bin/pkcs11-tool -tl

--> Sim mostra-me o usage da app.

Qual é o resultado?

MBP:~ saraiva$ /Library/OpenSC/bin/pkcs11-tool -tl
Usage: pkcs11-tool [OPTIONS]
Options: (...)

Obrigado
Miguel Sampaio a 31 de Janeiro de 2012 às 18:47

Olá Miguel,

Obrigado pela resposta.

Deixamos mais alguma questões.

1. Quando abre a aplicação Keychain Access com o cartão introduzido, consegue ver uma keychain com o nome CARTAO DE CIDADAO?

2. Em relação ao ponto 3 da pergunta anterior, por lapso demos-lhe a sintaxe errada do comando. Segue a versão corrigida:

/Library/OpenSC/bin/pkcs11-tool --module /Library/OpenSC/lib/opensc-pkcs11.so -tl

Qual é o output?

João
João a 31 de Janeiro de 2012 às 23:42

1. Quando abre a aplicação Keychain Access com o cartão introduzido, consegue ver uma keychain com o nome CARTAO DE CIDADAO?

--> Consigo

2. Em relação ao ponto 3 da pergunta anterior, por lapso demos-lhe a sintaxe errada do comando. Segue a versão corrigida:

/Library/OpenSC/bin/pkcs11-tool --module /Library/OpenSC/lib/opensc-pkcs11.so -tl

Qual é o output?

MBP:~ saraiva$ /Library/OpenSC/bin/pkcs11-tool --module /Library/OpenSC/lib/opensc-pkcs11.so -tl
Using slot 1 with a present token (0x1)
Logging in to "CARTAO DE CIDADAO (Auth PIN)".
Please enter User PIN:
error: PKCS11 function C_Login failed: rv = CKR_PIN_LOCKED (0xa4)

Aborting.
MBP:~ saraiva$

Vou procurar o pin e já tento de novo....
Miguel Sampaio a 31 de Janeiro de 2012 às 23:49

Olá Miguel,

Pelo output que mostrou, o seu PIN parece estar bloqueado. Terá que dirigir-se a uma loja do cidadão, conservatória do registo civil, ou outra entidade que o possa ajudar a desbloquear o PIN.

Lembramos que necessita do seu PUK de modo a poder desbloquear o PIN.

João
João a 1 de Fevereiro de 2012 às 00:19

MBP:~ saraiva$ /Library/OpenSC/bin/pkcs11-tool --module /Library/OpenSC/lib/opensc-pkcs11.so -tl
Using slot 1 with a present token (0x1)
Logging in to "CARTAO DE CIDADAO (Auth PIN)".
Please enter User PIN:
C_SeedRandom() and C_GenerateRandom():
seeding (C_SeedRandom) not supported
seems to be OK
Digests:
all 4 digest functions seem to work
MD5: OK
SHA-1: OK
RIPEMD160: OK
Signatures (currently only RSA signatures)
testing key 0 (CITIZEN AUTHENTICATION KEY)
all 4 signature functions seem to work
testing signature mechanisms:
RSA-PKCS: OK
Verify (currently only for RSA):
testing key 0 (CITIZEN AUTHENTICATION KEY)
RSA-PKCS: OK
Unwrap: not implemented
Decryption (RSA)
testing key 0 (CITIZEN AUTHENTICATION KEY) -- can't be used to decrypt, skipping
No errors
MBP:~ saraiva$
Miguel Sampaio a 1 de Fevereiro de 2012 às 10:43

Esse output é mais encorajador.

O cartão parece estar a funcionar corretamente. Procedeu ao desbloqueio do PIN?

Pode confirmar que já consegue fazer login com o cartão do cidadão em https://login.sapo.pt?

Obrigado,
João
João a 1 de Fevereiro de 2012 às 14:18

Deu-me erro a tentar aceder pelo Keychain...

Estou a ficar sem tentativas... gastei 2

Agradeço feedback de como fazer reset às 3 tentativas
Miguel Sampaio a 1 de Fevereiro de 2012 às 14:24

Miguel,

O que quer dizer com tentar aceder pelo keychain?

Não é suposto colocar o PIN quando utiliza a app da keychain, apenas quando utiliza o browser.

Sempre que faz um login com sucesso no cartão, é feito reset ao contador de tentativas.

O output que mostrou anteriormente (com o comando pkcs11-tool) mostrava que tinha conseguido introduzir o PIN corretamente. Nesse caso o contador de tentativas é reiniciado.

O teste que recomendados é o seguinte:

1. Utilize novamente a pkcs11-tool e verifique que o cartão está a funcionar bem. A partir daqui terá a garantia que o contador de tentativas está em 3.
2. Aceda a https://login.sapo.pt. Escolha o certificado com o seu nome (o certificado de autenticação) e utilize o seu PIN de autenticação. Qual é o resultado?

Obrigado

João
João a 1 de Fevereiro de 2012 às 14:45

Funcionou!

Perfeito!

Obrigado.

Agora reler os post para conseguir ter uma boa utilização de uma boa tecnologia (para todos).

Obrigado
Miguel Sampaio a 1 de Fevereiro de 2012 às 19:55

CorretorEmoji

Se preenchido, o e-mail é usado apenas para notificação de respostas.

Este blog tem comentários moderados.

Este blog optou por gravar os IPs de quem comenta os seus posts.


Dezembro 2009
Dom
Seg
Ter
Qua
Qui
Sex
Sab

1
2
3
4
5

6
7
8
9
10
11
12

13
14
15
16
17
18
19

20
21
22
23
24
25
26

27
28
29
30
31


Subscrever por e-mail

A subscrição é anónima e gera, no máximo, um e-mail por dia.

subscrever feeds
posts dos autores
pesquisar
 
blogs SAPO