
		Belgische EID PKCS#11 bibliotheek
		=================================

Versie: 1.4
Datum: 10/12/2003

Deze software maakt gebruik van de volgende Open Source projecten:
- OpenSC (zie http://www.opensc.org), licentie: zie de file "COPYING" in dit pakket
- OpenSSL (zie http://www.openssl.org), licentie: zie de file "LICENCE" in dit pakket


Platforms:
- GNU/Linux met glibc v2.2 of v2.3 en PC/SC Lite v1.1.1 of hoger


Installatie in Mozilla
======================

Om te installeren:
  mozilla pkcs11_install_netsc_moz.htm

Om te verwijderen:
  mozilla pkcs11_uninstall_netsc_moz.htm

(De .htm pagina's zitten in dezelfde directory as deze readme file)


Hoe deze PKCS#11 bibliotheek gebruiken
======================================

De PKCS#11 bibliotheek bevindt zich in /usr/local/lib.
Er zijn ook 2 tools: belpic-tool en belpic-pkcs11-tool. Deze bevinden zich
in /usr/local/bin, zie de 'man-pages' voor meer uitleg.

Voordat de PKCS#11 bibliotheek kan gebruikt worden, moet er een PC/SC smart card
lezer genstalleerd zijn.
Zie http://www.linuxnet.com/middle.html voor enkele beschikbare PC/SC drivers.

Met de tools kan je het volgende controleren:
     belpic-tool -l   	        (om te zien of een kaart lezer aanwezig en genstalleerd is)
     belpic-pkcs11-tool -L      (geeft een lijst van de beschikbare pkcs11 slots en tokens)
     belpic-pkcs11-tool -0      (laat de aanwezige pkcs11 objecten in het eerste token zien)
     belpic-pkcs11-tool -t -l   (om de pkcs11 bibliotheek en de Belgische EID kaart te testen)

Om je PIN te veranderen, gebruik je het volgende commando:
     belpic-pkcs11-tool -c


Configuratie file
=================

Er is een optionele configuratie file die kan gebruikt worden om b.v.
- het loggen van fouten te regelen
- de taal van de PIN dialoog te regelen: zie de 'force_language' optie

LET OP: sommige lezers vereisen dat de 'apdu_fix' optie op 'true' staat.
Om dit te doen, vervang de lijn

	#apdu_fix = false;
into
	apdu_fix = true;

De configuratie file is /usr/local/etc/belpic.conf.


Enkele technisch opmerkingen ivm deze PKCS#11 bibliotheek
=========================================================

1. Over de PIN dialoog

Normaal gezien vraagt een PKCS#11 bibliotheek geen PINs omdat de
applicatie dit doet en dan de PIN aan de PKCS#11 bibliotheek
geeft (die ze dan aan de smart card geeft).

De Belgisch EID kaart legt echter de volgende regels op:
- Eens de PIN is ingegeven, kan de Authenticatie sleutel onbeperkt
  gebruikt worden.
- De Signature sleutel kan enkel gebruikt worden als de PIN
  wordt ingegeven net voordat de handtekening wordt gemaakt.
  Dus iedere keer dat je een handtekening wil maken met die
  sleutel moet je je PIN ingegeven.

De PKCS#11 standaard ondersteunt dit gedrag niet: eens ingelogd
met een PIN wordt er verondersteld dat je toegang hebt tot alle
private sleutels die met die PIN beschermd zijn.

Daarom vraagt deze PKCS#11 bibliotheek, elke keer dat er een
handtekening met de Signature sleutel wordt gedaan, zelf de
PIN van de gebruiker.

2. Zichtbaarheid van de private sleutel objecten

De meeste PKCS#11 implementaties geven enkel informatie over de
private sleutel objecten nadat een PIN is ingegeven.

Voor de Belgische EID kaart is hier geen reden voor, gezien
enkel publieke informatie wordt gegeven.
Daarom geeft deze PKCS#11 bibliotheek de informatie over de 
private sleutel objecten zonder dat er eerst een PIN moet
ingegeven worden.
