
		Belgische EID PKCS#11 bibliotheek
		=================================

Versie: 1.4
Datum: 01/09/2004

Deze software maakt gebruik van de volgende Open Source projecten:
- OpenSC (zie http://www.opensc.org), licentie: zie de file "COPYING" in dit pakket
- OpenSSL (zie http://www.openssl.org), licentie: zie de file "LICENCE" in dit pakket

Platforms:
- GNU/Linux met glibc v2.2 of v2.3 en PC/SC Lite v1.1.1 of hoger
- Mac OS X


Installatie op Max OS X
=======================

Let op: voordat deze middleware kan gebruikt worden, moet er een PC/SC smart card
lezer geinstalleerd zijn.
Zie http://www.linuxnet.com/middle.html voor enkele beschikbare PC/SC drivers.
Om de lezer te installeren: zie de installatiehandleiding voor die lezer.

1. Om deze middleware te installeren, moet je een Terminal window openen.
Open hiervoor Finder, klik dan op Applications, daarna op Utilities en
dubbel-klik tenslotte op Terminal.

2. In het Terminal window: ga naar de installatie directory,
dit is dezelfde directory als die waar dit readme bestand zich bevindt.
(Bijvoorbeeld, om naar de Desktop directory te gaan, tik je "cd Desktop".)
In de installatie directory moet zich het bestand install.sh bevinden.
(Je kan de inhoud van een directory zien door "ls" in te tikken.

3. Voer het install.sh bestand uit als root (administrator).
Om 'in te loggen' als root: tik in "sudo /bin/bash" en tik het root
paswoord in.
Om het install.sh bestand uit te voeren: tik je "./install.sh"

4. Testen (in het Terminal window)
Eerst moet de pcscd service gestart worden indien dit nog niet gedaan is.
Dit kan door "pcscd" in te tikken als root.
- Om te testen of de lezer correct is geinstalleerd:
    /usr/local/bin/belpic-tool -l
  Dit moet een lijst geven van de beschikbare lezers.
- Om te testen of de Belgische EID kaart werkt met de lezer, steek
  de EID kaart in en tik in:
   /usr/local/bin/belpic-tool -a
  Dit zou de ATR van de EID kaart moeten geven.
- Om de middleware te testen, steek de EID kaart in en tik:
   /usr/local/bin/belpic-pkcs11-tool -t -l
  Er zal 3 maal om de PIN gevraagd worden: de eerste maal in 
  het Terminal window en daarna 2 maal in een PIN dialoog venster
  (dit kan verborgen zitten achter het Terminal window).
  Tik daarna tweemaal "x" om te stoppen.

Om je PIN te veranderen, gebruik je het volgende commando:
     /usr/local/belpic-pkcs11-tool -c


Installatie in Mozilla
======================

Om te installeren:
  Open Mozilla, en tik in:
     file:///Users/
  in de URL balk.
  Ga dan naar het bestand pkcs11_install_netsc_moz.htm

  Open Mozilla, en tik in
     file:///Users/
  in de URL balk.
  Ga dan naar het bestand pkcs11_uninstall_netsc_moz.htm

(De .htm bestanden zitten in dezelfde directory als deze readme file)


Configuratie file
=================

Er is een optionele configuratie file die kan gebruikt worden om b.v.
- het loggen van fouten te regelen
- de taal van de PIN dialoog te regelen: zie de 'force_language' optie

LET OP: sommige lezers vereisen dat de 'apdu_fix' optie op 'true' staat.
Om dit te doen, vervang de lijn

	#apdu_fix = false;
into
	apdu_fix = true;

De configuratie file is /usr/local/etc/belpic.conf.


Enkele technisch opmerkingen ivm deze PKCS#11 bibliotheek
=========================================================

1. Over de PIN dialoog

Normaal gezien vraagt een PKCS#11 bibliotheek geen PINs omdat de
applicatie dit doet en dan de PIN aan de PKCS#11 bibliotheek
geeft (die ze dan aan de smart card geeft).

De Belgisch EID kaart legt echter de volgende regels op:
- Eens de PIN is ingegeven, kan de Authenticatie sleutel onbeperkt
  gebruikt worden.
- De Signature sleutel kan enkel gebruikt worden als de PIN
  wordt ingegeven net voordat de handtekening wordt gemaakt.
  Dus iedere keer dat je een handtekening wil maken met die
  sleutel moet je je PIN ingegeven.

De PKCS#11 standaard ondersteunt dit gedrag niet: eens ingelogd
met een PIN wordt er verondersteld dat je toegang hebt tot alle
private sleutels die met die PIN beschermd zijn.

Daarom vraagt deze PKCS#11 bibliotheek, elke keer dat er een
handtekening met de Signature sleutel wordt gedaan, zelf de
PIN van de gebruiker.

2. Zichtbaarheid van de private sleutel objecten

De meeste PKCS#11 implementaties geven enkel informatie over de
private sleutel objecten nadat een PIN is ingegeven.

Voor de Belgische EID kaart is hier geen reden voor, gezien
enkel publieke informatie wordt gegeven.
Daarom geeft deze PKCS#11 bibliotheek de informatie over de 
private sleutel objecten zonder dat er eerst een PIN moet
ingegeven worden.
