Snap/Flatpak en eID software problemen

[tytsjerksteradiel]

voor wie het aanbelangt ( zullen onze Nederlandse vrienden niet van wakker liggen ) :
https://eid.belgium.be/nl/aanmelden-met-eid#7636

Waarom is het gebruik van de eID niet mogelijk met software in snap en/of Flatpak?
De eID software is een plug-in module die ingeladen kan worden door software van derde partijen en die, gebruikmakend van de PKCS#11-standaard, extra functionaliteit kan aanbieden aan die software.
Snap en Flatpak zijn twee implementaties met een gelijkaardig idee: het beperken van de systeemtoegang voor een bepaald softwarepakket tot enkel die software zelf en een aantal toegelaten uitzonderingen (zoals bijvoorbeeld het schrijven van gegevens naar de map "Downloads", zonder lezen ook toe te laten). Zo kunnen in het geval van een beveiligingsprobleem in de software die via snap of Flatpak werd geïnstalleerd werd, kwaadwillige actoren op het internet geen toegang hebben tot jouw systeem en zijn jouw privé-bestanden dus veilig.
Om deze opzet te laten werken moet de samensteller van het snap- of Flatpak-pakket van je webbrowser (Firefox of Google Chrome) expliciet oplijsten welke bestanden geopend mogen worden (hetzij rechtstreeks, hetzij na bevestiging door de gebruiker). Op dit moment laten de beide technologieën nog niet toe om PKCS#11-modules (zoals de eID software) in te laden. Hierdoor is het gebruik van de eID met een webbrowser die via snap of Flatpak geïnstalleerd werd, helaas niet mogelijk.
De browser makers en distributiebeheerders bekijken momenteel een aantal mogelijke oplossingen om het gebruik van pkcs#11 modules via snap (zoals de eID software) toch mogelijk te maken. Voor meer informatie kan u de volgende discussies volgen:
• Ubuntu: https://forum.snapcraft.io/t/native-mes ... naps/26849
Native messaging: https://bugzilla.mozilla.org/show_bug.c ... 1935PKCS11: https://bugzilla.mozilla.org/show_bug.cgi?id=1734371Om het probleem op te lossen kan u in de tussentijd een browser installeren buiten snap of Flatpak om. Opties daarvoor zijn de officiële downloads van Google Chrome (https://www.google.com/chrome/?platform=linux), of de officiële download van Firefox (https://www.mozilla.org/nl/firefox/linux/
).
Merk op dat vanaf Ubuntu 21.10 alle browsers die met Ubuntu meegeleverd worden (Firefox en Chromium), verspreid worden via snap, en dus gevoelig zijn aan dit probleem.

ps : niet denkbeeldig dat het huidig probleem met de nieuwe 2021.5 versie hier aan de basis van ligt ... ik wacht af en hou het voorlopig bij de 2021.4 versie > niet updaten dus !

[stegiman]

Zo juist geupdate (2021.5 ) en werkt veel beter met alle officiële browser die ik heb. (Ik heb de nieuwste identiteitskaart)
Flatpak gebruik ik niet.

[emvedeesje]

Dit werkt hier reeds lang niet meer: https://eid.belgium.be/nl/aanmelden-met-eid#7311
Bij het uitvoeren van command:

Code: Selecteer alles

modutil -dbdir sql:.pki/nssdb -add "Belgium eID" -libfile /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so

Komt volgende foutboodschap:

modutil: function failed: SEC_ERROR_BAD_DATABASE: security library: bad database.

Zowel met de 2021.4 als de 2021.5

Op 2 verschillende Mint-cinnamon 20.2 installaties

groeten van Michael

[MenthaSuaveolens]

Ik kende het bestaan van de tool about-eid-mw niet. Wat is de functie van het linker symbooltje in de menubalk boven? Het rechter is nogal wiedes.

[MenthaSuaveolens]

Hallo emvedeesje, wat krijg je al je gewoonweg

Code: Selecteer alles

modutil -dbdir sql:.pki/nssdb/ -list

uitvoert?

[tytsjerksteradiel]

Zo juist geupdate (2021.5 ) en werkt veel beter met alle officiële browser die ik heb. (Ik heb de nieuwste identiteitskaart)
Flatpak gebruik ik niet.

of topic : dit topic gaat over problemen met Snap & Flatpak
desalniettemin betreffende uw reactie :
1/ werkt " beter " ? ... wat dan wel > uitleg graag
2/ werkt " beter " ? ... ik dacht het niet :
resultaat na de update :
***@***-X751LAB:~$ sudo apt update
Geraakt:1 http://archive.ubuntu.com/ubuntu focal InRelease
Geraakt:2 http://archive.canonical.com/ubuntu focal InRelease
Geraakt:3 http://archive.ubuntu.com/ubuntu focal-updates InRelease
Genegeerd:4 https://files2.eid.belgium.be/debian ulyana InRelease
Geraakt:5 http://archive.ubuntu.com/ubuntu focal-backports InRelease
Geraakt:6 https://files.eid.belgium.be/debian ulyana InRelease
Fout:7 https://files2.eid.belgium.be/debian ulyana Release
Certificate verification failed: The certificate is NOT trusted. The name in the certificate does not match the expected. Could not handshake: Error in the certificate verification. [IP: 212.35.97.188 443]
Genegeerd:8 http://packages.linuxmint.com uma InRelease
Geraakt:9 http://security.ubuntu.com/ubuntu focal-security
Geraakt:10 http://packages.linuxmint.com uma Release
Pakketlijsten worden ingelezen... Klaar
E: De pakketbron 'https://files2.eid.belgium.be/debian ulyana Release' heeft niet langer een Release-bestand.
N: Bijwerken van de pakketlijst uit een dergelijke pakketbron kan niet veilig gebeuren en is daarom standaard uitgezet.
N: Zie de man-pagina apt-secure(8) voor details over het aanmaken van een pakketbron en over de configuratie langs gebruikerskant.
***@***-X751LAB:~$

utgevoerd onder Linux Mint 20.2 Cinnamon met Firefox browser 94.0
herhaal dan ook mijn advies : stel voorlopig de update naar de 2021.5 versie uit !

Edit : in “ sudo nano /etc/apt/sources.list.d/eid.list “ ulyana door uma vervangen , haalt niets uit > van hetzelfde laken een broek :

***@***-X751LAB:~$ sudo nano /etc/apt/sources.list.d/eid.list
[sudo] wachtwoord voor ***:
***@***-X751LAB:~$ sudo apt update
Geraakt:1 http://archive.ubuntu.com/ubuntu focal InRelease
Ophalen:2 http://archive.ubuntu.com/ubuntu focal-updates InRelease [114 kB]
Geraakt:3 http://archive.canonical.com/ubuntu focal InRelease
Ophalen:4 http://archive.ubuntu.com/ubuntu focal-backports InRelease [101 kB]
Genegeerd:5 https://files2.eid.belgium.be/debian uma InRelease
Genegeerd:6 http://packages.linuxmint.com uma InRelease
Genegeerd:7 https://files.eid.belgium.be/debian uma InRelease
Ophalen:8 http://security.ubuntu.com/ubuntu focal-security InRelease [114 kB]
Fout:9 https://files.eid.belgium.be/debian uma Release
404 Not Found [IP: 212.35.97.188 443]
Fout:10 https://files2.eid.belgium.be/debian uma Release
Certificate verification failed: The certificate is NOT trusted. The name in the certificate does not match the expected. Could not handshake: Error in the certificate verification. [IP: 212.35.97.188 443]
Geraakt:11 http://packages.linuxmint.com uma Release
Pakketlijsten worden ingelezen... Klaar
E: De pakketbron 'https://files.eid.belgium.be/debian uma Release' heeft geen Release-bestand.
N: Bijwerken van de pakketlijst uit een dergelijke pakketbron kan niet veilig gebeuren en is daarom standaard uitgezet.
N: Zie de man-pagina apt-secure(8) voor details over het aanmaken van een pakketbron en over de configuratie langs gebruikerskant.
E: De pakketbron 'https://files2.eid.belgium.be/debian uma Release' heeft geen Release-bestand.
N: Bijwerken van de pakketlijst uit een dergelijke pakketbron kan niet veilig gebeuren en is daarom standaard uitgezet.
N: Zie de man-pagina apt-secure(8) voor details over het aanmaken van een pakketbron en over de configuratie langs gebruikerskant.
***@***-X751LAB:~$

[tytsjerksteradiel]

Edit 2 :
zie ook : viewtopic.php?f=52&p=34899#p34899

[MenthaSuaveolens]

Inderdaad van hetzelfde laken een pak

Code: Selecteer alles

Genegeerd:10 http://packages.linuxmint.com uma InRelease
Fout:11 https://files2.eid.belgium.be/debian ulyana Release
Certificate verification failed: The certificate is NOT trusted. The name in the certificate does not match the expected. Could not handshake: Error in the certificate verification. [IP: 212.35.97.188 443]

Het gebeurt wel vaker dat hun server niet correct geconfigureerd staat. De EID-kaart-sofware werkt ok, dus in principe heeft de update enkel als nadeel dat een server niet meer benaderd kan worden.

[tytsjerksteradiel]

Een probleem dat zich telkens voordoet bij de uitgave van een nieuwe door eID Belgium ondersteunde Linux release .
Ik vermoed dat het deze keer voornamelijk te maken heeft met de Cannonical Snap politiek .

Don’t blame BOSA !

[emvedeesje]

Code: Selecteer alles

modutil -dbdir sql:.pki/nssdb/ -list

• Listing of PKCS #11 Modules
  -----------------------------------------------------------
  1. NSS Internal PKCS #11 Module
  uri: pkcs11:library-manufacturer=Mozilla%20Foundation;library-description=NSS%20Internal%20Crypto%20Services;library-version=3.49
  slots: 2 slots attached
  status: loaded
  
  slot: NSS Internal Cryptographic Services
  token: NSS Generic Crypto Services
  uri: pkcs11:token=NSS%20Generic%20Crypto%20Services;manufacturer=Mozilla%20Foundation;serial=0000000000000000;model=NSS%203
  
  slot: NSS User Private Key and Certificate Services
  token: NSS Certificate DB
  uri: pkcs11:token=NSS%20Certificate%20DB;manufacturer=Mozilla%20Foundation;serial=0000000000000000;model=NSS%203
  
  2. Belgium eID
  library name: /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0
  uri: pkcs11:library-manufacturer=Belgium%20Government;library-description=Belgium%20eID%20PKCS%2311%20interface%20v2;library-version=5.0
  slots: 1 slot attached
  status: loaded
  
  slot: Generic Smart Card Reader Interface [Smart Card Reader Interface
  token:
  uri: pkcs11:
  -----------------------------------------------------------

Vroeger in Mint-19 gaf dit iets anders:

• Listing of PKCS #11 Modules -----------------------------------------------------------
  1. NSS Internal PKCS #11 Module
  slots: 2 slots attached
  status: loaded
  
  slot: NSS Internal Cryptographic Services
  token: NSS Generic Crypto Services
  
  slot: NSS User Private Key and Certificate Services
  token: NSS Certificate DB
  
  2. Root Certs library name: /home/koen/.pki/nssdb/libnssckbi.so
  slots: 1 slot attached
  status: loaded
  
  slot: NSS Builtin Objects
  token: Builtin Object Token
  
  3. Belgium eID
  library name: /usr/lib/libbeidpkcs11.so
  slots: 1 slot attached
  status: loaded
  
  slot: SCM SCR 3310 [CCID Interface] (21120503109149) 00 00
  token: BELPIC
  -----------------------------------------------------------

groeten van Michael

[MenthaSuaveolens]

Welnu de foutcode valt als het volgt te verklaren. De output van het commando

Code: Selecteer alles

modutil -dbdir sql:.pki/nssdb/ -list

levert geen fouten op. Dat wil zeggen, de database is ok (je kan die vinden onder je verborgen bestanden .pki/nssdb/. Verder merken we dat de database reeds de verwachte entry "Belgium eID" bevat. De foutcode kan dus optreden omdat je een entry wil toevoegen die reeds in de database steekt (vermijden van dubbele keys, anders word je database corrupt). Het verhaal vertelt ook dat het certificaatbeheer voor Chrome ok is, want "Op Linux gebruikt Google Chrome "NSS" voor certificaatbeheer". Dus eigenlijk zijn er geen problemen

[emvedeesje]

@Mentha...
Zou dat dan willen zeggen: eens je dat in een browser geïnstalleerd hebt in een bepaalde Mint release (vb.19), je dat niet meer hoeft te herhalen in de volgende release (hier 20) ?

groeten van Michael

[MenthaSuaveolens]

@Mentha...
Zou dat dan willen zeggen: eens je dat in een browser geïnstalleerd hebt in een bepaalde Mint release (vb.19), je dat niet meer hoeft te herhalen in de volgende release (hier 20) ?

groeten van Michael

Ik begrijp je vraag niet zo goed. Bedoel je dat na het updaten naar een volgende release, je de eid-software niet meer hoeft te herinstalleren? Ik ga eens nakijken op een vm wat juist geïnstalleerd wordt bij het installeren van de middleware. Het zou kunnen dat men automatisch de database geschikt maakt voor het gebruik met chrome. Ik wacht wel altijd om een release-update te doen totdat de website van de eid-software vermeldt dat ze klaar zijn voor de volgende release.

[tytsjerksteradiel]

.......... Ik wacht wel altijd om een release-update te doen totdat de website van de eid-software vermeldt dat ze klaar zijn voor de volgende release.

Lijkt mij ook het verstandigste te zijn , immers , ( kom het nog net te controleren 20/11/2021 om 15u22 ) het nieuwe eid-archive_2021.5_all.deb pakket is nog steeds NIET te downloaden op de site van eid Belgium … enkel eid-archive_2021.4_all.deb !
… alhoewel bvb Mint ( beide varianten ) en Debian in hun bijwerkbeheer voorstellen van de upgrade naar eid-archive_2021.5_all.deb te doen .

Wat er eigenlijk op neer komt dat dito distro’s een upgrade aanraden naar een pakket dat niet op punt staat ?
Of dit problemen kan opleveren ? Ik vermoed van niet ... tegen beter weten in de upgrade gedaan in Linux Mint 20.2 Cinnamon ( Firefox 94.0 )

Geeft weliswaar een om de haren uit te trekken commentaar in sudo apt update :
aik@aik-X751LAB:~$ sudo apt update
Geraakt:1 http://archive.ubuntu.com/ubuntu focal InRelease
Ophalen:2 http://archive.ubuntu.com/ubuntu focal-updates InRelease [114 kB]
Ophalen:3 http://security.ubuntu.com/ubuntu focal-security InRelease [114 kB]
Genegeerd:4 https://files2.eid.belgium.be/debian ulyana InRelease
Geraakt:5 https://files.eid.belgium.be/debian ulyana InRelease
Ophalen:6 http://archive.ubuntu.com/ubuntu focal-backports InRelease [101 kB]
Geraakt:7 http://archive.canonical.com/ubuntu focal InRelease
Fout:8 https://files2.eid.belgium.be/debian ulyana Release
Certificate verification failed: The certificate is NOT trusted. The name in the certificate does not match the expected. Could not handshake: Error in the certificate verification. [IP: 212.35.97.188 443]
Genegeerd:9 http://packages.linuxmint.com uma InRelease
Geraakt:10 http://packages.linuxmint.com uma Release
Pakketlijsten worden ingelezen... Klaar
E: De pakketbron 'https://files2.eid.belgium.be/debian ulyana Release' heeft niet langer een Release-bestand.
N: Bijwerken van de pakketlijst uit een dergelijke pakketbron kan niet veilig gebeuren en is daarom standaard uitgezet.
N: Zie de man-pagina apt-secure(8) voor details over het aanmaken van een pakketbron en over de configuratie langs gebruikerskant

en , GNU nano 4.8 /etc/apt/sources.list.d/eid.list geeft aan :
deb https://files.eid.belgium.be/debian ulyana main
deb https://files2.eid.belgium.be/debian ulyana main

... géén vuiltje aan de lucht ?

geduld uitoefenen totdat het nieuwe aangepaste pakket beschikbaar is lijkt mij ook de boodschap … en uiteraard , niets of niemand kan U beletten van in afwachting de “ Farpotshket “ tour op te gaan

[MenthaSuaveolens]

Ik heb bij Bosa een foutrapport aangemaakt: Incident INC0572769 "Na laatste update is update-server niet meer beschikbaar.Fout:11 https://files2.eid.belgium.be/debian ulyana Release Certificate verification failed: The certificate is NOT trusted. The name in the certificate does not match the expected. Could not handshake: Error in the certificate verification. [IP: 212.35.97.188 443]" Ik laat iets weten als ik een terugmelding krijg.