电子身份识别

一个电子身份识别 (“eID”) 是公民或组织的电子身份识别解决方案，例如用于访问政府机构、银行或其他公司提供的福利或服务。除了在线身份验证外，许多 eID 还为用户提供了使用数字签名签署电子文件的选项。

安装 ccid 软件包，所有电子身份识别都需要此软件包。然后参见 #硬件特定软件包。

对于 pinentry 支持，请安装 pinentry。

安装 acsccid 软件包。

有关 ACS 智能卡的更多信息，请参阅 [1]。

对于 ID 为 1307:0361 的设备，请安装 libcr75-git^AUR 软件包。

从 [2] 导入 (持续构建) 密钥。请参阅 makepkg#签名检查。安装 eid-mw^AUR 软件包，然后运行

$ about-eid-mw 

在打开的窗口中，PCSC 守护进程状态应显示为“running”。如果不是，请启动 pcscd.service。即使服务报告其是套接字激活或自动启动而非“running”，仍可能需要手动启动该服务。

查看读卡器的品牌；很有可能它是 ACS (Advanced Card System Ltd)。如果是 ACS，请访问 https://belgeid.be/en/product/acr38 并下载 Linux 驱动程序。按照描述的安装驱动程序过程进行操作。

Chrome 不需要插件。Chromium 还需要 opensc 和 p11-kit。 这篇文章 提供了一些说明。

需要安装一个浏览器扩展。此外，还需要手动将 eID 模块添加到 Firefox 的安全设备配置中。步骤如下：

1. 打开 Firefox 的设置。
2. 搜索“安全设备”。点击相应的按钮。
3. 在弹出窗口中，选择“加载”。
4. 第二个弹出窗口会要求提供文件位置。您可以通过运行 about-eid-mw 并查找“64 位 PKCS#11 位置”值来找到此文件。

对于 Librewolf，还需要将中间件创建的目录符号链接到 /usr/lib/librewolf/，以避免启动 Librewolf 时出现错误通知。

# ln -s /usr/lib/mozilla/managed-storage /usr/lib/librewolf/managed-storage
# ln -s /usr/lib/mozilla/pkcs11-modules /usr/lib/librewolf/pkcs11-modules

政府提供了一个测试页面，用于检查 eID 是否配置正确。可以在官方文档中找到故障排除提示，但 Arch Linux 不受官方支持。

另请注意，使用Flatpak 或 Snap 不被支持（或曾经不支持），因为它们不允许加载 PKCS#11 模块（如 eID）。Snap 已针对所有 opensc 读卡器修复：已关闭的 launchpad bug。

Luc Stroobant 的博文解释了如何使用 Thunderbird 签署电子邮件和使用 LibreOffice 签署文件。

根据系统配置，可能可以在 wine 下运行Adobe Reader DC。比利时政府有一个关于数字签名的相关 FAQ 项。

如果无法使用 Adobe Reader，比利时联邦公共服务部的Signing Box 提供了一个用于签署 PDF 的上传工具。该网站提示安装两个依赖项：一个额外的 eID 中间件 beidconnect^AUR 和一个浏览器扩展。

尽管 okular 和 papers 提供对数字 PDF 签名的原生支持，但 Signing Box 报告签名无效。okular 有一个开放的 bug 跟踪器。

安装 ca-certificates-icp_br^AUR，因为巴西根 CA 不包含在 Mozilla 的 NSS 中，这归因于一个长期存在的问题。

以上软件包应该足够了。如果您有任何问题，请查看 ITI 的安装说明 [ https://www.gov.br/iti/pt-br/assuntos/navegadores ]，其中包含 Chromium、Firefox 和其他常用网络浏览器以及 Java 的说明。

1. 安装 safesignidentityclient^AUR 和 opensc。

2. 启动/启用 pcscd.service

导航至 编辑 -> 首选项 -> 高级 -> 证书 -> 安全设备，然后点击“加载”以使用 /usr/lib/libaetpkss.so 加载模块，并将其命名为 ICP-Brasil A3 - Safe Sign Identity Client。

通过访问 Receita Federal 的 e-CAC 来测试。

确保 Chrome 已关闭并运行

$ modutil -dbdir sql:$HOME/.pki/nssdb/ -add "ICP-Brasil A3 - Safe Sign Identity Client" -libfile /usr/lib/libaetpkss.so

1. 启动/启用 pcscd.service
2. 安装 certiliamiddleware^AUR。
3. 启动客户端。它用于激活卡片或更改 PIN 或 PUK。

导航至 编辑 > 首选项 > 高级 > 证书 > 安全设备，然后点击 加载，使用 /usr/lib/akd/certiliamiddleware/pkcs11/libEidPkcs11.so 加载模块。您可以为其分配任何名称，例如 Cro PKCS#11 Module。

请参阅 https://www.id.ee/en/。

在安装了 ccid 和 opensc 并启动 pcscd.socket 后，安装 qdigidoc4^AUR。其中一个依赖项 xml-security-c^AUR 会使用签名进行验证，您需要将其导入到您的 GnuPG 密钥环中。

$ gpg --keyserver keys.openpgp.org --recv-keys DCAA15007BED9DE690CD9523378B845402277962

如果您有 ACS 读卡器，则需要 acsccid。

DigiDoc4 有一个可选的 GNOME/Files 右键菜单集成，它需要安装 nautilus-python。

当前浏览器 ID-Card 堆栈基于 Web eID。它为所有支持的平台提供了对 PIN 1 身份验证和 PIN 2 文档签名的一致用户体验。

Web eID 由两个组件组成。两者都需要安装。

• web-eid-native^AUR - 所有浏览器使用的原生组件
• web-eid-chrome^AUR 和 web-eid-firefox^AUR - 与原生组件通信的浏览器扩展

web-eid-native^AUR 会使用签名进行验证，您需要将开发者 PGP 密钥导入到您的 GnuPG 密钥环中。

$ wget -q -O- https://github.com/metsma.gpg | gpg --import -
$ wget -q -O- https://github.com/mrts.gpg | gpg --import -

并非所有网站都已迁移到新的 Web eID PIN 1 JavaScript API，并且仍在旧的双向 TLS (有时也称为TLS-CCA)。您仍然需要通过运行此命令来配置浏览器中的 opensc PKCS #11 提供程序。

$ pkcs11-register

之后还需要重启浏览器。

• 确保 Web eID 扩展已安装并启用。
• 前往 https://web-eid.eu/ 并按照“身份验证 -> 签名流程”进行操作。
• 使用 https://test-eid.eesti.ee/ 测试双向 TLS (TLS-CCA)。

Atostek ID 是芬兰数字与人口数据服务局的官方客户端。Atostek ID 于 2024 年底发布。Atostek ID 取代了之前的读卡器软件 DigiSign Client。然而，DigiSign Client 将在 2025 年底前继续接收更新。这些更新将侧重于错误修复和安全更新。旧客户端不计划添加新功能。

不建议同时安装这两个客户端。

关于读卡器软件的官方信息可在以下网址获取： https://dvv.fi/en/download-card-reader-software。

Atostek ID 是当前官方读卡器软件。

安装 atostekid^AUR。由于 Atostek ID 是一个高度依赖系统托盘的 GUI 应用程序，请注意为您的桌面环境安装相关的可选依赖项。

确保启用并启动 pcscd.socket。否则客户端可能无法启动，或者依赖客户端的应用程序可能会崩溃。

新颁发的政府身份证需要激活才能使用。这只需要执行一次。

将读卡器连接到您的计算机并插入智能卡。启动应用程序。如果卡片之前未激活，客户端将自动显示激活窗口。每张卡片只需要激活一次。如果激活窗口不出现，请从应用程序菜单中选择“激活卡片”。当激活窗口打开时，输入随卡片附带的密码信函中提供的激活码（PUK）。接下来，为身份验证证书（PIN1）设置一个 PIN，为签名证书（PIN2）设置另一个 PIN。强烈建议 PIN1 和 PIN2 不同。输入所需信息后，点击“确定”。

Atostek ID 支持数字身份验证和签名。它还利用 PKCS #11 接口。读卡器软件可用于，例如，通过网络浏览器进行身份验证，签署 PDF 文件，以及登录系统。请参阅官方说明： https://dvv.fi/en/download-card-reader-software

导航至安全设备页面（通过首选项搜索），然后点击加载，将模块名称设置为 p11-kit-proxy，模块文件名设置为 p11-kit-proxy.so。最后重启 Firefox。可以在以下位置测试卡片： https://dvv.fi/en/test-the-use-of-a-certificate。

签名创建服务 (SCS) 是数字与人口数据服务局的一项规范。例如，它用于患者信息系统中。SCS 使用自签名证书，可以通过运行以下命令生成：

$ atostekid -installSCSCA

这将在 $HOME/.local/share/Atostek Oy/Atostek ID/ 中创建一个证书 (scsca.cer) 和一个私钥 (scsca.p12)。证书需要手动安装到您的网络浏览器。

Atostek ERA 智能卡是为已注册使用 ERA 系统的社会和医疗保健用户提供的功能。它使用自签名证书，可以通过运行以下命令生成：

$ atostekid -installCA

这将在 $HOME/.local/share/Atostek Oy/Atostek ID/ 中创建一个证书 (erasmartcard_ehoito_fi_ca.cer) 和一个私钥 (erasmartcard_ehoito_fi_cert.p12)。证书需要手动安装到您的网络浏览器。

在 Firefox 中进行身份验证和签名时，PIN 对话框不会委派给 Atostek ID 客户端。相反，会显示 Firefox 的原生 PIN 对话框。Firefox 可能会多次询问 PIN。

DigiSign Client 是旧的读卡器软件。它将支持到 2025 年底。芬兰数字与人口数据服务局建议改用新的 #Atostek ID 客户端。

首先按照#安装中的说明安装先决条件。然后安装 vrk-mpollux-digisign-client^AUR。启动客户端，连接读卡器并插入卡片。当状态栏图标变为黄色时，单击它。如果您之前未激活卡片，这应该会触发卡片激活过程。

导航至安全设备页面（通过首选项搜索），然后点击加载，将模块名称设置为 DigiSign PKCS#11-moduuli，模块文件名设置为 /usr/lib/libcryptoki.so。最后重启 Firefox。可以在以下位置测试卡片： https://dvv.fi/en/test-the-use-of-a-certificate。

对于某些设备，您需要安装 pcsc-cyberjack^AUR 并将默认配置文件 /etc/pcsc-cyberjack/cyberjack.conf.default 复制到同一文件夹，去掉 .default 后缀。 重启 pcsc.service，像 ausweisapp2^AUR 这样的应用程序应该能够识别扫描仪。ReinerSCT RFID 会闪烁其 LED 灯，如果驱动程序未正确安装，它则不会闪烁。

您也可以使用智能手机作为读卡器，前提是您的计算机和智能手机在同一网络中。您必须在手机上安装并运行 AusweisApp（适用于 Android / iPhone）。

要签署文件，请安装 eparakstitajs3^AUR 软件包。使用 eParaksts 移动版或 eID Scan 无需其他软件。

要使用 eID 卡，请安装 latvia-eid-middleware^AUR 和#安装中列出的先决条件软件包，并确保启用并启动 pcscd.service。要在浏览器中使用，请额外安装浏览器扩展 eparaksts-token-signing^AUR。

要将 eID 卡与 Smart-ID 一起使用，请安装以下软件包

• web-eid-native^AUR - 与所有浏览器通信的原生组件
• web-eid-chrome^AUR 或 web-eid-firefox^AUR - 与原生组件通信的浏览器扩展

1. 启动/启用 pcscd.service
2. 安装 idplugclassic-ro-cei-bin^AUR。
3. 从 /usr/bin/idplugclassic/identitymanager 启动客户端。

有关进一步的安装技巧和故障排除，请参阅 罗马尼亚 eID wiki 页面。

导航至 编辑 > 首选项 > 高级 > 证书 > 安全设备，然后点击 加载，使用 /usr/lib/idplugclassic/libidplug-pkcs11.so 加载模块。您可以为其分配任何名称，例如 RO CEI PKCS#11 Module。

请参阅 罗马尼亚 eID wiki 页面。

安装 ca-certificates-dnie^AUR。要使用您的身份证签署文件，请安装 autofirma^AUR。

BankID 是瑞典领先的电子身份识别服务。