Romanian eID

本页面介绍罗马尼亚电子身份证（电子身份卡），俗称“CEI”（Cartea Electronica de Identitate），特别是在 Arch Linux 系统上的应用，以及安装指南和故障排除技巧。

有关通过政府签发的卡片在 Arch Linux 上进行电子身份识别的通用信息，请访问 电子识别。

截至今天，已知唯一能与 CEI 配合工作的驱动程序接口是由罗马尼亚政府免费提供的专有解决方案，可在 https://hub.mai.gov.ro/aplicatie-cei 获取。消息来源（特别是 Andrei Nicoara 代表 OrchestrateID）声称已仅使用开放 ISO 标准开发了一个 CEI 接口 引用 - LinkedIn 帖子，但尚未提供任何证据支持此声明，并且 OrchestrateID 的开发者不太可能公开其使用的具体 ISO 标准。

随驱动程序捆绑的应用程序，可在 idplugclassic-ro-cei-bin^AUR 获取，用于显示芯片上的信息，即印刷在聚碳酸酯卡片本身上的所有可见信息集合，以及地址和居所信息，这些信息只能在芯片上看到。该应用程序还可以方便地更改 PIN 码，查看和导出有关加密证书公钥的信息，以及在与支持写入的智能卡读卡器结合使用时加载其他证书。板载证书的 PUK 码不会告知用户，而是用户必须亲自前往任何 SPCEP 办公室或罗马尼亚大使馆/领事馆进行身份验证，然后才能重置 PIN 码。

该卡配备 2 个证书，在欧盟内具有高级电子签名身份，并根据罗马尼亚法律 214/2024，与手写签名具有完全同等效力。这些证书用于 TLS 身份验证以及 PAdES/PKCS#7/XAdES/等文件签名协议。生成的签名用于验证签名者以及保证文件完整性。使用此类签名签名的文件在罗马尼亚和欧盟管辖下具有与手写签名完全相同的法律义务。罗马尼亚公民还可以使用身份验证证书登录政府和私人数字平台，进行安全且具有法律约束力的操作。我们强烈建议在使用后立即将智能卡从您的系统中拔出，以阻止潜在的不法分子通过与其交互来代表您合法地操作 CEI 证书。

1. 启动/启用 pcscd.service
2. 安装 idplugclassic-ro-cei-bin^AUR。

根据智能卡读卡器，可能还需要与它相关的特定驱动程序才能正常工作。使用 idplugclassic GUI 应用程序测试智能卡访问。大多数 USB 读卡器在 Arch Linux 上即插即用，前提是预先安装了 linux-firmware。

将以下行 *追加* 到位于 NSS 数据库文件夹根目录的 pkcs11.txt 文件中

pkcs11.txt

...
[file contents]
...

library=/usr/lib/idplugclassic/libidplug-pkcs11.so
name=RO CEI

CEI 可在 Firefox 中用于政府平台的 TLS 身份验证。

导航到 *编辑 > 首选项 > 高级 > 证书 > 安全设备*，然后点击 *加载*，使用 /usr/lib/idplugclassic/libidplug-pkcs11.so 加载模块。您可以为其分配任何名称，例如 RO CEI PKCS#11 Module。

CEI 可在 Chromium-based 浏览器中用于政府平台的 TLS 身份验证。

Chromium-based 浏览器（通常）使用位于 $HOME/.pki/nssdb 的内置 NSS 数据库，可以在其中按照上述方法添加 CEI。

CEI 可在 Okular 中用于文档签名，通常是使用 PAdES 类型签名对 PDF 格式文件进行签名。

首先，按照上述方法将 CEI 添加到您选择的任何有效 NSS 数据库中，然后，在 Okular 图形用户界面中，导航到 *设置 > 配置后端 > PDF*，并确保在此页面上正确设置了以下设置：

• 使用第三方服务器检查数字签名证书的吊销状态：开
• 签名后端：NSS
• 证书数据库：自定义：{您的首选 NSS 数据库的绝对文件路径}

一些有信誉的用户已经能够重现一个问题，即使用该卡进行加密操作的程序会冻结，或者需要几秒钟才能提示输入 PIN 码，从而导致崩溃或烦恼。由于接口暂时是闭源的，我们无法从源头进行干预修复此问题，但一个常见的解决方法是创建一个新的、空的 NSS 数据库，使用 certutil -N -d new_db_file/path 命令，然后按照 NSS 数据库集成说明中描述的方法将正确的行追加到 pkcs11.txt 文件中。随后清理 Firefox 配置文件中的 pkcs11.txt 文件可能有助于解决此问题，正如一些用户所报告的那样。