		Bibliothèque PKCS#11
		=====================

Version:	1.4
Date:		09/2005

Ce logiciel se sert des projets "open source" suivants:
- OpenSC (voir http://www.opensc.org), license: voir le fichier nommé "COPYING" dans ce paquet.
- OpenSSL (voir http://www.openssl.org), license: voir le fichier nommé "LICENSE" dans ce paquet.

Plateformes:
- GNU/Linux avec glibc v2.2 ou v2.3 et PC/SC Lite v1.2.0 ou plus haut.


Installation dans Mozilla
=========================

Pour installer:
 mozilla pkcs11_install_netsc_moz.htm

Pour desinstaller:
 mozilla pkcs11_uninstall_netsc_moz.htm

(Les pages .htm se trouvent dans le même répertoire que ce fichier readme.)

Utilisation de la librarie PKCS#11
==================================

La biblliothèque PKCS#11 est situé dans /usr/lib.  Il y a deux
outils: 'beleid-tool' et 'beleid-pkcs11-tool'. Ils sont situés dans
/usr/bin, voir les 'pages man' pour plus d'information.

Avant que vous puissiez l'employer, un lecteur de cartes à puces PC/SC
devrait avoir ��installé.

Avec les outils vous pouvez vérifier le suivant:
    beleid-tool -l  
        ==> pour voir si un lecteur de cartes est présent et installé
    beleid-pkcs11-tool -l 
        ==> pour éumérer les fentes PKCS#11 ainsi que les cartes insérés
    beleid-pkcs11-tool -O
        ==> pour afficher les objets PKCS#11 sur la première carte
    beleid-pkcs11-tool -t -l
        ==> pour tester la bibliothèque PKCS#11 et la carte eID belge

Pour changer votre code personnel (PIN), utiliser la commande:
    beleid-pkcs11-tool -c

Fichier de configuration
========================

Il y a un fichier de configuration /etc/beleid.conf qui peut être employé pour par exemple:
- le niveau d'enregistrement d'erreurs
- modifier la langue de la boîte de dialogue de fourniture du code
personnel (PIN): voir l'option 'force_language'

NOTE: certains lecteurs nécessitent que l'option 'apdu_fix' soit �ale �'true'.
Pour cela, remplacer la ligne
	#apdu_fix = false;
par
	apdu_fix = true;


Quelques notes techniques concernant cette bibliothèque PKCS#11
===============================================================

1. Concernant la bo�e de dialogue d'introduction du code personnel (PIN)

Normalement, une bibliothèque PKCS#11 ne demande pas de code
personnel. C'est à l'application de le donner à la bibliothèque qui
l'enverra à la carte.

Cependant, la CIE belge impose les règles suivantes:
- Une fois que le code personnel a été fournie, la clef d'authentification
peut toujours être employé.

- La clef de signature peut seulement être employé si le code personnel
a été fournie avant d'apposer une signature. Ceci signifie que vous devez
fournir votre code personnel pour chaque signature que vous apposez avec
cette clef.

La norme PKCS#11 ne soutient pas ce comportement: une fois le code
personnel fourni on présume que vous avez acc� �toutes les clefs
privés protégés par ce code personnel

Par conséquent, cette bibliothèque PKCS#11 lui-même demande d'introduire
le code personnel à chaque fois qu'une signature avec la clef de Signature
doit être apposé.

2. Visibilité des objets de clef privé

La plupart d'implémentations PKCS#11 exposent de l'information concernant
les objets de clef privé après que le code personnel ait été fournie.

Pour la carte eID belge, il n'y a aucun besoin de faire ainsi puisque seulement
l'information publique est fournie. Par conséquent, cette bibliothèque
PKCS#11 montre l'information des objets de clef privé sans que le code
personnel ait été fournie préalablement.

