У меня вопрос: правильно ли, что  пароль к секретному ключу при загрузке его из контейнера не запрашивается? как правильно загружать секретный ключ?

Я создала ключевой контейнер, импортировала его на рутокен. При этом я включила защиту паролем на  доступ к контейнеру и к ключу.  Программно обращаюсь к контейнеру на рутокен: запрашивается ПИН рутокена и пароль для контейнера. Перебираю все объекты контейнера, нахожу секретный ключ и загружаю его:

if (store.isKeyEntry(alias)) {
PrivateKey priv = (PrivateKey) store.getKey(alias, passwordKey.toCharArray());
...
}

passwordKey можно ввести любой.

Проблема: браузер сертификатов rtCert v.1.62.10.0 от 26.11.2010 самостоятельно закрывается и показывает ошибку,

если в любой из USB-портов компьютера вставлен Rutoken или Rutoken ECP.

Ошибка возникает только если в любой из USB-портов компьютера вставлен Rutoken или Rutoken ECP:
- если токен находился в любом из USB-портов компьютера программа закрывается сразу же после запуска;
- если после запуска программы в любой из USB-портов компьютера вставить токен, то программа закрывается.

Проверено на нескольких компьютерах с различными правами (включая запуск программы с правами администратора) и различными токенами.

Условия:
Windows XP Rus SP3
Rutoken Drivers v. 2.81.00.0424
rtCert v.1.62.10.0 от 26.11.2010
Токены: Rutoken 64K, Rutoken 32K, Rutoken ECP 64K

В этом посте я покажу как обойти подводные камни при настройке терминала, который мог бы одинаково хорошо работать, как с Рутокеном ЭЦП так и с Рутокеном S.

Все дело в том что на некоторых дистрибутивах linux имеются проблемы совместной работы libccid и openct с демоном pcscd.

И тот и другой "драйвер" поддерживают Рутокен ЭЦП, однако при одновременной работе они могут блокировать друг друга.

Выглядеть это может вот так:

Вывод pcsc_scan:

Вывод pcscd -afddddd:

А фактически это будет выражаться тем, что Рутокен ЭЦП не будет виден в прикладных программах.

Решить это можно разными способами, но наиболее простой это отключение поддержки Рутокена ЭЦП в openct.

В файле /usr/lib/pcsc/drivers/openct-ifd.bundle/Contents/Info.plist нужно убрать следующие строки:

после сохранения изменений следует перезапустить openct, например так:

# service openct restart

после чего pcscd увидит Рутокен ЭЦП

тонкий терминал linux должен отвечать следующим требованиям

1) наличие libpcsclite, pcscd
2) наличие libopenct, openct для Рутокена S (скомпилированные с поддержкой openct-ifd.bundle)
3) наличие libccid для Рутокена ЭЦП

4) наличие rdesktop, скомпилированного с поддержкой смарт-карт

Теперь чуть более подробно:

Программное обеспечение pcsc-lite является де-факто стандартным смарткарточным middleware в мире *nix.
Оно представляет собой аналог Windows ресурс-менеджера winscard.dll

Демон pcscd работает со смарткартами через своего рода "драйвера", которые обычно находятся в системном каталоге

/usr/lib/pcsc/drivers

Для Рутокена ЭЦП драйвером является стандартная библиотека libccid, которая поддерживает почти все известные ccid-устройства.

Для Рутокена S драйвером будет являться скомпилированный особым образом OpenCT.
Когда OpenCT компилируется с флагом

--with-bundle

в папке

/usr/lib/pcsc/drivers

появляется openct-ifd.bundle.

Это и есть pcsc-драйвер для Рутокена S.

Итак, для работы c Рутокеном S потребуются libpcsclite, pcscd и libopenct, openct (по особому сконфигурированные)

Однако, не во всех Linux дистрибутивах OpenCT скомпилирован правильно.
Например, в Ubuntu был баг, который благополучно пофикшен.  https://bugs.launchpad.net/ubuntu/+sour … bug/436545
Зато теперь по крайней мере в Ubuntu начиная с версии 10.04 (lucid) проблем нет.

Для работы с Рутокеном ЭЦП потребуются libpcsclite, pcscd и libccid.

Бывает так что версия libccid слишком стара для поддержки Рутокена ЭЦП.
Узнать это можно здесь http://forum.rutoken.ru/topic/1644/

Ну и самое главное: rdesktop

rdesktop должен быть скомпилирован с поддержкой смарт-карт, это включается опцией --enable-smartcard

Не во всех linux дистрибутивах rdesktop распространяется с такой опцией, но пакет rdesktop-smartcard достаточно часто встречается в сторонних репозиториях и найти его для нужного дистрибутива обычно не представляет проблем.

Для того, чтобы rdesktop попытался увидеть Рутокен ему нужно указать опцию:

-r scard

Установил контейнер с сертификатом на рутокен.
Подписываю документ в СЭД.
На этапе выбора ключевого носителя (в окне КриптоПро "Устройства") при выборе носителя контейнера ПУСТО. Нет ни одного доступного носителя.  Видит только Дискету (если подключена).
Такие счтыватели как Реестр, Рутокен - не отображает при подписи в СЭДе (в устройствах КриптоПро добавлены).
Когда в самой программе КриптоПро просматриваю/тестирую сертификат в контейнерах (реестр, рутокен) всё работает.

В чем проблема? Как решить? Хотелось бы избавиться от постоянно портящихся дискет и работать с рутокеном или реестром.

Имеется ноутбук с тремя USB портами
ОС Windows 7 x64 sp1
На свежую установку операционной системы поставлены драйвера:
1) Драйверы Rutoken 64-bit (x64) - 5,14 Mб Версия: v.2.81.00.0424 от 26.10.2011
2) КриптоПро CSP 3.6 R2 x64
при установке ошибок нет, rutoken не вставлен
при подключении Rutoken к порту Usb3.0 рутокен распознался корректно
ключ светится красным цветом
при этом в диспетчере устройств

В панели управления рутокен не отображается

при подключении к другому порту (USB 2.0) rutoken распознается, отображается в панели управления рутокен и работает.
Другие девайсы работают без проблем в тех портах, где не распознается rutoken.

Предыдущую тему про "RuToken ЭЦП, запись файлов во встроенную память" читал.