Тема от gonchaya

  • gonchaya
  • Посетитель
  • Неактивен

использование генератора случайных чисел на токене

День добрый. Имеется rutoken ЭЦП 2.0 Flash. Каким образом можно использовать его для получения случайных чисел?

gonchaya@butterfly:~/ss/rutoken/4rp2$ time (openssl genrsa -out rsa4096.pem -rand /dev/random 4096)
2048 semi-random bytes loaded
Generating RSA private key, 4096 bit long modulus
...........................++
..............++
e is 65537 (0x10001)

real    36m8.675s
user    0m0.532s
sys    0m0.016s

gonchaya@butterfly:~/ss/rutoken/4rp2$ time (openssl genrsa -out rsa4096_urandom.pem -rand /dev/urandom 4096)
2048 semi-random bytes loaded
Generating RSA private key, 4096 bit long modulus
................................................++
..............................++
e is 65537 (0x10001)

real    0m1.221s
user    0m0.976s
sys    0m0.004s

Видно, что без аппаратного генератора случайных чисел генерация rsa 4096 занимает 40 минут (по сравнению с 1 секундой для псевдослучайных чисел), что есть печалька. Каким образом задействовать аппаратную возможность токена?

Ответ от Владимир Салыкин

  • Владимир Салыкин
  • Посетитель
  • Неактивен

Re: использование генератора случайных чисел на токене

Добрый день, gonchaya.

Не совсем понятно, что именно вы хотите сделать.
Вы можете использовать rutoken ЭЦП 2.0 Flash в качестве источника надежных случайных чисел. Для этого Вы можете использовать pkcs11-tool с параметром --generate-random из пакета opensc версии 0.17 и выше.
Непонятно только, что вы дальше будете с ним делать.
Если Вы хотите сгенерировать RSA ключи на токене, то Вы также можете использовать pkcs11-tool.

А вот сгенерировать ключевую пару с помощью openssl используя любой источник случайных чисел, а затем импортировать ее на токен у вас не получится, так как rutoken ЭЦП 2.0 Flash работает с неизвлекаемыми ключами и поэтому импорт ключей запрещен.

Ответ от gonchaya (2017-08-05 12:11:17 отредактировано gonchaya)

  • gonchaya
  • Посетитель
  • Неактивен

Re: использование генератора случайных чисел на токене

Владимир Салыкин пишет:

Вы можете использовать rutoken ЭЦП 2.0 Flash в качестве источника надежных случайных чисел. Для этого Вы можете использовать pkcs11-tool с параметром --generate-random из пакета opensc версии 0.17 и выше.

Видимо то, что требуется. Единственное но - на машинах стоят версии 0.14 и 0.15, в репозиториях - тоже. Ручками вечером соберу, протестирую.

Импортировать ключевую пару на токен не планировалось. Нужен был именно относительно быстрый источник надежных случайных чисел.

Добавлено день спустя: Благодарю. Всё работает.

Ответ от Кирилл Мещеряков

  • Кирилл Мещеряков
  • Посетитель
  • Неактивен

Re: использование генератора случайных чисел на токене

Тогда вам подойдет утилита pkcs11-tool из пакета OpenSC 0.17.
Только не забудьте указать путь к библиотеке pkcs11ecp https://www.rutoken.ru/support/download/pkcs/
Мы проверили - случайные числа через нее действительно генерируются и действительно генерируются очень быстро.