pkcs11 + RSA

Предварительно отформатировал токен:
pkcs15-init --erase-card
pkcs15-init --create-pkcs15 --so-pin "87654321"
pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678"

Пытаюсь сгенерировать ключ:
pkcs11-tool --keypairgen --key-type rsa:2048 --pin 12345678 --label "user" --id 1

Получаю ошибку:
error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_FUNCTION_FAILED (0x6)

Aborting.

В связи с этим хотелось бы узнать в чем причина ошибки и как всё-таки её обойти.

Версии железа и софта:
Токен: ruToken 64k140z

$ opensc-tool -i
opensc 0.11.7 [gcc  4.1.2 (Gentoo 4.1.2 p1.1)]
Enabled features: zlib readline iconv openssl openct nsplugin

$ openct-tool -v
OpenCT 0.6.15

$ pkcs15-tool -D
Using reader with a card: ruToken driver
PKCS#15 Card [Rutoken S]:
        Version        : 1
        Serial number  : 263C4F70
        Manufacturer ID: Aktiv Co.
        Last update    : 20090324051951Z
        Flags          : EID compliant

PIN [Security Officer PIN]
        Com. Flags: 0x3
        ID        : 01
        Flags     : [0x9B], case-sensitive, local, unblock-disabled, initialized, soPin
        Length    : min_len:8, max_len:16, stored_len:16
        Pad char  : 0xFF
        Reference : 1
        Type      : ascii-numeric
        Path      : 3f005015

PIN [User PIN]
        Com. Flags: 0x3
        ID        : 02
        Flags     : [0x1B], case-sensitive, local, unblock-disabled, initialized
        Length    : min_len:8, max_len:16, stored_len:16
        Pad char  : 0xFF
        Reference : 2
        Type      : ascii-numeric
        Path      : 3f005015

(2009-03-24 12:03:53 отредактировано _S)

Re: pkcs11 + RSA

sergey пишет:

Пытаюсь сгенерировать ключ:
pkcs11-tool --keypairgen --key-type rsa:2048 --pin 12345678 --label "user" --id 1
Получаю ошибку:
error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_FUNCTION_FAILED (0x6)
Aborting.
В связи с этим хотелось бы узнать в чем причина ошибки и как всё-таки её обойти.

/usr/local/etc/opensc.conf[/etc/opensc.conf]:
app opensc-pkcs11 {
        pkcs11 {
                soft_keygen_allowed = true;
        }
}

Re: pkcs11 + RSA

Добрый день!

В конфигурационном файле opensc нужно разрешить использовать программную генерацию RSA пары с уровня PKSC#11 для карт, которые не поддерживают это аппаратно.