Re: librtpkcs11ecp.so и openssh-7.5_p1-r1

Добрый день

Тоже столкнулся с этой проблемой.
Дистрибутив Debian 9.5

[user@comp Downloads]$ ssh-add -s /usr/lib/librtpkcs11ecp.so
Enter passphrase for PKCS#11:
Could not add card "/usr/lib/librtpkcs11ecp.so": agent refused operation

Без ssh-agent использование токена для *nix админа не представляется возможным. Каждый раз вводить ПИН...
Печально, что проблему так и не решили до сих пор.

Re: librtpkcs11ecp.so и openssh-7.5_p1-r1

мы, *nix пользователи – не в приоритете. готов поспорить, за эту проблему за истекший год никто просто не брался.

Re: librtpkcs11ecp.so и openssh-7.5_p1-r1

Добрый день, dim.

Мы помним про эту проблему, она находится в очереди задач, но пока не решена.

P.S. Надеюсь вы понимаете, что ввод PIN кода каждый раз является основой безопасности хранения чего-либо на токене. Если PIN знает кто-то кроме Вас или он сохранен в софте, то может быть использован без Вашего ведома.

Re: librtpkcs11ecp.so и openssh-7.5_p1-r1

Владимир Салыкин пишет:

Надеюсь вы понимаете, что ввод PIN кода каждый раз является основой безопасности хранения чего-либо на токене. Если PIN знает кто-то кроме Вас или он сохранен в софте, то может быть использован без Вашего ведома.

Вы совершенно случайно исключили третий вариант: кэширование PIN-кода приложением в сеансе.
Как компромисс между безопасностью и удобством.
Хотя бы потому что необходимость слишком частого ввода PIN-кода создаёт практически непреодолимые соблазны использования «простых» комбинаций. И необходимость учёта вероятности ошибок ввода. Особенно после замены заученного долгим регулярным использованием PIN-кода.

P.S. Именно такая логика (ввод passphrase ключа один раз при его загрузке) реализована в практически стандартном приложении PAGEANT.EXE.
Вы утверждаете, что она неправильна?

Re: librtpkcs11ecp.so и openssh-7.5_p1-r1

Кстати, использование протокола http во времена, когда давно пропагандируется переход на протокол https — информативный маркер полноты подхода разработчика к решению задачи безопасности.

Как и критическая необходимость JavaScript'а без проверки поддержки фичи улиентом.

Re: librtpkcs11ecp.so и openssh-7.5_p1-r1

Добрый день, Бравлинъ.

Ваши аргументы понятны. Поддержка ssh-add в планах есть, но четких сроков по этой задачи сейчас нет. Как только будет реализовано - напишем в эту тему. Если для Вас это критично, то мы можем форсировать задачу, если Вы готовы обсуждать условия.

P.S. замечу, что нет никакой проблемы с "простыми комбинациями". PIN-код это не пароль и политики на него не нужны. Токен аппаратно блокирует попытки перебора. И стандартная установка в 10 попыток делает невероятной удачей успешный перебор даже PIN кода из 5-6 цифр.

Re: librtpkcs11ecp.so и openssh-7.5_p1-r1

Сегодня обновил до openssh-8.0_p1-r4, актуальная librtpkcs11ecp.so с ней работает. Вопрос закрыт, разработчикам спасибо за оперативное решение вопроса.