pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

Имеем:

$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -l -O
...
Public Key Object; unknown key algorithm 3560050691
  label:     
  ID:         746f6b656e36
  Usage:      verify
Private Key Object; unknown key algorithm 3560050691
  label:     
  ID:         746f6b656e36
  Usage:      sign, derive
Certificate Object; type = X.509 cert
  label:      Rutoken Plugin
  subject:    DN: CN=\xD0\x9E\xD0\x9E\xD0\x9E "\xD0\xA0\xD0\xBE\xD0\xBC\xD0\xB0\xD1\x88\xD0\xBA\xD0\xB0", C=RU, ST=\xD0\xB3. \xD0\x9C\xD0\xBE\xD1\x81\xD0\xBA\xD0\xB2\xD0\xB0, L=\xD0\xB3. \xD0\x9C\xD0\xBE\xD1\x81\xD0\xBA\xD0\xB2\xD0\xB0
  ID:         746f6b656e36
...

Сертификат читается и показывается командой
$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -r -y cert --id 746f6b656e36 | openssl x509 -inform der -text -nameopt utf8

Читаем открытый ключ
$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -r -y pubkey --id 746f6b656e36
Using slot 0 with a present token (0x0)
error: Reading public keys of type 0xD4321003 not (yet) supported
Aborting.

По крайней мере программа готова его прочитать, да не поддерживает именно этот тип.
Есть у меня на токене ключ RSA. Он читается (как вывести в читаемом формате не нашел, иначе бы показал).

Закрытый ключ, якобы отсутствует:
$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -r -y privkey --id 746f6b656e36
Using slot 0 with a present token (0x0)
error: object not found
Aborting.

В листинге объектов закрытый ключ есть. Но он не читается. Это и есть неизвлекаемый закрытый ключ? Или просто не так читать пытаюсь?

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

А PIN надо вводить:

$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -r -y privkey --id 746f6b656e36 -l
Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
WARNING: user PIN to be changed
Please enter User PIN:
sorry, reading private keys not (yet) supported

Так что ключик вполне можно прочесть, но другой программой.

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

Здравствуйте.

Не совсем понятно актуален ли еще вопрос?
Если да, то напишите как получили эти ключи:

  • Герерировали прямо на токене или импортировали готовые?

  • Какое ПО использовали при генерации?

Зайдите на наш портал https://ra.rutoken.ru/ , введите PIN-код и посмотрите как там отображаются эти объекты — выложите скриншоты сюда.

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

Генерировал прямо на токене с помощью сервиса https://ra.rutoken.ru/https://forum.rutoken.ru/uploads/images/2020/02/588f19c07c69cfc2d257b78deb73210f.png

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

Ок. А расскажите еще про свою задачу и программное окружение, пожалуйста.

ЗАДАЧА
Нужно генерировать ключи + сертификаты через ra.rutoken.ru и как-то использовать. Как именно?

ОКРУЖЕНИЕ
В каких ОС и с каким софтом все должно работать?

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

Антон Тихиенко пишет:

А расскажите еще про свою задачу и программное окружение, пожалуйста.

Поначалу задача выглядела очень просто. Я как ИП и простой гражданин (в сертификате есть и то, и то) хочу работать с сайтом Госуслуг и сайтом налоговой (личный кабинет для ИП и физлица). Также есть острое желание электронно подписывать договоры оказания услуг, счета и акты. Алкоголем не торгую, маркированные товары видел только как покупатель (и так и будет - не занят торговлей). Я пользователь Linux (конкретно - широко поддерживаемый средствами криптографии дистрибутив АльтЛинукс).

Антон Тихиенко пишет:

Нужно генерировать ключи + сертификаты через ra.rutoken.ru и как-то использовать. Как именно?

Чего тут добавить ... Генерация мне подойдет любая, но с аппаратным ключом. Чтобы его скопировать нельзя было (да, я понимаю, что и мне тоже). Разбирательство показало, что аппаратный ключ именно на Linux я могу создать только в "Рутокен Плагин". Естественное место его обитания (применения с целью генерации ключей) - ra.rutoken.ru.

Антон Тихиенко пишет:

В каких ОС и с каким софтом все должно работать?

Меня устроит то, что мне изначально предложили в поддержке еще до покупки токена - "Рутокен Плагин" и IFCPlugin. Но, учитывая крайне неприятную распространенность КриптоПро, и в нем. Хотя бы, чтобы он там мог использоваться для подписания и проверки подписей. Софта для шифрования пока не видел. Думаю, на это способны gpg и openssl (и я видел, что у вас есть статьи об этом).

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

Как я уже сообщала вам ранее в почтовой переписке, сертификат можно получить в любом аккредитованном удостоверяющем центре. Генерируется сертификат формата PKCS#11 (как для ЕГАИС).
Поддерживается ли удаленная генерация сертификата на Linux в конкретном УЦ мы подсказать не можем. Однако, вы можете получить в УЦ уже сгенерированный сертификат. Вам останется только настроить остальное ПО для работы.

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

Ксения Шаврова пишет:

Как я уже сообщала вам ранее в почтовой переписке, сертификат можно получить в любом аккредитованном удостоверяющем центре. Генерируется сертификат формата PKCS#11 (как для ЕГАИС).
Поддерживается ли удаленная генерация сертификата на Linux в конкретном УЦ мы подсказать не можем. Однако, вы можете получить в УЦ уже сгенерированный сертификат. Вам останется только настроить остальное ПО для работы.

Тема не о том. Она для тех, кто ищет гарантированный способ подтверждения того, что созданная ключевая пара в формате PKCS#11 неизвлекаема.

Я пошел на этот оффтоп уже при ответе на то, зачем я вообще получаю сертификат. Ну надо было человеку зачем-то это было знать.

Написала бы программа pkcs11-tool что в принципе то она способна читать закрытые ключи, но вот именно этот она прочесть не может потому, что он в принципе неизвлекаем, я бы был спокоен. А программа заявила, что она пока не умеет читать закрытые ключи.

А есть какая-то другая, которая умеет, но не сможет?

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

СКЗИ "КриптоПРО CSP" версии 5.0 научилась работать с ключами формата PKCS#11.

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

Ксения Шаврова пишет:

СКЗИ "КриптоПРО CSP" версии 5.0 научилась работать с ключами формата PKCS#11.

У меня как раз такая. Имею опыт тестирования почти неделю. Да, на чтение они с такими подписями работают. Т.е. подписать что-то - можно.

Вы имеете в виду, что можно было попробовать скопировать контейнер там?

Re: pkcs11-tool для тестов на извлекаемость ключей с Рутокен ЭЦП 2.0

Да, попытаться скопировать контейнер, просмотреть или протестировать его через "КриптоПРО CSP" 5.0.
https://forum.rutoken.ru/uploads/images/2020/02/33bfd7a0f0862b4b05b471a830ca2841.png