Рутокен ЭЦП PKI Type-C и SSH

Добрый день.
Подскажите, можно ли использовать Рутокен ЭЦП PKI Type-C для хранения ключа RSA и для использования его в SSH?

Rutoken ЭЦП 2.0 у меня настроен и работает нормально. Приобрет Рутокен ЭЦП PKI Type-C (нужен был разъем Type-C). Но инициализировать его так же, как когда-то делал с ЭЦП 2.0 не получилось.

% pkcs15-init --create-pkcs15
Using reader with a card: Aktiv Rutoken ECP 00 00
New Security Officer PIN (Optional - press return for no PIN).
Please enter Security Officer PIN: 
Please type again to verify: 
Unblock Code for New User PIN (Optional - press return for no PIN).
Please enter User unblocking PIN (PUK): 
Failed to create PKCS #15 meta structure: Incorrect parameters in APDU

Используется Fedora 33 x86_64 со штатными библиотеками.

(2021-03-19 20:29:04 отредактировано dkostousov)

Re: Рутокен ЭЦП PKI Type-C и SSH

Установил библиотеку librtpkcs11ecp-2.1.1.0-1.x86_64.rpm

Пытаюсь инициализировать токен с помощью утилиты pkcs11-tool

% pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -L           
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
  token label        : Rutoken ECP <no label>
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, SO PIN count low, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
  hardware version   : 54.1
  firmware version   : 23.0
  serial num         : 3c51753a
  pin min/max        : 6/32
% pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so --init-token --label 'Rutoken ECP <no label>'
Using slot 0 with a present token (0x0)
Please enter the new SO PIN: 
Please enter the new SO PIN (again): 
error: PKCS11 function C_InitToken failed: rv = CKR_PIN_INCORRECT (0xa0)
Aborting.

Наверняка я что-то делаю неправильно. Где ошибка?

Re: Рутокен ЭЦП PKI Type-C и SSH

В конечном итоге удалось добиться следующего:

1. скачал утилиту rtadmin и с её помощью отформатровал токен
2. сгенерировал ключи

pkcs11-tool --module /usr/lib64/librtpkcs11ecp.so -l --keypairgen --key-type rsa:2048

3. использование в ssh библиотеки из librtpkcs11ecp-2.1.1.0-1.x86_64.rpm "as is" невозможно, т.к. сама библиотека лежит в недрах каталога /opt а ssh-agent имеет встроенный whitelist таких библиотек, пришлось заменить симлинк на сам файл

Очень хотелось бы заставить работать токен со штатной библиотекой

Re: Рутокен ЭЦП PKI Type-C и SSH

Добрый день.
Попробуйте подготовить токен следующими командами:
$ pkcs15-init --erase-card
$ pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk ""
$ pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" --finalize

Re: Рутокен ЭЦП PKI Type-C и SSH

Все получилось. Большое спасибо за помощь.