Re: Блокировка и отсутствие поддержки PUK

>> Проблема наверное в том, что наше сообщество линуксоидов не настолько активно развивает обсуждаемые нами вещи.

Любой проблеме есть причина. Думаю, для сообщества линуксоидов тот же блоб не является плюсом мягко говоря. И сравнивать блобы фирмварей с данным блобом – некорректно. Аналог блоба сетевой карты – микропрограмма токена. И их потенциальные уязвимости совсем иные и не такие уязвимые. И проблем со средой исполнения у них быть не может. Да что тут продолжать, вы это и сами прекрасно знаете.

Кроме того, многим непонятно в принципе, почему основной интерфейс, через который предполагается работать, должен быть реализован блобом? Я понимаю, что что-то должно быть скрыто, но для этого в токене есть микропрограмма, можно использовать для управления проприетарный бинарник… миллионы [s]мух[/s] сисадминов используют например проприетарный megacli и не жалуются.

Думаю проблема все таки не в линуксоидах, а в том, что активную часть этого сообщества нужно заинтересовать, тогда будут и коммиты и что угодно. А пока, (я могу говорить только за себя конечно), я все же вижу постоянные отсылки к блобам и, скажем так, мягко говоря, не очень великое желание решать проблемы.

Вот прямо сегодня у меня второй тестовый токен уже 2 раза отвалился (с первым такого я не замечал, хотя разницы вроде нет). pcscd пишет после powerState: POWER_STATE_POWERED сразу же POWER_STATE_UNPOWERED. А у меня сразу же возникает вопрос, стоит ли анализировать проблему, тестировать, писать багрепорты – если заниматься этим, возможно, никто не желает? :)

поддержку в миллионах опенсорс проектах
ну я честно говоря Вас здесь не понял. какие миллионы, если у нас есть pcscd и opensс? все остальное работает через предоставляемые ими интерфейсы, зачем какие-то еще сущности? ну а в этих проектах да, для приобретаемого устройства поддержка по крайней мере багфиксы, нужна. Это все таки не открытый код, в котором можно разобраться самому, а черный ящик.

>> вольны выбирать ваш путь, он нелегкий
ну да, уже нелегко :) хотя, честно говоря, проблемы подобного рода встречаются довольно редко и не на всех мягко говоря устройствах :)

>> И посмотрите библиотеки и драйверы у конкурирующих устройств - я бы не сказал что они качественнее или лучше описаны.
Не спорю, но это ж не точка отсчета в самом деле.

Re: Блокировка и отсутствие поддержки PUK

Всегда приятно пообщаться с умным человеком, но все же давайте ближе к проблеме :)

По поводу разблокировки пин-кода вы разобрались?

>> Вот прямо сегодня у меня второй тестовый токен уже 2 раза отвалился (с первым такого я не замечал, хотя разницы вроде нет). pcscd пишет после powerState: POWER_STATE_POWERED сразу же POWER_STATE_UNPOWERED. А у меня сразу же возникает вопрос, стоит ли анализировать проблему, тестировать, писать багрепорты – если заниматься этим, возможно, никто не желает? :)

Про эти надписи мы знаем, они ничего не означают и не мешают нормальной работе токена.
libccid немного перестраховывается и посылает некоторые команды, которые помечены в спецификации CCID как необязательные к реализации. Соответственно, если устройство их не обрабатывает - ничего страшного и не происходит.

>> Не спорю, но это ж не точка отсчета в самом деле.
на самом деле это точка. Где мы, а где SafeNet или Gemalto? в мировом масштабе?
Стать лидером даже локального рынка было очень и очень непросто.

Re: Блокировка и отсутствие поддержки PUK

>>По поводу разблокировки пин-кода вы разобрались?
Немного объясню – проблемы в основном встречаются не мгновенновоспроизводимого характера. Стало быть, я должен использовать токен, и возможно в течение минимум дней. Для холостых опытов, эмулирующих реальную деятельность, у меня нет обезьянки кроме меня самого, так что мне просто придется пытаться использовать токен в реальном режиме.
Но я столкнулся с тем, что не могу с 0.14/0.15 импортировать в firefox бэкапы .p12, хотя на 0.15 обновилось недавно, а раньше вероятно был 0.14, и проблемы вроде бы не было (хотя на какой версии я создавал метаданные, я не записал). В общем, пока какая-то каша и надо для начала зафиксировать версию opensc, которая Вами использовалась/тестировалась/whatever. Сейчас я откатился на 0.12.2 – и возникла проблема #2 (POWER_STATE_UNPOWERED), при которой токен перестает определяться.

я бы хотел разбираться в этом, зафиксировав для начала хотя бы версию opensc (поскольку проблема с POWER_STATE_UNPOWERED и отвалом токена) повторяется уже 3ий раз. Способа восстановить работу кроме ребута я пока не обнаружил. (Перезапуски/перетыки не помогают, *hci пересобирать модулями и перепинывать хочется очень мало) Коррелируется пока это только со сменой токена+откат на 0.12.2.

В общем, ситуация крайне неясная и чтобы не потратить неделю на метод тыка – необходимо ваше содействие в планировании тестирования. Ну и было бы неплохо как-то параллельно удостовериться в том, что оба токена аппаратно 100% работоспособны.

Re: Блокировка и отсутствие поддержки PUK

посодействовать можем вот таким образом:
1) присылаете нам номера прошивок ваших токенов (получаете их в виндовс или через pkcs11-tool например)
2) показываете нам вашу нагрузку на токены - мы ее запускаем на таких же, аналогичных
3) ждем проявления и если оно произойдет - разбираемся

так пойдет?

Re: Блокировка и отсутствие поддержки PUK

Кирилл Мещеряков пишет:

посодействовать можем вот таким образом:
1) присылаете нам номера прошивок ваших токенов (получаете их в виндовс или через pkcs11-tool например)
2) показываете нам вашу нагрузку на токены - мы ее запускаем на таких же, аналогичных
3) ждем проявления и если оно произойдет - разбираемся

так пойдет?

Нет, конечно, это не методика вообще. и воспроизводимость я гарантирую 100% будет нулевой.
Как я уже предложил, давайте зафиксируем хотя бы версию opensc (вероятно и pcsc-lite/ccid тоже) и создадим на моей платформе под вашим мудрым руководством воспроизводимую среду. Первым делом хотелось бы разобраться с отвалом токенов, требующим ребута, поскольку это вообще *всё* затрудняет.
серийники: 0000000030FD7941, 000000003031564A

(2015-09-23 16:20:54 отредактировано Бравлинъ)

Re: Блокировка и отсутствие поддержки PUK

Кирилл Мещеряков пишет:

Наверное некорректно упрекать коммерческую компанию тем, что она своими силами не поддерживает полную функциональность в open source проектах.
Проект OpenSC поддерживает около сотни устройств и было бы сложно добиться полнофукнциональности каждого из них.
Это потребовало бы огромных ресурсов, которых у open source разработчиков обычно нет.
Некоторую "усредненную" функциональность мы поддерживаем, но на большее мы не можем пойти.
Мэйнтейнеры проекта просто не возьмут специфичный код, так как он работает только на одном устройстве из сотни.

Здравствуйте,

Мне кажется, что покупатель продукции компании, специализирующейся в области информационной безопасности вправе ожидать от представителей разработчика представления об обязательном (необходимом) минимуме функций.
И, так как совместимость с opensc была определяющим аргументом в пользу рутокена, хотелось бы, чтобы она совместимость соответствовала не некоторой «средней» [температуре по больнице, начиная с реанимации, и заканчивая моргом], а осознанному и обоснованному минимуму.

В ядре Linux присутствует специфичный код для поддержки тысяч (!) устройств. Потому я бы усомнился в нерешаемости задачи включения специфического кода.
Хотя бы по принципу поддержки RFC-3779 в OpenSSL.

Re: Блокировка и отсутствие поддержки PUK

Кирилл Мещеряков пишет:

https://www.rutoken.ru/support/download/pkcs/

Я конечно знаю как работают интернеты, но…
Для компании, разрабатывающей аппаратные средства криптографической защиты не знать практики использования технологии Java Script (и причин популярности её блокировки)… просто неприлично. А знаючи это не использовать это знание в разделах сайта, где доступность этой технологии критично…

Подтверждение принятия лицензионного соглашения, возвращающее на страницу загрузки (вместо ожидаемой выдачи файла).
Использование базового протокола http вкупе с отсутствием средств контроля целостности и аутентичности…
Для «лидеров локального рынка» (в лице того же 1С) оно понятно и ожидаемо.
Но для компании, специализирующейся в области информационной безопасности мне видится неприличным. Вам так не кажется?

ЗЫ: Почему не последовать примеру хотя бы разработчиков архиватора RAR (которые для минимального пакета unrar, пусть под несвободной лицензией, но дают исходники)?

Re: Блокировка и отсутствие поддержки PUK

beelze пишет:

внезапно пин оказывается заблокированным (стратегия использования токена практически полностью исключает возможность того, что злоумышленник пытался его подобрать etc)

Только меня в контексте данной темы заинтересовал вопрос отличения штатной блокировки PIN-кода (неважно, трудами злоумышленика ли, или вследствие ошибочных действий пользователя) от следствия программной ошибки (в коде или, скорее, в интерфейсе)?
Без удовлетворительного ответа на этот вопрос стрёмно переводить устройство из категории «гаджета на поиграться».

Re: Блокировка и отсутствие поддержки PUK

Ладно, я вижу что тема превратилась в поле битвы. Предлагаю завершить здесь на раскрытии темы профиля – чего там нужно вписать, чтобы SO мог разблокировать пин. Ну и хорошо бы это закоммитить в апстрим-таки по умолчанию.

По поводу отвала и прочего я открываю другую тему.

Re: Блокировка и отсутствие поддержки PUK

Коммит https://github.com/OpenSC/OpenSC/commit … 60de3de7ec вошел в версию 0.12.2

Разблокировка пинкода пользователя должна работать начиная с этой версии.

Re: Блокировка и отсутствие поддержки PUK

Кирилл Мещеряков пишет:

Коммит https://github.com/OpenSC/OpenSC/commit … 60de3de7ec вошел в версию 0.12.2

Разблокировка пинкода пользователя должна работать начиная с этой версии.

установлена 0.13.0, ФС создана этой же версией, в профайле есть … EF CHV2 { …
Смена пина работает, и, исходя из коммита, сброс тоже должен работать? Или я что-то не так понял?

Re: Блокировка и отсутствие поддержки PUK

верно.
А как вы делаете разблокировку? утилитой pkcs15-tool я надеюсь?

(2015-09-28 17:32:08 отредактировано beelze)

Re: Блокировка и отсутствие поддержки PUK

>>А как вы делаете разблокировку? утилитой pkcs15-tool я надеюсь?

[s]я трижды в день возносил молитвы, потом взял микроскоп и гвозди :D [/s]
да, разумеется. другой способ мне неизвестен, и вроде как в пределах pkcs-* он единственный?

>> верно

«верно, не так понял» или «верно, я правильно понял, что коммит реализует как смену пина так и его сброс»? :)

Просто мне не совсем понятен вывод (пин правда не заблокирован, это влияет?):

# pkcs15-tool -u
Using reader with a card: Aktiv Rutoken ECP 00 00
Enter PUK [Security Officer PIN]: 
Enter new PIN [Security Officer PIN]: # why new pin is SO pin?
^C
# pkcs15-tool -u -a 02                             ↑
Using reader with a card: Aktiv Rutoken ECP 00 00
Enter PUK [MytokeN]: # PUK again… :(

Re: Блокировка и отсутствие поддержки PUK

beelze пишет:

>>А как вы делаете разблокировку? утилитой pkcs15-tool я надеюсь?

[s]я трижды в день возносил молитвы, потом взял микроскоп и гвозди :D [/s]
да, разумеется. другой способ мне неизвестен, и вроде как в пределах pkcs-* он единственный?

>> верно

«верно, не так понял» или «верно, я правильно понял, что коммит реализует как смену пина так и его сброс»? :)

Просто мне не совсем понятен вывод (пин правда не заблокирован, это влияет?):

# pkcs15-tool -u
Using reader with a card: Aktiv Rutoken ECP 00 00
Enter PUK [Security Officer PIN]: 
Enter new PIN [Security Officer PIN]: # why new pin is SO pin?
^C
# pkcs15-tool -u -a 02                             ↑
Using reader with a card: Aktiv Rutoken ECP 00 00
Enter PUK [MytokeN]: # PUK again… :(

не могу пока точно сказать, надо пробовать
# pkcs15-tool -u -a 02 --puk "" --so-pin "87654321"
?

Re: Блокировка и отсутствие поддержки PUK

# pkcs15-tool -u -a 02 --puk "" --so-pin "my_so_pin"
pkcs15-tool: unrecognized option '--so-pin'

# pkcs15-tool -u -a 02 --puk ""                           ↑
Using reader with a card: Aktiv Rutoken ECP 00 00
Enter new PIN [MytokeN]: # 4 digits entered as before
Enter new PIN again [MytokeN]:
PIN unblocking failed: Invalid PIN length