1 (2015-02-16 10:55:19 отредактировано jamest)

rutoken lite и openvpn

добрый день!
пытаюсь настроить openvpn под ubuntu 10.04. На Рутокен Lite залит ключ через фирменную утилиту. По команде

/usr/sbin/openvpn  --show-pkcs11-ids /usr/lib/librtpkcs11ecp.so

ключ виден. соответственно, он прописан в конфиг openvpn примерно так:

pkcs11-providers /usr/lib/librtpkcs11ecp.so
pkcs11-id 'Aktiv\x20Co\x2E/Rutoken\x20ECP/2d105684/Rutoken\x20ECP\x20\x3Cno\x20label\x3E/C67F8A314C24E080'
pkcs11-pin-cache 300

при запуске openvpn с этим конфигом происходит на мой взгляд зависание openvpn. последняя строка лога openvpn (с verb=12):

Mon Feb 16 10:26:23 2015 us=197088 PKCS#11: Adding provider '/home/james/librtpkcs11ecp.so'-'/home/james/librtpkcs11ecp.so'

пробовал с актуальной версией библиотеки и с одной из предыдущих. к токену обращения судя по индикатору нет. без подключенного токена картина такая же.

должно ли так быть?

2

Re: rutoken lite и openvpn

Добрый день.

Если у Вас действительно Рутокен Lite то вынужден вас разочаровать.
Ключи записанные на Рутокен Lite не будут видны через библиотеку librtpkcs11ecp
Их можно использовать только на Windows и только через библиотеку rtPKCS11.dll

Библиотека rtpkcs11ecp полноценно и кроссплатформенно поддерживает только устройство Рутокен ЭЦП.

3

Re: rutoken lite и openvpn

как же так? к firefox на этой же системе точно через этот же файл библиотеки ключи подключил... правда, еще не использовал, но сертификаты вижу.

4

Re: rutoken lite и openvpn

Сертификат виден, но только сертификат, без ключей.
Рутокен Lite ведь не содержит аппаратной реализации криптографии.

5

Re: rutoken lite и openvpn

что-то я тогда не до конца понимаю, почему заявлена поддержка linux, PKCS#11? может, его инициализировать нужно как-то иначе, чтобы использовать?
дополнительный вопрос, если позволите...
запускаю openvpn из командной строки с указанным в конфиге провайдером librtpkcs11ecp.so. лог openvpn обрывается строкой
Adding provider '/home/james/librtpkcs11ecp.so'-'/home/james/librtpkcs11ecp.so'
завершить процесс невозможно ни по ctrl+c, ни с помощью kill. вне зависимости от того, подключен ли токен. так должно быть?

6

Re: rutoken lite и openvpn

Рутокен Lite это устройство, которое специально разработано для того, чтобы быть носителем ключевой информации для отечественных криптопровайдеров. То есть это не электронный идентификатор в общем смысле слова, а ключевой носитель и не более.
Это гораздо более узкоспециализированное устройство чем, например, Рутокен ЭЦП. Рутокен Lite чрезвычайно хорош для тех задач, для которых он предназначен, но спектр его применения, к сожалению, ограничивается этими задачами.

Если вам требуется интеллектуальное и универсальное устройство - в вашем распоряжении Рутокен ЭЦП.

Почему поддержка Linux?
Потому что есть отечественные криптопровайдеры на linux и даже на Mac в которых Рутокен Lite тоже прекрасно работает.
Почему поддержка PKCS#11?
Некоторые отечественные криптопровайдеры предпочитают общаться с токенами через интерфейс PKCS#11.
Однако, закрытый ключ они хранят не в виде правильного объекта PKCS#11 (что невозможно, так как токен не поддерживает криптографию), а в виде зашифрованного файла.

7

Re: rutoken lite и openvpn

По поводу OpenVPN сложно что-то сказать:
могу посоветовать попробовать другие (более свежие) версии.
У них там периодически что-то ломается, мы не успеваем отслеживать :)
Мы сами пользуемся Viscosity - там встроенный openvpn более-менее стабильный и нормально работает с токенами.

8

Re: rutoken lite и openvpn

Добрый день!
Можно ли поподробнее разъяснить эту тему, т.е. не совсем понятно следующее -

если аппаратной криптографии нет, то openvpn (или другое ПО) должно получить ключи к себе,
т.е. возможен экспорт ключей в том числе и не разрешенных для экспорта при заливке,
т.е., грубо говоря, для ключей lite-токен не сильно отличается от обычной флешки с зашифрованными ключами?

И появится ли когда-нибудь аналог библиотеки rtpkcs11.dll для Linux?

Лично у меня с ruToken Lite опыт получился следующий:
- с библиотекой librtpkcs11ecp возникает ошибка и в Linux Debian Testing и в Window 7:
"PKCS#11: Cannot perform signature 512:'CKR_FUNCTION_REJECTED'"
и ни на каких форумах не нашел упоминания такой ошибки,
хотя это видимо как раз про отсутствие аппаратной криптографии...
- с библиотекой rtpkcs11.dll подключиться удалось,
но через раз возникают зависания - помогает перевоткнуть ключ...
А мне надо чтоб в Linux работало.

Спасибо!

9

Re: rutoken lite и openvpn

Дмитрий, вы правы, Рутокен Lite это не крипто-токен, а токен-хранилище. Данные внутри зашифрованы, защищены пин-кодом и устройство проверено ФСТЭК. Этим от флешки и отличается.

Чтобы нормально у вас все работало в linux в ваших кейсах - используйте устройство Рутокен ЭЦП PKI.
Это доступное устройство и стоит почти как Lite.
Все будет работать так же отлично как windows и +100 очков к безопасности (с неизвлекаемыми ключами)
А добавлять программную криптографию в rtpkcs11ecp для Рутокен Lite мы не планируем.