Вы не авторизованы. Пожалуйста, войдите или зарегистрируйтесь.
Форум Рутокен → Решение технических проблем → librtpkcs11ecp.so и openssh-7.5_p1-r1
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Добрый день
Тоже столкнулся с этой проблемой.
Дистрибутив Debian 9.5
[user@comp Downloads]$ ssh-add -s /usr/lib/librtpkcs11ecp.so
Enter passphrase for PKCS#11:
Could not add card "/usr/lib/librtpkcs11ecp.so": agent refused operation
Без ssh-agent использование токена для *nix админа не представляется возможным. Каждый раз вводить ПИН...
Печально, что проблему так и не решили до сих пор.
мы, *nix пользователи – не в приоритете. готов поспорить, за эту проблему за истекший год никто просто не брался.
Добрый день, dim.
Мы помним про эту проблему, она находится в очереди задач, но пока не решена.
P.S. Надеюсь вы понимаете, что ввод PIN кода каждый раз является основой безопасности хранения чего-либо на токене. Если PIN знает кто-то кроме Вас или он сохранен в софте, то может быть использован без Вашего ведома.
Надеюсь вы понимаете, что ввод PIN кода каждый раз является основой безопасности хранения чего-либо на токене. Если PIN знает кто-то кроме Вас или он сохранен в софте, то может быть использован без Вашего ведома.
Вы совершенно случайно исключили третий вариант: кэширование PIN-кода приложением в сеансе.
Как компромисс между безопасностью и удобством.
Хотя бы потому что необходимость слишком частого ввода PIN-кода создаёт практически непреодолимые соблазны использования «простых» комбинаций. И необходимость учёта вероятности ошибок ввода. Особенно после замены заученного долгим регулярным использованием PIN-кода.
P.S. Именно такая логика (ввод passphrase ключа один раз при его загрузке) реализована в практически стандартном приложении PAGEANT.EXE.
Вы утверждаете, что она неправильна?
Кстати, использование протокола http во времена, когда давно пропагандируется переход на протокол https — информативный маркер полноты подхода разработчика к решению задачи безопасности.
Как и критическая необходимость JavaScript'а без проверки поддержки фичи улиентом.
Добрый день, Бравлинъ.
Ваши аргументы понятны. Поддержка ssh-add в планах есть, но четких сроков по этой задачи сейчас нет. Как только будет реализовано - напишем в эту тему. Если для Вас это критично, то мы можем форсировать задачу, если Вы готовы обсуждать условия.
P.S. замечу, что нет никакой проблемы с "простыми комбинациями". PIN-код это не пароль и политики на него не нужны. Токен аппаратно блокирует попытки перебора. И стандартная установка в 10 попыток делает невероятной удачей успешный перебор даже PIN кода из 5-6 цифр.
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Форум Рутокен → Решение технических проблем → librtpkcs11ecp.so и openssh-7.5_p1-r1
