Форум Рутокен — RuToken 32K150Z, *nix, Key length/algorithm not supported by card

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2025-03-19T13:05:03Z

Переделал последовательность...

для файла openssl.cnf :

openssl_conf = openssl_def
[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = gost_section
[ gost_section ]
dynamic_path = C:/Program Files/OpenSSL-Win64/bin/rtengine.dll
enable_rand = yes
pkcs11_path = C:/Program Files/OpenSSL-Win64/bin/rtpkcs11ecp.dll
rand_token = pkcs11:manufacturer=Aktiv%20Co.;model=Rutoken%20ECP
default_algorithms = CIPHERS, DIGEST, PKEY, RAND

И все заработало!)

Всем огромное спасибо !!!

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2025-03-19T10:16:18Z

библиотеки rtengine.dll и rtpkcs11ecp.dll нужной разрядности?
Если не указывать pin в uri подпись работает?
Попробуйте закомментировать строки rand_token и enable_rand.

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2025-03-19T08:03:20Z

Аверченко Кирилл пишет:

- это серийный номер вашего токена?

Да, преобразован в формат ASCII. То же самое выдает pkcs11-tool.exe

Аверченко Кирилл пишет:

- пин-код в случае pkcs11-uri задается непосредственно в самом URI, пример есть у нас в документации https://dev.rutoken.ru/pages/viewpage.a … =180715764
Попробуйте подставить pkcs11uri вида "pkcs11:model=Rutoken%20ECP?pin-value=12345678" если это единственный токен, подключенный к компьютеру.

Пробовал:
openssl cms -sign -binary -nosmimecap -in C:\User\json.json -out C:\User\sign.sig -outform PEM -keyform engine -inkey "pkcs11:model=Rutoken%20ECP?pin-value=12345678" -engine rtengine -signer C:\User\certificate.pem
ошибка та же самая.

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2025-03-18T14:48:33Z

eton.uno, добрый день.

eton.uno пишет:

"pkcs11:serial=45324ddd"

- это серийный номер вашего токена?

eton.uno пишет:

-passin pass:12345678

- пин-код в случае pkcs11-uri задается непосредственно в самом URI, пример есть у нас в документации https://dev.rutoken.ru/pages/viewpage.a … =180715764
Попробуйте подставить pkcs11uri вида "pkcs11:model=Rutoken%20ECP?pin-value=12345678" если это единственный токен, подключенный к компьютеру.

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2025-03-18T09:28:55Z

Добрый день!
Ваша тех.поддержка так и не отвечает, решил выложить проблему сюда:
Имеется токен ЭЦП 3.0 с сертификатом от ФНС:

При подписании документа командой:
openssl cms -sign -binary -nosmimecap -in C:\User\json.json -out C:\User\sign.sig -outform PEM -keyform engine -inkey "pkcs11:serial=45324ddd" -engine rtengine -signer C:\User\certificate.pem -passin pass:12345678
получаю ошибку:

настройки openssl.cnf такие:

[ openssl_def ]
engines = engine_section
[ engine_section ]
rtengine = rtengine_section
[ gost_section ]
gost = gost_section
dynamic_path = C:/Program Files/OpenSSL-Win64/bin/rtengine.dll
pkcs11_path = C:/Program Files/OpenSSL-Win64/bin/rtpkcs11ecp.dll
rand_token = pkcs11:model=Rutoken%20ECP;manufacturer=Aktiv%20Co.
default_algorithms = ALL
enable_rand = yes

Подскажите, как разрешить данную проблему ?

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T13:47:05Z

чисто теоретически, iqmp мог получиться < 64

Однако, навряд ли OpenSSL смог бы сделать такое.

Мы посмотрим что там произошло, Ваш ключик нам бы очень в этом помог.

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T13:34:17Z

Кирилл Мещеряков пишет:

Если ключ не критичен, не могли бы вы его показать?
Чем он был сгенерирован? OpenSSL?
Есть подозрение что возникла какая то проблема при парсинге pem формата закрытого ключа где-то на верхних уровнях OpenSC.

Ключ пока критичен, но все-же попробую его ревокнуть и отдать вам на растерзание.

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T13:00:57Z

Действительно, неправильно то, что rsa->iqmp.len получился 63
Этого вроде бы быть не должно.

Если ключ не критичен, не могли бы вы его показать?
Чем он был сгенерирован? OpenSSL?

Есть подозрение что возникла какая то проблема при парсинге pem формата закрытого ключа где-то на верхних уровнях OpenSC.

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T10:31:40Z

Короче, я закомментировал строку '|| rsa->iqmp.len != bitlen/16' , пересобрал opensc.
В результате, у меня все залезло в токен.

Но это же неправильно?

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T10:25:19Z

добавил в функцию немного отладки, получил такие цифры:

bitlen 1024 rsa->modulus.len 128, rsa->p.len 64, rsa->q.len 64, rsa->dmp1.len 64, rsa->dmq1.len 64, rsa->iqmp.len 63, rsa->d.len 128, rsa->exponent.len 3

Смущает, что rsa->iqmp.len 63, разумеется оно не проходит в проверку rsa->iqmp.len != bitlen/16

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T09:54:14Z

судя по логу, "sc_rutoken_get_bin_from_prkey returned -1"
покопался в исходниках, нашел такое:

static int rutoken_get_bin_from_prkey(const struct sc_pkcs15_prkey_rsa *rsa,
                        u8 *bufkey, size_t *bufkey_size)
{
        const uint32_t bitlen = rsa->modulus.len * 8;
        size_t i, len;

        if (    rsa->modulus.len  != bitlen/8
             || rsa->p.len        != bitlen/16
             || rsa->q.len        != bitlen/16
             || rsa->dmp1.len     != bitlen/16
             || rsa->dmq1.len     != bitlen/16
             || rsa->iqmp.len     != bitlen/16
             || rsa->d.len        != bitlen/8
             || rsa->exponent.len > sizeof(uint32_t)
        )
                return -1;

        if (*bufkey_size < 14 + sizeof(uint32_t) * 2 + bitlen/8 * 2 + bitlen/16 * 5)
                return -1;

Видимо, что-то не так с форматом ключа?

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T09:12:08Z

Для команды
$ /usr/bin/pkcs15-init --store-private-key carina/nkrasnoyarsky.key --auth-id 02 --id 45 --label 'nkrasnoyarsky' > token.debug

вывод
http://pastebin.com/sx7cmhi7

Для остальных надо?

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T08:53:19Z

Спасибо за информацию.

Можно ли посмотреть на вывод этих команд при включенной отладке OpenSC?

(в файле /etc/opensc.conf параметр debug = 6)

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T08:49:58Z

nikl@ak49:~$ /usr/bin/pkcs15-init -E
Using reader with a card: Aktiv Rutoken S 00 00

nikl@ak49:~$ /usr/bin/pkcs15-init -C --so-pin "87654321" --so-puk ""
Using reader with a card: Aktiv Rutoken S 00 00
Unspecified PIN [reference 2] required.
Please enter Unspecified PIN [reference 2]:

nikl@ak49:~$ /usr/bin/pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk ""
Using reader with a card: Aktiv Rutoken S 00 00

nikl@ak49:~$ /usr/bin/pkcs15-init --store-private-key carina/nkrasnoyarsky.key --auth-id 02 --id 45 --label 'nkrasnoyarsky'
Using reader with a card: Aktiv Rutoken S 00 00
Failed to store private key: Unknown error

nikl@ak49:~$ /usr/bin/pkcs15-init --store-certificate carina/nkrasnoyarsky.crt --auth-id 02 --id 45 --label 'nkrasnoyarsky'
Using reader with a card: Aktiv Rutoken S 00 00
User PIN required.
Please enter User PIN:

nikl@ak49:~$ /usr/bin/pkcs15-tool --list-certificatesUsing reader with a card: Aktiv Rutoken S 00 00
X.509 Certificate [nkrasnoyarsky]
    Flags    : 2
    Authority: no
    Path     : 3f0050150345
    ID       : 45

nikl@ak49:~$ /usr/bin/pkcs15-tool --list-keys
Using reader with a card: Aktiv Rutoken S 00 00

т.е. в результате сертификат засасывается в токен, приватный ключ - нет

Re: RuToken 32K150Z, *nix, Key length/algorithm not supported by card

2012-01-10T08:27:56Z

Здравствуйте.

Рутокены S третьей версии должны работать в предыдущих версиях.

В чем конкретно проявляются проблемы?