Vladimir Ivanov пишет:

Добрый день!

Если не сложно, проясните пожалуйста, для какой цели эта задача решается. Очень интересно.
Спасибо!

Токен должен быть пуст (у меня такое в тз). Если он не пуст, то выводится сообщение об этом, далее пользователь либо меняет токен, либо его инициализирует. Далее на токен записывается ключевой контейнер КриптоПро. Еще токенов может быть не один, с помощью второго подписывается.

Я ошибся, оказывается КриптоПро в PP_UNIQUE_CONTAINER возвращает и серийный номер токена. Но в msdn это не документировано.
Видимо придется так и делать. Недостаток подхода: на токене в принципе может быть ключевой контейнер не КриптоПро, а криптопровайдера, который даже не установлен в системе. Можете сказать, какие еще криптопровайдеры, кроме КриптоПро, записывают на токен не pkcs#11 объекты, наподобие ключевых контейнеров?
И еще один недостаток: нужно перебирать все ключевые контейнеры КриптоПро, но при переборе иногда происходит зависание на несколько секунд и более, видимо КриптоПро ожидает подключения отсоединенных токенов с ключевыми контейнерами. Надеюсь это решаемо.

Спасибо большое за пояснение!
Тут ситуация еще более интересная получается. Кроме криптопровайдеров, которые могут хранить свои контейнеры на токене, может существовать еще масса приложений, которые могут хранить не только ключевые пары и сертификаты, но и различного рода идентификаторы, симметричные ключи, какие-то еще данные. И если подходить к вопросу со всей тщательностью, задачу в поставленных условиях можно и не решить надежным способом. Разве что проверить существование на токене каких-либо файлов и папок, которые созданы после его форматирования, то есть не существуют на токене по умолчанию, сразу после его форматирования. для этого придется сравнить дерево файлов и папок, которое получается на токене непосредственно после форматирования с текущим деревом для конкретного токена.
Отсюда вопрос - не является ли требование обязательного отсутствия объектов на токене избыточным для задачи?

Добрый день!

Если не сложно, проясните пожалуйста, для какой цели эта задача решается. Очень интересно.
Спасибо!

Токен должен быть пуст (у меня такое в тз). Если он не пуст, то выводится сообщение об этом, далее пользователь либо меняет токен, либо его инициализирует. Далее на токен записывается ключевой контейнер КриптоПро. Еще токенов может быть не один, с помощью второго подписывается.

Я ошибся, оказывается КриптоПро в PP_UNIQUE_CONTAINER возвращает и серийный номер токена. Но в msdn это не документировано.
Видимо придется так и делать. Недостаток подхода: на токене в принципе может быть ключевой контейнер не КриптоПро, а криптопровайдера, который даже не установлен в системе. Можете сказать, какие еще криптопровайдеры, кроме КриптоПро, записывают на токен не pkcs#11 объекты, наподобие ключевых контейнеров?
И еще один недостаток: нужно перебирать все ключевые контейнеры КриптоПро, но при переборе иногда происходит зависание на несколько секунд и более, видимо КриптоПро ожидает подключения отсоединенных токенов с ключевыми контейнерами. Надеюсь это решаемо.

Если не сложно, проясните пожалуйста, для какой цели эта задача решается. Очень интересно.
Спасибо!

Если Вы хотите решить задачу определить наличие контейнера КриптоПро CSP более конкретно, то не обойтись без написания кода.
Мы для этого используем интерфейс ISO 7816, алгоритм можем подсказать.

Подскажите, пожалуйста, можно на мою почту архив с близкими примерами и документацией.

Вообще, способы решения задачи определения наличия пользовательских данных (точнее любых не pkcs#11 пользовательских объектов, например, ключевых контейнеров КриптоПро) на рутокене вижу такие:
1. Ориентироваться на общую и свободную память рутокена. Но этот способ не точный, зависит от конкретного устройства. Нужен способ, годный и для будущих ваших устройств. Но это самый простой способ, годный как временное решение. Поэтому скажите, пожалуйста, каков размер на служебные данные в зависимости от токенов, выпускаемых сейчас и раньше? Это 4*1024 байт или 4*1000 байт для всех ваших токенов? Если занятый объем больше, значит там есть пользовательские данные?
2. Использовать криптопровайдер. Но тут надо использовать именно тот криптопровайдер, чьи контейнеры могут быть на токене, а этого мы не знаем заранее. Но пусть знаем, например, КриптоПро. Тут еще проблема: как через криптографические функции WinAPI получить серийный номер устройства (нам он нужен)? Можно конечно получить полное имя ключевого контейнера CryptGetProvParam(...PP_UNIQUE_CONTAINER...), но там нет серийного номера.
3. Низкоуровневый подход (ISO 7816, APDU команды). Пришлите, пожалуйста, на мою почту архив с близкими к этой задаче примерами и документацией, например APDU команд, поддерживаемых всеми рутокенами.

Если Вы хотите решить задачу определить наличие контейнера КриптоПро CSP более конкретно, то не обойтись без написания кода.
Мы для этого используем интерфейс ISO 7816, алгоритм можем подсказать.

Спасибо за ответ.
Вообще, минимальная задача определить пуст рутокен или нет. Пуст - значит нет не только объектов pkcs#11, но и ключевых контейнеров типа от КриптоПро.
Но даже после его форматирования (через Панель управления рутокен) далее через pkcs#11 получаю "Public memory  free: 30368, total: 32768;   Private memory   free: 30368, total: 32768".
Как определить отсутствие каких-либо пользовательских данных на рутокене?

Это довольно просто.
Контейнер КриптоПро CSP вместе с ключами занимает порядка 4Кб. По оставшемуся объему свободной памяти Вы можете довольно точно оценить - есть он там или нет.

Можно ли с помощью pkcs#11 или его расширения (без использования криптопровайдера) получить информацию о ключевых контейнерах на рутокене, записанных с помощью криптопровайдера, например, КриптоПро?
Если нет, то с помощью чего?
Как это делает "Панель управления Рутокен" во вкладке "Сертификаты"?
Ключевой контейнер не виден как CKO_CERTIFICATE, CKO_DATA, ...
Есть ли где-то пример или тема на форуме?

Добрый день!

Контейнер КриптоПро CSP хранится в файлах несовместимых с интерфейсом PKCS#11.
Поэтому с КриптоПро CSP так сделать не получится.

С СигналКОМ CSP, ViPNet CSP и Лисси CSP контейнеры записываются через PKCS#11 и поэтому их можно прочитать и использовать через PKCS#11 интерфейс.