Vladimir Ivanov пишет:

enzain пишет:

Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...

Для GPG действительно пока нельзя использовать Рутокен ЭЦП. Пока никто не озадачился написанием соотв. модуля поддержки.

Скажите, а изменилась ли тут ситуация к лучшему с момента этого ответа? Сейчас gpg видит токен как устройство для чтения смарт-карт

$ gpg --card-status 
gpg: detected reader `Aktiv Rutoken ECP 00 00'
...

и предлагает вставить карту...

При этом gpg2 почему-то выводит уже:

$ gpg2 --card-status 
gpg: Карта OpenPGP недоступна: Не поддерживается

Здравствуйте!
Удивительного тут ничего нет, поскольку gpg ожидает карту, которая соответствует
спецификации OpenPGP card (https://g10code.com/p-card.html).
Рутокен ЭЦП этой спецификации не соответствует - мы не ставили целью ее поддерживать.
На написание каких-либо модулей поддержки Рутокен в gpg пока добровольцев не нашлось, увы.
Переговоров на эту тему с нами тоже никто не вёл.
С "коммерческим pgp" картина иная, там все работает "из коробки".

enzain пишет:

Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...

Для GPG действительно пока нельзя использовать Рутокен ЭЦП. Пока никто не озадачился написанием соотв. модуля поддержки.

Скажите, а изменилась ли тут ситуация к лучшему с момента этого ответа? Сейчас gpg видит токен как устройство для чтения смарт-карт

$ gpg --card-status 
gpg: detected reader `Aktiv Rutoken ECP 00 00'
...

и предлагает вставить карту...

При этом gpg2 почему-то выводит уже:

$ gpg2 --card-status 
gpg: Карта OpenPGP недоступна: Не поддерживается

Так а чего никто не сказал человеку что для опенпгп не подойдет рутокен?...
Не видит он рутокена и не может на нем сертификаты свои хранить к сожалению... Для опенпгп вообще определенные карты нужны...

Для GPG действительно пока нельзя использовать Рутокен ЭЦП. Пока никто не озадачился написанием соотв. модуля поддержки.

То бишь, единственным существенным отличием ЭЦП от lite (если рутокен будет использоваться исключительно через opensource решения) является только наличие криптопроцессора и непосредственно вытекающего из этого факта функционала?

Можно конечно и так сказать, но это отличие делает токены этих двух моделей устройствами совершенно разных классов с очень сильно различающейся функциональностью и возможностями применения.

Благодарю за ответ, однако хотелось бы уяснить следующие нюансы:
– насколько я мог понять из сравнения линеек S, Lite и ЭЦП, поддержка CCID в S отсутствует, но есть в Lite и ЭЦП
– есть ли разница м/у Lite и ЭЦП в разрезе указанных мной opensource приложений (в разделе «характеристики» в части «файловой системы» для ЭЦП указан более широкий функционал, но я полагаю, что он обеспечивается не аппаратно/архитектурно, а проприетарным ПО?)
– то же самое про Lite и ЭЦП в части аутентификации пользователя (возможно, я и ошибаюсь, но в pcsc-lite и opensc нет локальных PIN и комбинированных методов аутентификации?)

Прошу разъяснить по возможности подробно, заранее спасибо.

По сути, Рутокен Lite является сильно урезанной версией Рутокен ЭЦП, из которого изъяты выполняемые "на борту" криптографические преобразования данных. Рутокен Lite может использоваться исеключительно в качестве ключевого носителя для программно-реализованной криптографии. Рутокен ЭЦП выполняет криптографические преобразования (в частности RSA, включая генерацию ключей) "на борту".

Прошу разъяснить по возможности подробно, заранее спасибо.

В таком случае лучшее, что можно порекомендовать из наших продуктов - это Рутокен ЭЦП.

На данный момент я использую etoken pro 72k java, однако именно эта модель не поддерживается opensc, поэтому ее применение весьма и весьма ограничено (невозможно использование с gnupg), а такие вещи, как генерация пары RSA ключей для openssh через сертификат x509, излишне трудоемко.

Насчет pkcs#15 – я не скажу, что уверен на 100%, однако я часто натыкался на примеры с участием pkcs15-tool, поэтому хотелось бы иметь и поддержку этого формата.

Опишите, пожалуйста, подробно общую задачу, которую вы собираетесь реализовать с использованием USB-токенов.
Также укажите для чего именно планируется "работа в PKCS#15 и с через PKCS#11"?