]]>]]>СКЗИ "КриптоПРО CSP" версии 5.0 научилась работать с ключами формата PKCS#11.
У меня как раз такая. Имею опыт тестирования почти неделю. Да, на чтение они с такими подписями работают. Т.е. подписать что-то - можно.
Вы имеете в виду, что можно было попробовать скопировать контейнер там?
]]>Как я уже сообщала вам ранее в почтовой переписке, сертификат можно получить в любом аккредитованном удостоверяющем центре. Генерируется сертификат формата PKCS#11 (как для ЕГАИС).
Поддерживается ли удаленная генерация сертификата на Linux в конкретном УЦ мы подсказать не можем. Однако, вы можете получить в УЦ уже сгенерированный сертификат. Вам останется только настроить остальное ПО для работы.
Тема не о том. Она для тех, кто ищет гарантированный способ подтверждения того, что созданная ключевая пара в формате PKCS#11 неизвлекаема.
Я пошел на этот оффтоп уже при ответе на то, зачем я вообще получаю сертификат. Ну надо было человеку зачем-то это было знать.
Написала бы программа pkcs11-tool что в принципе то она способна читать закрытые ключи, но вот именно этот она прочесть не может потому, что он в принципе неизвлекаем, я бы был спокоен. А программа заявила, что она пока не умеет читать закрытые ключи.
А есть какая-то другая, которая умеет, но не сможет?
]]>А расскажите еще про свою задачу и программное окружение, пожалуйста.
Поначалу задача выглядела очень просто. Я как ИП и простой гражданин (в сертификате есть и то, и то) хочу работать с сайтом Госуслуг и сайтом налоговой (личный кабинет для ИП и физлица). Также есть острое желание электронно подписывать договоры оказания услуг, счета и акты. Алкоголем не торгую, маркированные товары видел только как покупатель (и так и будет - не занят торговлей). Я пользователь Linux (конкретно - широко поддерживаемый средствами криптографии дистрибутив АльтЛинукс).
Нужно генерировать ключи + сертификаты через ra.rutoken.ru и как-то использовать. Как именно?
Чего тут добавить ... Генерация мне подойдет любая, но с аппаратным ключом. Чтобы его скопировать нельзя было (да, я понимаю, что и мне тоже). Разбирательство показало, что аппаратный ключ именно на Linux я могу создать только в "Рутокен Плагин". Естественное место его обитания (применения с целью генерации ключей) - ra.rutoken.ru.
В каких ОС и с каким софтом все должно работать?
Меня устроит то, что мне изначально предложили в поддержке еще до покупки токена - "Рутокен Плагин" и IFCPlugin. Но, учитывая крайне неприятную распространенность КриптоПро, и в нем. Хотя бы, чтобы он там мог использоваться для подписания и проверки подписей. Софта для шифрования пока не видел. Думаю, на это способны gpg и openssl (и я видел, что у вас есть статьи об этом).
]]>ЗАДАЧА
Нужно генерировать ключи + сертификаты через ra.rutoken.ru и как-то использовать. Как именно?
ОКРУЖЕНИЕ
В каких ОС и с каким софтом все должно работать?
]]>Не совсем понятно актуален ли еще вопрос?
Если да, то напишите как получили эти ключи:
Герерировали прямо на токене или импортировали готовые?
Какое ПО использовали при генерации?
Зайдите на наш портал https://ra.rutoken.ru/ , введите PIN-код и посмотрите как там отображаются эти объекты — выложите скриншоты сюда.
]]>$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -r -y privkey --id 746f6b656e36 -l
Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
WARNING: user PIN to be changed
Please enter User PIN:
sorry, reading private keys not (yet) supported
Так что ключик вполне можно прочесть, но другой программой.
]]>$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -l -O
...
Public Key Object; unknown key algorithm 3560050691
label:
ID: 746f6b656e36
Usage: verify
Private Key Object; unknown key algorithm 3560050691
label:
ID: 746f6b656e36
Usage: sign, derive
Certificate Object; type = X.509 cert
label: Rutoken Plugin
subject: DN: CN=\xD0\x9E\xD0\x9E\xD0\x9E "\xD0\xA0\xD0\xBE\xD0\xBC\xD0\xB0\xD1\x88\xD0\xBA\xD0\xB0", C=RU, ST=\xD0\xB3. \xD0\x9C\xD0\xBE\xD1\x81\xD0\xBA\xD0\xB2\xD0\xB0, L=\xD0\xB3. \xD0\x9C\xD0\xBE\xD1\x81\xD0\xBA\xD0\xB2\xD0\xB0
ID: 746f6b656e36
...
Сертификат читается и показывается командой
$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -r -y cert --id 746f6b656e36 | openssl x509 -inform der -text -nameopt utf8
Читаем открытый ключ
$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -r -y pubkey --id 746f6b656e36
Using slot 0 with a present token (0x0)
error: Reading public keys of type 0xD4321003 not (yet) supported
Aborting.
По крайней мере программа готова его прочитать, да не поддерживает именно этот тип.
Есть у меня на токене ключ RSA. Он читается (как вывести в читаемом формате не нашел, иначе бы показал).
Закрытый ключ, якобы отсутствует:
$ pkcs11-tool --module /usr/lib64/pkcs11/librtpkcs11ecp.so -r -y privkey --id 746f6b656e36
Using slot 0 with a present token (0x0)
error: object not found
Aborting.
В листинге объектов закрытый ключ есть. Но он не читается. Это и есть неизвлекаемый закрытый ключ? Или просто не так читать пытаюсь?
]]>