1. Ввожу неправильный ПИН пользователя или администратора;
2. Считываю расширенную информацию о токене;
3. Соответствующая типу пользователя пара значений {ulMaxUserRetryCount, ulUserRetryCountLeft} или {ulMaxAdminRetryCount, ulAdminRetryCountLeft} уменьшается синхронно.

Если я правильно понял, то уменьшаться должны только ulUserRetryCountLeft или ulAdminRetryCountLeft, но не ulMaxUserRetryCount или ulMaxAdminRetryCount?

К сожалению это железное ограничения Рутокен S.

Есть только одна возможная комбинация этих параметров:
ulMinAdminPinLen == 1
ulMinUserPinLen == 1

При форматировании RuToken S возникает ошибка, если значения ulMinAdminPinLen, ulMinUserPinLen больше единицы.

Фрагмент из SDK:
initInfo_st.pNewAdminPin = SO_PIN;
initInfo_st.ulNewAdminPinLen = sizeof(SO_PIN);
initInfo_st.pNewUserPin = NEW_USER_PIN;
initInfo_st.ulNewUserPinLen = sizeof(NEW_USER_PIN);
initInfo_st.ulMinAdminPinLen = 2;
initInfo_st.ulMinUserPinLen = 2;

rv = pFunctionListEx->C_EX_InitToken(aSlots[0], SO_PIN, arraysize(SO_PIN), &initInfo_st);
if (rv != CKR_OK)
{
printf(" -> Failed\n"); //rv == 7;
}

Почему?

Vladimir Ivanov. Чем отличаются библиотеки rtPKCS11.dll и rtPKCS11ECP.dll? Какую библиотеку лучше использовать для Rutoken S 32k ?

В контексте использования Рутокен S лучше использовать rtPKCS11.dll, поскольку  в библиотеке rtPKCS11ECP.dll этот тип токенов не поддерживается. Более подробно о библиотеках можно почитать здесь: http://dev.rutoken.ru/pages/viewpage.ac … Id=3178534

То есть для пароля администратора, необходимо открыть R/W сессию, выполнить логин Администратором (C_Login) и затем вызовом С_SetPIN изменить его на новый.

Т.е. я правильно понял, что в случае с ruToken C_InitToken() не назначает новый пароль администратора, а только удаляет данные с носителя?
Если так, то тогда, я полагаю, его придется изменять через C_EX_InitToken()? Или же можно все-таки с помощью стандартной функции изменить?

Если пред вызовом токен был отформатирован в панели Рутокен, с использованием PIN-кода Администратора по умолчанию, то нужно использовать следующее значение пина: "87654321"

Каждый символ пароля задаётся своим байтом соответственно кодировке ASCII, то есть для пароля администратора по умолчанию это будут байты 0x38, 0x37, 0x36, 0x35, 0x34, 0x33, 0x32, 0x31 ("завершающий ноль" не передаётся).

Когда токен инициализирован, все объекты, которые могут быть уничтожены, уничтожаются (т.е. все, кроме
"не разрушаемых" объектов, таких как ключи, встроенные в токен)

В библиотеки rtPKCS11.dll присутствует функция C_EX_InitToken одним из её входных параметров является ссылка на структуру, определяющую настройки форматирования:

        // структура задающая параметры форматирования токена
        CK_RUTOKEN_INIT_PARAM    ckRtInitParams;    

        // размер структуры - входной параметр (необходимо заполнить)
        ckRtInitParams.ulSizeofThisStructure = sizeof(CK_RUTOKEN_INIT_PARAM);

        // режим восстановления не требует ввода пин-кода администратора (0 - нет, !0 - да)
        ckRtInitParams.UseRepairMode = 0;

        // задать новый пин администратора
        ckRtInitParams.pNewAdminPin = (CK_BYTE_PTR) "87654321";

        // задать длину нового пина администратора
        ckRtInitParams.ulNewAdminPinLen = 8;

        // задать новый пин пользователя
        ckRtInitParams.pNewUserPin = (CK_BYTE_PTR) "12345678";

        // задать длину нового пина пользователя
        ckRtInitParams.ulNewUserPinLen = 8;

        // задать политику смены пин-кода пользователя
        ckRtInitParams.ChangeUserPINPolicy = TOKEN_FLAGS_ADMIN_CHANGE_USER_PIN | TOKEN_FLAGS_USER_CHANGE_USER_PIN ;

        // задать минимальную длину пина администратора
        ckRtInitParams.ulMinAdminPinLen = 6;

        // задать минимальную длину пина пользователя
        ckRtInitParams.ulMinUserPinLen = 6;

        // задать максимальное количество попыток доступа к пину администратора
        ckRtInitParams.ulMaxAdminRetryCount = 10;

        // задать максимальное количество попыток доступа к пину пользователя
        ckRtInitParams.ulMaxUserRetryCount = 10;

        // задать метку пользователя
        ckRtInitParams.pTokenLabel = (CK_UTF8CHAR_PTR) LABEL;

        // задать длину метки пользователя
        ckRtInitParams.ulLabelLen = arraysize (LABEL);

Aleks_kras пишет:

что то странное дело, не пойму Rutoken S 64К, при форматирование из "Панель управления Рутокен" задавал пароль 18 символов, и нормально отформатировал. Вроде одинаковые методы используются или нет?

Спасибо за информацию! Очень похоже на некорректное поведение Панели управления Рутокен. Если нам удастся повторить такое поведение, то вероятно оно будет исправлено как ошибочное.
Могу лишь заверить Вас, что максимальная длина PIN-кода, поддерживаемая устройством Rutoken S, составляет 16 байт, то есть допустимы PIN-коды длиной от 1 до 16 байт.

ок, спасибо и Вам за информацию.

что то странное дело, не пойму Rutoken S 64К, при форматирование из "Панель управления Рутокен" задавал пароль 18 символов, и нормально отформатировал. Вроде одинаковые методы используются или нет?

Спасибо за информацию! Очень похоже на некорректное поведение Панели управления Рутокен. Если нам удастся повторить такое поведение, то вероятно оно будет исправлено как ошибочное.
Могу лишь заверить Вас, что максимальная длина PIN-кода, поддерживаемая устройством Rutoken S, составляет 16 байт, то есть допустимы PIN-коды длиной от 1 до 16 байт.

Оживлю тему, столкнулся с проблемой длинны пинкода. По умолчанию максимальная длинна 16 символов. Собственно вопрос как увеличить до 20 к примеру?
смотрел сдк заголовочные файлы в одном нашел (pkcs11t.h)

CK_ULONG ulMaxAdminPinLen;
  CK_ULONG ulMinAdminPinLen;
  CK_ULONG ulMaxUserPinLen;
  CK_ULONG ulMinUserPinLen;

но в самой структуре нет максимального:

typedef struct _CK_RUTOKEN_INIT_PARAM
{
    CK_ULONG    ulSizeofThisStructure;
    CK_ULONG    UseRepairMode;
    CK_BYTE_PTR pNewAdminPin;
    CK_ULONG    ulNewAdminPinLen;
    CK_BYTE_PTR pNewUserPin;
    CK_ULONG    ulNewUserPinLen;
    /* Correct values (see description):
     * TOKEN_FLAGS_ADMIN_CHANGE_USER_PIN
     * TOKEN_FLAGS_USER_CHANGE_USER_PIN
     * TOKEN_FLAGS_ADMIN_CHANGE_USER_PIN | TOKEN_FLAGS_USER_CHANGE_USER_PIN
     */
    CK_FLAGS    ChangeUserPINPolicy; /* see below */
    CK_ULONG    ulMinAdminPinLen;
    CK_ULONG    ulMinUserPinLen;
    CK_ULONG    ulMaxAdminRetryCount;
    CK_ULONG    ulMaxUserRetryCount;
    CK_BYTE_PTR pTokenLabel;
    CK_ULONG    ulLabelLen;
} CK_RUTOKEN_INIT_PARAM;

и как быть? забыли дописать или как? или что то другое надо использовать?

Наибольшая длина PIN-кода для Rutoken S составляет 16 байт. Это значение определяется возможностями устройства и не поддаётся изменению.
Для Рутокен ЭЦП возможно использование PIN-кодов длиной до 32 байт.
Наибольшую возможную длину PIN-кода для устройства можно узнать из полей структур CK_TOKEN_INFO_EXTENDED или CK_TOKEN_INFO.

CK_ULONG ulMaxAdminPinLen;
  CK_ULONG ulMinAdminPinLen;
  CK_ULONG ulMaxUserPinLen;
  CK_ULONG ulMinUserPinLen;

но в самой структуре нет максимального:

typedef struct _CK_RUTOKEN_INIT_PARAM
{
    CK_ULONG    ulSizeofThisStructure;
    CK_ULONG    UseRepairMode;
    CK_BYTE_PTR pNewAdminPin;
    CK_ULONG    ulNewAdminPinLen;
    CK_BYTE_PTR pNewUserPin;
    CK_ULONG    ulNewUserPinLen;
    /* Correct values (see description):
     * TOKEN_FLAGS_ADMIN_CHANGE_USER_PIN
     * TOKEN_FLAGS_USER_CHANGE_USER_PIN
     * TOKEN_FLAGS_ADMIN_CHANGE_USER_PIN | TOKEN_FLAGS_USER_CHANGE_USER_PIN
     */
    CK_FLAGS    ChangeUserPINPolicy; /* see below */
    CK_ULONG    ulMinAdminPinLen;
    CK_ULONG    ulMinUserPinLen;
    CK_ULONG    ulMaxAdminRetryCount;
    CK_ULONG    ulMaxUserRetryCount;
    CK_BYTE_PTR pTokenLabel;
    CK_ULONG    ulLabelLen;
} CK_RUTOKEN_INIT_PARAM;

и как быть? забыли дописать или как? или что то другое надо использовать?