Сегодня вышла новая версия нашего SDK. Там Вы найдете новую версию библиотеки PKCS#11.
Тестирование этой библиотеки с pam_p11 прошло успешно. Проверьте у себя.

Добрый день, beelze

Уточните:

• Версию ОС

• Версии pcsc, libusb

• Вывод pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T

• Вывод pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --show-info

– Gentoo, неверсионный дистрибутив, ядро 4.15.0-pf6
– dev-libs/libusb 1.0.21
– sys-apps/pcsc-lite 1.8.2

# pkcs11-tool --module /opt/rutoken/librtpkcs11ecp.so -T                                  ↑
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
  token label        : <tokenname>
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, token initialized, PIN initialized
  hardware version   : 20.4
  firmware version   : 18.0
  serial num         : 30fd7941
  pin min/max        : 4/32

# pkcs11-tool --module /opt/rutoken/librtpkcs11ecp.so --show-info                           ↑
Cryptoki version 2.20
Manufacturer     Aktiv Co.
Library          Rutoken ECP PKCS #11 library (ver 1.6)
Using slot 0 with a present token (0x0)

Уточните:

• Версию ОС

• Версии pcsc, libusb

• Вывод pkcs11-tool --module /usr/lib/librtpkcs11ecp.so -T

• Вывод pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --show-info

# lsl /opt/rutoken/librtpkcs11ecp.so{,.old}                                               ↑
-rwxr-xr-x 1 beelze beelze 2944016 Nov 24  2017 /opt/rutoken/librtpkcs11ecp.so
-rw-r--r-- 1 beelze beelze 2849616 Oct 10  2016 /opt/rutoken/librtpkcs11ecp.so.old

# md5sum /opt/rutoken/librtpkcs11ecp.so{,.old}                                              ↑
16ec143a752d6c40380bdff6b2ece680  /opt/rutoken/librtpkcs11ecp.so
82b5fda89d669d062edc82cf1b486391  /opt/rutoken/librtpkcs11ecp.so.old

с этими 2мя версиями проверялось, разницы не было обнаружено.

Передал в разработку. Попробуем разобраться в чем проблема. Подскажите сразу версию librtpkcs11ecp.so, не нашел ее в issue на github

Вкратце: вышла новая версия pam_p11-0.2.0. Которая, судя по всему, не работает с librtpkcs11ecp.so. Разработчик проблемы не видит (считает, что maybe need to contact the card's vendor), предлагает произвести отладку. Разумеется как минимум ввиду отсутствия отладочной информации в librtpkcs11ecp.so это невозможно. Более полное освещение проблемы здесь: https://github.com/OpenSC/pam_p11/issues/3

Моих знаний недостаточно ни для разрешения проблемы ни для того, чтобы убедить хотя бы одну из сторон хоть что-то сделать. Надеюсь, что «vendor» не проигнорирует проблему :-) Было бы неплохо, если бы Ваша сторона поучаствовала в обсуждении проблемы непосредственно в рамках указанного issue.

Обнаружилась она при попытке разблокировки рабочего стола (в качестве локера используется slimlock из логин-менеджера slim). С первого раза ввод пина срабатывает только если токен не вытаскивался при заблокированном экране. Подробно ситуация (с синтетическим тестом и логами) мной описана в https://github.com/OpenSC/pam_p11/issues/3 , вкратце сообщу только итог:

если в период между pam_start и соответствующим pam_authenticate токен извлекался, то ввод верного пина приведет к успешной аутентификации только со 2го или 3го раза.

Исходя из того, что одной из самых логичных ситуаций на декстопе является «вытащил токен - залочил - ушел - пришел - вставил токен - ввел пин», проблема мне кажется вполне достойной внимания. К сожалению, апстрим никак пока не отреагировал и, возможно, реакция будет стандартной – «send patches». Возможно, интеграция ваших разработчиков с девами opensc более тесная и решение этого вопроса удастся ускорить.