Этот параметр не работает, смысл его вы не угадали, но на самом деле теперь уже совсем не важно, какой смысл, раз он не работает. В следующей версии уберем описание, чтобы оно не смущало.

Ок, премного благодарен. Мы посмотрим и отпишемся.

$ rtadmin
Usage: rtadmin OPTIONS
  Examples:
   rtadmin -o 87654321 -a 0987654321    # change Admin PIN
   rtadmin -o 87654321                  # change Admin PIN, use default new Admin PIN
   rtadmin -c 12345678 -u 1234567890    # change User PIN
   rtadmin -f -G 10 -U                  # formatting token with generating Admin PIN at 10 bytes UTF-8  and default User PIN
   rtadmin -f                           # formatting token with default PIN codes (Admin  87654321  User 12345678)

<--skip-->
-s N        Set SM mode  N : { 1 - Optional password | 2 - 1 password | 3 - 6 passwords }

собственно вот. rtadmin macosx. И да, у вас в описании этого параметра нет, быть может оно не для ЕЦП?

По поводу команды, инициализация токена производится так:

pkcs11-tool --module /usr/local/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
ssh-keygen -D /usr/local/lib/librtpkcs11ecp.so -I 0:45 >> rutoken/key_$USER.pub

Сам токен:

pkcs11-tool --module /usr/local/lib/librtpkcs11ecp.so -l -O
Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
Please enter User PIN:
Public Key Object; RSA 2048 bits
  label:
  ID:         45
  Usage:      encrypt, verify, wrap
Private Key Object; RSA
  label:
  ID:         45
  Usage:      decrypt, sign, unwrap

Мы благодарны вам за столь теплый отзыв.

Насколько я знаю, в утилите rtadmin вообще нет такой опции: http://dev.rutoken.ru/pages/viewpage.ac … Id=7995615

Покажите пожалуйста всю команду, которую вы пытаетесь выполнить, целиком. Мы посмотрим, что там не так.

Чтобы учитывать сроки действия PIN-кодов, в токене должны были бы быть часы реального времени с автономным источником питания. Как вы понимаете, ни источника питания, ни часов в токене нет. Поэтому, увы, ограничить срок действия чего бы там ни было в токене невозможно.

Исключение использования нескольких последних PIN-кодов теоретически могло бы быть реализовано внутри токена, но это было бы лишним.
Токен позволяет настроить минимальную длину PIN-кода (до 32 символов включительно) и количество попыток неправильного ввода PIN-кода.
Вероятность подбора PIN-кода (даже состоящего исключительно только из цифр) при грамотной комбинации этих параметров можно сократить настолько сильно, что необходимости в дополнительных проверках никогда не возникнет

Мы долгое время используем ключи ruToken ECP c pkcs15 и все у нас работает прекрасно. Однако возникло несколько вопросов по ограничениям ключей:

1. Правильно ли я понимаю, что команда rtadmin -s задает ограничение на повторное использование одинаковых пин-кодов?

2. При попытке использовать pkcs11 библиотеку librtpkcs11ecp.so генерация сертификата и выдача публичного ssh ключа работают нормально, но при попытке логина на сервер выдает ошибку: sign_and_send_pubkey: signing failed: agent refused operation при использовании агента и
ssh -I /usr/local/lib/librtpkcs11ecp.so test_server
Enter PIN for 'Rutoken ECP <no label>':
C_Sign failed: 48
sign_and_send_pubkey: signing failed: error in libcrypto

при прямом вызове - что-то упущено? Раньше работало, но по причине простоты оставались на pcks15

и дополнительно по первому вопросу, я попробовал через rtadmin указать -s 3, но пин коды меняю как перчатки туда-обратно легко и непринужденно - за что тогда отвечает параметр -s?

Ну и в целом - можно ли ограничить срок действия пользовательского пин кода (например установить срок 90 дней), а также исключить использование последних 3-4 пин кодов при смене пин? желательно без использования windows (т.к. windows у нас нет вообще и ставить для настройки рутокена было бы слишком. Но если без windows это невозможно, но возможно с windows -укажите плз.).