Дистрибутив Devuan ASCII = Debian 9 Stretch.

root@host:~# dpkg -al | grep opensc
ii  opensc                               0.16.0-3+deb9u1                      amd64        Smart card utilities with support for PKCS#15 compatible cards
ii  opensc-pkcs11:amd64                  0.16.0-3+deb9u1                      amd64        Smart card utilities with support for PKCS#15 compatible cards

root@host:~# dpkg -al | grep ccid
ii  libacsccid1                          1.1.8-1~bpo9+1                       amd64        PC/SC driver for ACS USB CCID smart card readers

Тестирую на том же самом компьютере и считывателе:

root@host:/download/4# pkcs11-tool --module /usr/lib/libeTPkcs11.so --init-token --label eToken2
Using slot 0 with a present token (0x0)
Please enter the new SO PIN: 
Please enter the new SO PIN (again): 
Token successfully initialized

root@host:/download/4# pkcs11-tool --module /usr/lib/libeTPkcs11.so --init-pin --login
Using slot 0 with a present token (0x0)
Logging in to "eToken2".
Please enter SO PIN: 
Please enter the new PIN: 
Please enter the new PIN again: 
User PIN successfully initialized

root@host:/download/4# pkcs11-tool --module /usr/lib/libeTPkcs11.so --login --keypairgen --key-type rsa:2048
Using slot 0 with a present token (0x0)
Logging in to "eToken2".
Please enter User PIN: 
Key pair generated:
Private Key Object; RSA 
  label:      
  Usage:      decrypt, sign, unwrap
Public Key Object; RSA 2048 bits
  label:      
  Usage:      encrypt, verify, wrap

По крайне мере, теперь я почти уверен, что считыватель полностью рабочий, вы согласны со мной?

Добрый день!

Пробовали использовать PCSC-драйвер производителя?

https://www.acs.com.hk/download-driver- … -118-P.zip

Добрый вечер Павел,

Да, причем предварительно снес оригинальный из дистра, потом после установки варианта драйвера CCID от ACS и повторной установки PCSCD перезапустил PCSCD, абсолютно тот же результат один в один, никаких улучшений, только что теперь кроме ридеров ACS никакие другие ридеры даже не определяются, - вот вся разница от фирменного драйвера ACS.

Пробовали использовать PCSC-драйвер производителя?

https://www.acs.com.hk/download-driver- … -118-P.zip

root@host:~# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --init-token --label Test
Using slot 0 with a present token (0x0)
Please enter the new SO PIN: 
Please enter the new SO PIN (again): 
Token successfully initialized

root@host:~#pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --new-pin Test1234 --init-pin
Using slot 0 with a present token (0x0)
Logging in to "Rutoken".
Please enter SO PIN: 
User PIN successfully initialized

Ключевую пару по прежнему не удается сгенерировать:

root@host:~#pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --keypairgen --key-type rsa:512
Using slot 0 with a present token (0x0)
Logging in to "Rutoken".
Please enter User PIN: 
error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_FUNCTION_FAILED (0x6)

Aborting.

root@host:~# pkcs11-tool -L --module /usr/lib/librtpkcs11ecp.so
Available slots:
Slot 0 (0x0): ACS ACR3901U ICC Reader 00 00
  token label        : Rutoken
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : rng, login required, PIN initialized, token initialized, user PIN to be changed, SO PIN to be changed
  hardware version   : 54.2
  firmware version   : 23.2
  serial num         : 3b89646b
Slot 1 (0x1): 
  (empty)
Slot 2 (0x2): 
  (empty)
Slot 3 (0x3): 
  (empty)
Slot 4 (0x4): 
  (empty)
Slot 5 (0x5): 
  (empty)
Slot 6 (0x6): 
  (empty)
Slot 7 (0x7): 
  (empty)
Slot 8 (0x8): 
  (empty)
Slot 9 (0x9): 
  (empty)
Slot 10 (0xa): 
  (empty)
Slot 11 (0xb): 
  (empty)
Slot 12 (0xc): 
  (empty)
Slot 13 (0xd): 
  (empty)
Slot 14 (0xe): 
  (empty)

По поводу пятого: Тогда почему отсутсвует упоминание 3b:9c:96:00:52:75:74:6f:6b:65:6e:45:43:50:73:63 в кодобазе openSC? Здесь явно что-то не чисто. И на ридер не жалуюсь - Рутокен ЭЦП SC первая смарт-карта, которая под OpenSC отказалась быть определяемой(из тех, которые я использовал).

В общем есть над чем работать. Как средство авторизации и аутентификации в офисе рутокен использовать можно. Для интеграции в публичный продукт - это пока останется под вопросом, т.к. работа с рутокеном занимает необосновано много времени, в отличии от аналогов(более дорогостоящих, надо отдать должное, но лучше переплатить, чем затем страдать :)

Пожалуйста, подскажите, какие другие смарткарты у вас заработали с OpenSC в считывателе ACS?

5. Надеюсь, Вы понимаете, что в данном случае проблема даже не с поддержкой наших устройств в OpenSC, а с поддержкой своих ридеров в OpenSC компанией ACS ACR.

Какой же все-таки ридер самый самый совместимый с Linux и самый безспроблемный?
Почему бы вам тщательно не протестировать хоть один ридер и не предложить его пользователям Linux в качестве точно работающего с OpenSC?  Вы сами с каким ридером тестируете свои смарткарты во время разработки?

Тоже самое, нисколько не лучше.

SNadezhdin пишет:

Может карта труп?

Потестируйте карту на нашем портале ra.rutoken.ru — тут можно сгенерировать ключевую пару, создать запрос на тестовый сертификат и записать его.
Сообщите о результатах, пожалуйста.

Удалось зайти в панель управления ra.rutoken.ru, после ввода пин кода.

При попытке генерации любого поддерживаемого ключа (ГОСТ 256 или RSA) пишет: "Невозможно выполнить операцию", причем для обоих карт ФСБ и Микрон. ПИН код тоже не удается поменять.

root@host:~# lsusb | grep -i acr
Bus 004 Device 020: ID 072f:b000 Advanced Card Systems, Ltd ACR3901U

root@host:/download# ./rtadmin -f
Formatting was successful. Token Id: 0x3b89646b
0x3b89646b / 998859883 : Format passed : 87654321 : 12345678 : SM mode = 0
Next token... (Or press "q")

root@host:/download# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
Using slot 0 with a present token (0x0)
Logging in to "Rutoken".
Please enter User PIN: 

Ввожу: 12345678
Некоторое время моргает лампочка на ридере, видимо он что-то пытается генерировать, а потом:

error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_DEVICE_ERROR (0x30)

Aborting.

OpenSC вашу карту вообще не признает:

root@backup1:~# opensc-tool -n
Using reader with a card: ACS ACR3901U ICC Reader 00 00
Unsupported card

Если бы не эта ветка, то я бы не запустил rtadmin и продолжал бы думать, что либо карта неисправна либо считыватель. У меня пара таких считывателей, на обоих считывателях карта ведет себя одинаково, что делать дальше, как добиться работы смарт карты аналогично USB токену?

USB токен Rutoken ECP2 работает на том же самом хосте нормально, удается сгенерировать ключ и использовать его в OpenSSH.

Теперь проделываем тоже самое, включая форматирование, с другой вашей картой: Rutoken ECP2 2151:

root@host:/download# ./rtadmin -f
Next token... (Or press "q")
Formatting was successful. Token Id: 0x3cfe59ed
0x3cfe59ed / 1023302125 : Format passed : 87654321 : 12345678 : SM mode = 0
Next token... (Or press "q")

root@host:/download# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
Using slot 0 with a present token (0x0)
Logging in to "Rutoken".
Please enter User PIN: 12345678
error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_ATTRIBUTE_VALUE_INVALID (0x13)

Aborting.

Это нормально? Мучаюсь уже целый месяц с этими смарткартами, перебирая считыватели.

Можно ли сделать вывод, что если форматирование с помощью rtadmin проходит нормально (по крайне мере судя по его сообщению), то в целом и считыватель и карта работают нормально, но есть какие-то устранимые софтовые несовместимости, которые мешают PKCS11 работать корректно? Успешный проход rtadmin является показателем полной совместимости и работоспособности карты и считывателя?

1. Все официальные статьи написаны для токенов, так как там мы делаем и считыватель и саму смарт-карточную часть. Но согласен, что документацию можно и нужно дорабатывать. Мы стараемся по каждому такому обращению вносить правки.
2. rtAdmin предоставляется в бинарном виде. Если сборка по тем или иным причинам не заработает или требуется под специальную архитектуру мы готовы такие сборки предоставлять. Жестких бинарных зависимостей там нет в принципе. Что вы подразумеваете под встраиванием rtAdmin непонятно. Вызов из скриптов? Это не отличается от обычного использования.
3. Предустановка, переупаковка и обновление не является модификацией. Под модификацией подразумевается в первую очередь бинарная модификация с целью изменить функциональность на не заложенную нами.
4. Как я и говорил, порой в OpenSC происходят не контролируемые нами изменения. Будем разбираться, почему смарт-карты не работают.

Спасибо за Вашу обратную связь. Будем работать над улучшением поддержки наших продуктов в Linux.

Понимаю, но очень много официальных статей, которые не обозначают этот аспект. Да, указать на эту особенность очень было бы желательно - если бы это было обозначено, то всей этой проблемы и не было бы.
Документация нуждаеться в серьёзной доработке - так как сам факт существования всего этого добра очень не очевиден. Есть ли возможность собрать утилиту из исходников или всё привязано к бинарной совместимости конкретных предоставленных сборок? Что насчёт встраивания этого? Распространяеться ли общая лицензия из SDK на это?

По поводу лицензии - есть общая лицензия, да, но архивы скачанные с сайта(за исключением sdk) не имееют вложенной лицензии и совсем не понятно являеться ли предустановка, переупаковка, стороннее онлайн-обновление пакетов(и тому подобное) модификацией.

По поводу пятого: Тогда почему отсутсвует упоминание 3b:9c:96:00:52:75:74:6f:6b:65:6e:45:43:50:73:63 в кодобазе openSC? Здесь явно что-то не чисто. И на ридер не жалуюсь - Рутокен ЭЦП SC первая смарт-карта, которая под OpenSC отказалась быть определяемой(из тех, которые я использовал).

В общем есть над чем работать. Как средство авторизации и аутентификации в офисе рутокен использовать можно. Для интеграции в публичный продукт - это пока останется под вопросом, т.к. работа с рутокеном занимает необосновано много времени, в отличии от аналогов(более дорогостоящих, надо отдать должное, но лучше переплатить, чем затем страдать :)