Форум Рутокен — Проблема с pkcs11-tool

Re: Проблема с pkcs11-tool

null@example.com (Павел Анфимов) — Thu, 30 Jun 2022 12:17:58 +0000

TolikTipaTut1, после создания атрибуты доступа нельзя изменить. Только путем чтения файла, созданием нового объекта с таким же содержимым, но с другими атрибутами доступа, затем удалением старого.

Re: Проблема с pkcs11-tool

null@example.com (TolikTipaTut1) — Thu, 30 Jun 2022 11:54:19 +0000

Павел Анфимов, скажите пожалуйста, перезапись атрибутов возможна?

Re: Проблема с pkcs11-tool

null@example.com (Павел Анфимов) — Thu, 30 Jun 2022 11:43:37 +0000

TolikTipaTut1, через PKCS#11 управлять размещением файлов нельзя, но атрибутами доступа можно.

Re: Проблема с pkcs11-tool

null@example.com (TolikTipaTut1) — Thu, 30 Jun 2022 11:37:33 +0000

Павел Анфимов, наоборот, стараемся уйти от apdu и получить высокоуровневый интерфейс для работы с токенами. Просто нам может требуется создание "директорий" и хранение в них файлов, доступ к которым должен осуществляться через PIN. Если можно это сделать с использованием pkcs11-tool (или opensc-tool) - было бы просто замечательно.

Re: Проблема с pkcs11-tool

null@example.com (Павел Анфимов) — Thu, 30 Jun 2022 11:28:34 +0000

TolikTipaTut1,

Вы хотите работe на APDU-уровне?
Если да - то, расскажите, пожалуйста, про вашу задачу и почему вы хотите идти сложным путем встраивания Рутокенов через APDU.

Плюсы использования rtpkcs11ecp:
1. Всю историю про внутренние форматы на различных Рутокенах мы берем на себя. Мы сами это поддерживаем.
2. Для включения новых моделей Вы просто получаете от нас новую версию библиотеки, пересобираете ваше приложение и сразу получаете готовую поддержку.
3. Оберегаете себя от потенциальных проблем с APDU и не тратите лишнее время на тестирование.
4. PKCS#11 собрана практически под все платформы.

Пример создания файлов (в т.ч. с доступом по PIN-коду) через API PKCS11 в вашем приложении есть в Рутокен SDK. Примеры находятся по пути внутри архива:
sdk\pkcs11\samples\Standard\CreateDataObject
sdk\pkcs11\samples\Standard\DeleteDataObject
sdk\pkcs11\samples\Standard\FindDataObject

Если вам все же нужна работа на APDU, то напишите, пожалуйста, на partners@rutoken.ru.

Re: Проблема с pkcs11-tool

null@example.com (TolikTipaTut1) — Thu, 30 Jun 2022 10:43:27 +0000

Попробуем. Думаю, подойдет. Если возможно - предоставьте также примеры создания директорий и изменения "атрибутов безопасности" загруженых EF и созданных DF. При записи файла в определенный DF его путь как следует указывать?

Re: Проблема с pkcs11-tool

null@example.com (Павел Анфимов) — Thu, 30 Jun 2022 10:34:07 +0000

TolikTipaTut1,

Подойдет ли вам pkcs11-tool для этого?

Создание файла на токене, что доступен по ПИНу:
pkcs11-tool --module opensc-pkcs11.so --login --pin 12345678 --write-object file.txt --type data --id 5 --label 'data2' --private

Его чтение:
pkcs11-tool --module opensc-pkcs11.so --login --pin 12345678 --read-object --type data --label 'data2'

Re: Проблема с pkcs11-tool

null@example.com (TolikTipaTut1) — Thu, 30 Jun 2022 10:30:46 +0000

Подскажите пожалуйста, при записи файла на рутокен с использованием opensc-explorer или opensc-tool указать, чтобы при его чтении запрашивался пароль, например, пользователя? Пример:

Working Elementary File ID 0A02

File path: 3F00/1000/1003/0A00/0A02
File size: 70 bytes
EF structure: Transparent
ACL for READ: CHV2
ACL for UPDATE: CHV2
ACL for DELETE: CHV2
ACL for WRITE: CHV2
ACL for REHABILITATE: N/A
ACL for INVALIDATE: N/A
ACL for LIST FILES: N/A
ACL for CRYPTO: N/A
Type attributes: 01 00
Security attributes: 43 02 02 00 00 00 00 02 00 00 00 00 00 00 00
Life cycle: Operational, activated

Re: Проблема с pkcs11-tool

null@example.com (Павел Анфимов) — Tue, 28 Jun 2022 16:02:22 +0000

TolikTipaTut1, верно, использовать нашу библиотеку PKCS#11 - rtpkcs11ecp.

Re: Проблема с pkcs11-tool

null@example.com (TolikTipaTut1) — Tue, 28 Jun 2022 15:19:46 +0000

А как со существующими ключами на токене работать с использованием pkcs11-tool, чтобы не возникало ошибок, описанных выше? С использованием модуля от Рутокен?

Re: Проблема с pkcs11-tool

null@example.com (Павел Анфимов) — Tue, 28 Jun 2022 13:19:23 +0000

TolikTipaTut1, для создания ключей ГОСТ-криптоповайдерами, такими как КриптоПро, не обязательно на устройствах создавать PKCS15 структуру.

Для очистки устройств и других служебных действий рекомендуем использовать Утилиту администрирования Рутокен

Re: Проблема с pkcs11-tool

null@example.com (TolikTipaTut1) — Tue, 28 Jun 2022 12:19:34 +0000

После отчистки токена все заработало. На нем, благо, были только тестовые ключи. На рабочих токенах пока боюсь делать. Ключи генерировались с использованием криптопро, но при создании ключей указывалось, что должна использоваться криптография на токенах

Re: Проблема с pkcs11-tool

null@example.com (Павел Анфимов) — Mon, 27 Jun 2022 05:14:51 +0000

TolikTipaTut1,
Перед выполнением pkcs15-tool, Рутокен был проинициализирован через pkcs15-init?

Сертификаты на Рутокене были созданы, используя opensc-pkcs11.so?

Re: Проблема с pkcs11-tool

null@example.com (TolikTipaTut1) — Sun, 26 Jun 2022 19:32:01 +0000

Дебаг команды pkcs11-tool --list-token-slots --module /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so тут: https://drive.google.com/file/d/1HB6pVd … sp=sharing

Re: Проблема с pkcs11-tool

null@example.com (TolikTipaTut1) — Sun, 26 Jun 2022 19:15:32 +0000

Попробовал еще так: pkcs15-tool --reader 0 --list-info.
Ошибка PKCS#15 binding failed: Unsupported card

Еще пара выводов:
pkcs11-tool --list-slots --module /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP 00 00
C_GetTokenInfo() failed: rv = CKR_TOKEN_NOT_PRESENT
Slot 1 (0x4): Broadcom Corp 5880 [Contacted SmartCard] (0123456789ABCD) 01 00
(empty)
Slot 2 (0x8): Broadcom Corp 5880 [Contactless SmartCard] (0123456789ABCD) 0...
(empty)

pkcs11-tool --list-token-slots --module /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
Available slots:
No slots.