Тема от artscout

  • artscout
  • Посетитель
  • Неактивен

Вопросы по работе с rtadmin, osx sierra

Здравствуйте!

Мы долгое время используем ключи ruToken ECP c pkcs15 и все у нас работает прекрасно. Однако возникло несколько вопросов по ограничениям ключей:

1. Правильно ли я понимаю, что команда rtadmin -s задает ограничение на повторное использование одинаковых пин-кодов?

2. При попытке использовать pkcs11 библиотеку librtpkcs11ecp.so генерация сертификата и выдача публичного ssh ключа работают нормально, но при попытке логина на сервер выдает ошибку: sign_and_send_pubkey: signing failed: agent refused operation при использовании агента и
ssh -I /usr/local/lib/librtpkcs11ecp.so test_server
Enter PIN for 'Rutoken ECP <no label>':
C_Sign failed: 48
sign_and_send_pubkey: signing failed: error in libcrypto

при прямом вызове - что-то упущено? Раньше работало, но по причине простоты оставались на pcks15

и дополнительно по первому вопросу, я попробовал через rtadmin указать -s 3, но пин коды меняю как перчатки туда-обратно легко и непринужденно - за что тогда отвечает параметр -s?

Ну и в целом - можно ли ограничить срок действия пользовательского пин кода (например установить срок 90 дней), а также исключить использование последних 3-4 пин кодов при смене пин? желательно без использования windows (т.к. windows у нас нет вообще и ставить для настройки рутокена было бы слишком. Но если без windows это невозможно, но возможно с windows -укажите плз.).

Ответ от Кирилл Мещеряков

  • Кирилл Мещеряков
  • Посетитель
  • Неактивен

Re: Вопросы по работе с rtadmin, osx sierra

Добрый день,

artscout пишет:

Мы долгое время используем ключи ruToken ECP c pkcs15 и все у нас работает прекрасно.

Мы благодарны вам за столь теплый отзыв.

artscout пишет:

1. Правильно ли я понимаю, что команда rtadmin -s задает ограничение на повторное использование одинаковых пин-кодов?

Насколько я знаю, в утилите rtadmin вообще нет такой опции: http://dev.rutoken.ru/pages/viewpage.ac … Id=7995615

artscout пишет:

2. При попытке использовать pkcs11 библиотеку librtpkcs11ecp.so генерация сертификата и выдача публичного ssh ключа работают нормально, но при попытке логина на сервер выдает ошибку: sign_and_send_pubkey: signing failed: agent refused operation при использовании агента и
ssh -I /usr/local/lib/librtpkcs11ecp.so test_server
Enter PIN for 'Rutoken ECP <no label>':
C_Sign failed: 48
sign_and_send_pubkey: signing failed: error in libcrypto
при прямом вызове - что-то упущено? Раньше работало, но по причине простоты оставались на pcks15

Покажите пожалуйста всю команду, которую вы пытаетесь выполнить, целиком. Мы посмотрим, что там не так.

artscout пишет:

Ну и в целом - можно ли ограничить срок действия пользовательского пин кода (например установить срок 90 дней), а также исключить использование последних 3-4 пин кодов при смене пин? желательно без использования windows (т.к. windows у нас нет вообще и ставить для настройки рутокена было бы слишком. Но если без windows это невозможно, но возможно с windows -укажите плз.).

Чтобы учитывать сроки действия PIN-кодов, в токене должны были бы быть часы реального времени с автономным источником питания. Как вы понимаете, ни источника питания, ни часов в токене нет. Поэтому, увы, ограничить срок действия чего бы там ни было в токене невозможно.

Исключение использования нескольких последних PIN-кодов теоретически могло бы быть реализовано внутри токена, но это было бы лишним.
Токен позволяет настроить минимальную длину PIN-кода (до 32 символов включительно) и количество попыток неправильного ввода PIN-кода.
Вероятность подбора PIN-кода (даже состоящего исключительно только из цифр) при грамотной комбинации этих параметров можно сократить настолько сильно, что необходимости в дополнительных проверках никогда не возникнет

Ответ от artscout (2017-01-18 12:04:21 отредактировано artscout)

  • artscout
  • Посетитель
  • Неактивен

Re: Вопросы по работе с rtadmin, osx sierra

По поводу опции -s:

$ rtadmin
Usage: rtadmin OPTIONS
  Examples:
   rtadmin -o 87654321 -a 0987654321    # change Admin PIN
   rtadmin -o 87654321                  # change Admin PIN, use default new Admin PIN
   rtadmin -c 12345678 -u 1234567890    # change User PIN
   rtadmin -f -G 10 -U                  # formatting token with generating Admin PIN at 10 bytes UTF-8  and default User PIN
   rtadmin -f                           # formatting token with default PIN codes (Admin  87654321  User 12345678)

<--skip-->
-s N        Set SM mode  N : { 1 - Optional password | 2 - 1 password | 3 - 6 passwords }

собственно вот. rtadmin macosx. И да, у вас в описании этого параметра нет, быть может оно не для ЕЦП?

По поводу команды, инициализация токена производится так:

pkcs11-tool --module /usr/local/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
ssh-keygen -D /usr/local/lib/librtpkcs11ecp.so -I 0:45 >> rutoken/key_$USER.pub


Сам токен:

pkcs11-tool --module /usr/local/lib/librtpkcs11ecp.so -l -O
Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
Please enter User PIN:
Public Key Object; RSA 2048 bits
  label:
  ID:         45
  Usage:      encrypt, verify, wrap
Private Key Object; RSA
  label:
  ID:         45
  Usage:      decrypt, sign, unwrap

Ответ от Кирилл Мещеряков

  • Кирилл Мещеряков
  • Посетитель
  • Неактивен

Re: Вопросы по работе с rtadmin, osx sierra

Спасибо за подробный ответ.

artscout пишет:

По поводу опции -s:
$ rtadmin
Usage: rtadmin OPTIONS
  Examples:
   rtadmin -o 87654321 -a 0987654321    # change Admin PIN
   rtadmin -o 87654321                  # change Admin PIN, use default new Admin PIN
   rtadmin -c 12345678 -u 1234567890    # change User PIN
   rtadmin -f -G 10 -U                  # formatting token with generating Admin PIN at 10 bytes UTF-8  and default User PIN
   rtadmin -f                           # formatting token with default PIN codes (Admin  87654321  User 12345678)
<--skip-->
-s N        Set SM mode  N : { 1 - Optional password | 2 - 1 password | 3 - 6 passwords }
собственно вот. rtadmin macosx. И да, у вас в описании этого параметра нет, быть может оно не для ЕЦП?

Этот параметр не работает, смысл его вы не угадали, но на самом деле теперь уже совсем не важно, какой смысл, раз он не работает. В следующей версии уберем описание, чтобы оно не смущало.

artscout пишет:

По поводу команды, инициализация токена производится так:
pkcs11-tool --module /usr/local/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
ssh-keygen -D /usr/local/lib/librtpkcs11ecp.so -I 0:45 >> rutoken/key_$USER.pub

Сам токен:
pkcs11-tool --module /usr/local/lib/librtpkcs11ecp.so -l -O
Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
Please enter User PIN:
Public Key Object; RSA 2048 bits
  label:
  ID:         45
  Usage:      encrypt, verify, wrap
Private Key Object; RSA
  label:
  ID:         45
  Usage:      decrypt, sign, unwrap

Ок, премного благодарен. Мы посмотрим и отпишемся.