Недорогой карт ридер для новых Rutoken ECP2, ESMART, Jacarta ГОСТ2

https://www.rutoken.ru/products/catalogue/id_61.html

ACR3901U-H3 точно работает с Рутокен ЭЦП 2.0 2100 и 2151 ?

Где можно получить последнюю версию прошивки для этого считывателя?

Получается, считыватель:

http://web.archive.org/web/202009082015 … id_61.html

по вашим словам совместимый, однако пока не получается добиться его полноценной работы с вашими смарткартами:

https://forum.rutoken.ru/post/14768/#p14768

https://forum.rutoken.ru/post/14769/#p14769

Что мне теперь делать дальше? Нужно срочно настроить работу с OpenSSH "еще вчера", а ничего не получается, какой считыватель АБСОЛЮТНО ТОЧНО совместимый?

sanyo, добрый день!

Дело в том, что у одной и той же модели считывателей бывает разное ПО внутри. Оно отвечает за поддержку протоколов и чипов.
Иногда его возможно обновить, сделать это можно только через запрос к официальному дистрибьютору данных считывателей на территории РФ. 

Ридеры, приобретенные у нас или наших партнеров гарантированно имеют прошивки, совместимые, в том числе, с картами Рутокен.
Проведя сегодня внутреннее тестирование, еще раз убедились в том, что считыватели ACR3901U-H3, которые находятся у нас на складе,  работают с картами Рутокен в полном объеме.

Рекомендуем приобретать проверенное оборудование либо у нас напрямую, либо у наших партнеров, на которое распространяется наша гарантия работоспособности.

Получил прошивку от поддержки ACS.
После прошивки считывателя полноценно заработала смарткарта 2100:

root@host:~# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --keypairgen --key-type rsa:2048
Using slot 0 with a present token (0x0)
Logging in to "Rutoken".
Please enter User PIN: 
Key pair generated:
Private Key Object; RSA 
  label:      
  Usage:      decrypt, sign, unwrap
Public Key Object; RSA 2048 bits
  label:      
  Usage:      encrypt, verify, wrap

Но, смарткарта 2151 не может создать RSA ключ длинее 1024 бита:

root@host:~# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --keypairgen --key-type rsa:2048
Using slot 0 with a present token (0x0)
Logging in to "Rutoken".
Please enter User PIN: 
error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_ATTRIBUTE_VALUE_INVALID (0x13)

Aborting.

root@host:~# pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --login --keypairgen --key-type rsa:1024
Using slot 0 with a present token (0x0)
Logging in to "Rutoken".
Please enter User PIN: 
Key pair generated:
Private Key Object; RSA 
  label:      
  Usage:      decrypt, sign, unwrap
Public Key Object; RSA 1024 bits
  label:      
  Usage:      encrypt, verify, wrap

Как исправить поддержку RSA 2048 для микроновской карты?

Но до покупки мной карт вы говорили, что характеристики моделей смарткарт Rutoken 2100 и 2151 одинаковые в плане их функциональных возможностей:

https://web.archive.org/web/20200910183 … ost/14469/

Смарткарты мне нужны не для аутентификации вообще абы какой (например, такой же как ключами с диска компьютера), а безопасной, т.е. когда ключ генерируется неизвлекаемо внутри секурного чипа карты, генерация ключа на хостовом компьютере недопустима из-за возможной утечки по побочным каналам. Если ключ RSA 2048 генерировать на компьютере, а потом копировать в чип карты 2151, то тогда он уже может быть известен злоумышленникам еще до копирования в карту (например, по каналам ПЭМИ), тогда теряется смысл от такой псевдобезопасности, потому что ключ становится неприватным (известным кому-либо еще), а для меня это недопустимо.

Мы только что с вами обсуждали, что карта 2151 неприменима для аппаратной генерации RSA 2048, и вы тут же пишете, что вам откровенно непонятно, в чем тут расхождение. Мне со своей стороны непонятно, что непонятно вам в плане расхождения функиональной (НЕ)возможности для аппаратной генерации RSA 2048 в карте модели 2151 по сравнению в картой модели 2100.

Возможность аппаратной генерации RSA 2048 подразумевалась вопросом про ОДИНАКОВОСТЬ функциональных возможностей, потому что у карты модели 2100 такая возможность аппаратной генерации RSA 2048 присутствует. Если бы карты 2151 и 2100 были действительно функционально ОДИНАКОВЫЕ (полностью, а не частично лишь до какой-то степени), то и генерация RSA 2048 присутствовала бы и в карте модели 2151 тоже.