(2021-10-27 19:28:12 отредактировано snigurmd)

pkcs11 не видит контейнеры на Рутокен

Система Archlinux. Рутокен ЕЦП 2.0 (с встроенным шифрованием). На токене квалифицированная ЭЦП.

Установлен рутокен-плагин из AUR (4.5.6), плагины для браузера и криптопро. Криптопро видит и контейнер, и сертификаты. Цифровая подпись обращений на сайте налоговой работает. Но вход по токену ни в налоговую, ни на госуслуги не работает. Следующая команда не выдаёт ничего:

$ pkcs11-tool -Ol --module /usr/lib/librtpkcs11ecp.so
Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
WARNING: user PIN to be changed
Please enter User PIN:
$

Хотя pkcs11-tool -M выдаёт все механизмы.
Здесь также не видит ни ключей, ни сертификатов. https://ra.rutoken.ru/devices/list

$ pkcs11-tool -L --module /usr/lib/librtpkcs11ecp.so
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP - CP 00 00
  token label        : Rutoken ECP <no label>
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : login required, rng, SO PIN to be changed, token initialized, PIN initialized, user PIN to be changed
  hardware version   : 54.1
  firmware version   : 23.2
  serial num         : 3f135e4f
  pin min/max        : 6/32

Re: pkcs11 не видит контейнеры на Рутокен

snigurmd, добрый вечер.
Судя по тому, что «КриптоПро CSP» видит ключи на токене, а ra.rutoken и pkcs11-tool - нет, скорее всего, вам выдали извлекаемые ключи формата КриптоПро (режим CSP). Если это так, то работа с такими ключами возможна только через КриптоПро. А ra.rutoken и pkcs11-tool ожидают неизвлекаемые ключи формата PKCS#11.

Для работы с такими ключами в браузере нужно дополнительно установить КриптоПро ЭЦП Browser Plug-In. На сайте nalog.ru для входа в ЛК ЮЛ - надо выбирать «Диагностика подключения по сертификату ключа проверки ЭП»; для входа в ЛК ИП - «Ключ ЭП».

Если еще останутся проблемы, уточните, какие проблемы возникают при входе в Госуслуги и nalog.ru.

(2021-10-27 22:45:14 отредактировано snigurmd)

Re: pkcs11 не видит контейнеры на Рутокен

Спасибо за ответ.
Browser plugin установлен.
Под линуксом входить через сертификат ЭП отказывается, принимает только Windows и Mac.

Однако, создатели Криптопро пишут, что в версии 5.0 R2 оно теперь работает с ключами через PKCS#11.
Оказывается, pkcs11-tool работает через библиотеку, которая поставляется с Криптопро (libcppkcs11.so). Логинится по пину и выдаёт все объекты на токене такой командой:

$ pkcs11-tool -Ol --module /opt/cprocsp/lib/amd64/libcppkcs11.so

Можно ли эту библиотеку подружить с Rutoken plugin?

Re: pkcs11 не видит контейнеры на Рутокен

snigurmd пишет:

Под линуксом входить через сертификат ЭП отказывается, принимает только Windows и Mac.

Сожалею, но, действительно, на сайте nalog.ru при входе по «Ключу ЭП» указано «Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше»

А уточните, пожалуйста, на сайте Госуслуги какое поведение? Как он «отказывается входить»?

snigurmd пишет:

Однако, создатели Криптопро пишут, что в версии 5.0 R2 оно теперь работает с ключами через PKCS#11.
Оказывается, pkcs11-tool работает через библиотеку, которая поставляется с Криптопро (libcppkcs11.so).

Давайте точно убедимся какой формат контейнера у вас на Рутокене, для этого с помощью «Инструментов КриптоПро CSP» (cptools) в разделе «Контейнеры» протестируйте контейнер и скажите, что будет указано в полу «Уникальное имя» -  rutoken_ecp, rutoken_fkc или rutoken_pkcs?

Пока выглядит так, что эта библиотека отображает и pkcs#11 и программные ключи.

snigurmd пишет:

Можно ли эту библиотеку подружить с Rutoken plugin?

Рутокен Плагин гарантированно работает только с библиотекой rtpkcs11ecp производства компании Актив.
При этом, Рутокен Плагин должен увидеть неизвлекаемые ключи формата PKCS#11, если они есть на токене, с использованием стандартной библиотеки.

Также хочу обратить ваше внимание на то, что официально поддержка ОС семейства arch based linux с «КриптоПро CSP» не заявлена.

Если у вас на Рутокене программные ключи, вероятно, проще получить в удостоверяющем центре неизвлекаемые ключи формата PKCS#11 и работать с ними через Рутокен Плагин.

(2021-10-28 14:55:30 отредактировано snigurmd)

Re: pkcs11 не видит контейнеры на Рутокен

Касательно госуслуг - жму "Вход с помощью электронной подписи", пишет "Присоедините к компьютеру носитель ключа", жму "Готово", дальше пишет "Обращение к средству электронной подписи", токен моргает, после этого пишет "у вас нет действующих сертификатов".

Тип контейнера - rutoken_ecp.

Насчёт того, что "проще получить новые в УЦ" я сильно сомневаюсь)) Это надо как-то от ФНС их стребовать и ехать к ним.
Мне и не надо "гарантированной поддержки", Криптопро вполне работает на любом современном Линуксе. Суть в том, что, видимо, ключи записаны в каком-то формате, который по обычному pkcs11 не читается. А в последней версии Криптопро они видимо сделали обёртку в своей библиотеке для этого формата, чтобы его выдавать через pkcs11. Если бы можно было где-то в настройках рутокен-плагина менять дефолтную библиотеку доступа, это решило бы дело.

Re: pkcs11 не видит контейнеры на Рутокен

snigurmd пишет:

Тип контейнера - rutoken_ecp.

snigurmd пишет:

Суть в том, что, видимо, ключи записаны в каком-то формате, который по обычному pkcs11 не читается.

Да, это точно программный ключ.

snigurmd пишет:

Насчёт того, что "проще получить новые в УЦ" я сильно сомневаюсь)) Это надо как-то от ФНС их стребовать и ехать к ним.

Да, придется просить сотрудника ИФНС во время генерации выбрать другой режим «Активный токен pkcs11»
https://dev.rutoken.ru/pages/viewpage.a … d=91979800
У нас были такие клиенты, которые получали другой формат ключей по запросу в ИФНС, надеюсь, и у вас получится.
По крайней мере, только так это гарантировано заработает.


snigurmd пишет:

Если бы можно было где-то в настройках рутокен-плагина менять дефолтную библиотеку доступа, это решило бы дело.

Рутокен Плагин точно не заработает с библиотекой от КриптоПро.

Re: pkcs11 не видит контейнеры на Рутокен

snigurmd, проверила дополнительно. На текущий момент ни по какому формату сертификата войти в ЛК ФНС с использованием Linux не получится.

Собрали для вас списки официально поддерживаемых ОС для каждого типа входа в ЛК ФНС:

ЛК ЮЛ "По сертификату ключа проверки ЭП" (по КриптоПро CSP) - Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше;

ЛК ЮЛ "По сертификату ЕГАИС на аппаратном ключе" (по неизвлекаемому ключу на семействе Рутокен ЭЦП) - Операционная система Windows 7 с пакетом обновления 1 (SP1) или выше;

ЛК ИП "Ключ ЭП" (по КриптоПро CSP) - Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше;

ЛК ИП "Рутокен ЭЦП 2.0" (по неизвлекаемому ключу на семействе Рутокен ЭЦП) - Операционная система Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS OS X 10.13 или выше.