2 рутокена эцп и firefox

Есть 2 токена эцп. Один – рабочий, второй пока неинициализирован (как при покупке).

1. рабочий токен вставлен, firefox запущен. вставляем второй токен.
результат – firefox вылетает без сообщений в сислоге.

2. оба токена вставлены, запускаю firefox в терминале.
результат – «zsh: segmentation fault  firefox», в сислоге пусто

3. прочие манипуляции с этими токенами могут привести к ситуации, когда вставка рабочего токена при запущенном firefox приводит к прочим эффектам:

a) индикатор токена безостановочно мигает
b) pcscd безостановочно жалуется:

pcscd: eventhandler.c:339:EHStatusHandlerThread() Error communicating to: Aktiv Rutoken ECP 01 00
pcscd: /var/tmp/portage/app-crypt/ccid-1.4.15/work/ccid-1.4.15/src/ccid_usb.c:751:WriteUSB() write failed (1/21): -4 No such device
pcscd: ifdwrapper.c:374:IFDStatusICC() Card not transacted: 617

(я так понимаю, Aktiv Rutoken ECP 01 00 – это неинициализированный и ранее извлеченный токен)
c) firefox полностью потребляет 1-2 ядра процессора

для нормализации необходимо закрыть firefox, прибить вручную его процесс и перезапустить pcscd.

Конечно, нормальным тестированием это назвать нельзя, но для сокращения объема работ не помешало бы сначала определиться с методикой – по причине того, что  «участников» тут несколько.

Версии участников:

[i] app-crypt/ccid (1.4.15@10/10/14): CCID free software driver
[i] dev-libs/opensc (0.14.0@10/01/14): Libraries and applications to access smartcards
[i] sys-apps/pcsc-lite (1.8.12-r1@10/01/14): PC/SC Architecture smartcard middleware library
[i] www-client/firefox (32.0@09/07/14): Firefox Web Browser

Re: 2 рутокена эцп и firefox

Под инициализацией токена вы понимаете pkcs15-init?
Опишите, пожалуйста, какие действия вы выполняете чтобы сделать токен "рабочим"?

Re: 2 рутокена эцп и firefox

Я имел в виду что второй имеющийся токен *пока* находится в состоянии «из коробки». И не в последнюю очередь для разрешения этой проблемы (возможно, она видоизменится или «самоустранится» после инициализации).

инициализацию произвожу так, как рекомендует апстрим (https://github.com/OpenSC/OpenSC/wiki/A … utoken-ECP)

pkcs15-init --erase-card -p rutoken_ecp
pkcs15-init --create-pkcs15 --so-pin xxx --so-puk ''
pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin yyy --puk '' --so-pin xxx --finalize

Re: 2 рутокена эцп и firefox

Хорошо, а ключи как записываете?

Re: 2 рутокена эцп и firefox

– генерация пары [/ импорт серта]: pkcs15-init -G rsa/2048 [/ pkcs15-init --store-certificate cert.crt --id xxxx --format pem]

–импорт сертификатов через gui в firefox

Re: 2 рутокена эцп и firefox

сертификат создаёте и подписываете через OpenSSL?

(2014-10-15 20:39:30 отредактировано beelze)

Re: 2 рутокена эцп и firefox

Да, в целом практически как в мануале OpenSC.
Я может не совсем четко выразился… С «рабочим» токеном проблем нет, пока не вставляется неинициализированный токен. Причем проблема может возникнуть и после его (неинициализированного) извлечения – в случае, если не перезапускался pcscd.

Сегодня после вставки/удаления неинициализированного токена в firefox обнаружился еще один эффект – при запросе ресурсом сертификата не проходит авторизация на рабочем токене – все выглядит так, будто я ввожу неверный пин (окно ввода пинкода появляется снова).

Возможно, если удастся выработать методику тестирования, удастся более точно определить причину проблемы.

P.S. Мне не удалось найти четкого описания отличий onepin-opensc-pkcs11.so и opensc-pkcs11.so. Какую из библиотек следует использовать с рутокеном и почему? На данный момент я исхожу из того, что можно любую (поскольку пинов в рутокене эцп более одного быть не может, насколько я понял). Прав я или нет?

Re: 2 рутокена эцп и firefox

я это всё у вас спрашиваю для того, чтобы узнать ваш порядок действий при выпуске и записи сертификата.
Как вариант, вам совсем не обязательно использовать OpenSC утилиты и форматирование токена через pkcs15-init.
У нас есть своя библиотека librtpkcs11ecp, которую мы официально поддерживаем, в отличии от OpenSC. И например, если вы откажетесь от OpenSC и перейдёте на наши библиотеки, возможно ваши проблемы решатся сами собой.

Re: 2 рутокена эцп и firefox

Возможно и решатся, что было бы замечательно. В целом использование токена под управлением Opensc это огромный геморрой. А где страница проекта?

Re: 2 рутокена эцп и firefox

На нашем портале документации есть довольно много информации на эту тему:
http://dev.rutoken.ru/pages/viewpage.ac … Id=2228264
Если конкретно ваш случай не описан или недостаточно раскрыт - мы были бы рады его описать.

(2014-10-16 13:15:27 отредактировано beelze)

Re: 2 рутокена эцп и firefox

я вкратце ознакомился со статьями, информации там, возможно, и достаточно, однако на мой взгляд, необходимо начать с подготовки пакета для пакетного менеджера (в моем случае потребуется написание ебилда). Для этого было бы неплохо руководствоваться не только ldd, но и более официальной инфой по зависимостям, а также более подробной информацией по поводу объединения секций в openssl.cnf (поскольку полное его переписывание – неверно).

По поводу прочих юзкейсов – я был бы очень рад узнать, как можно использовать рутокен c OpenPGP