(2015-07-24 08:32:20 отредактировано iiiopot)

RuToken ECP Bluetooth + Ubuntu

Доброго времени суток.

Не могу разобраться с RuToken ECP Bluetooth. При подключении по USB все работает отлично:

pscs_scan:

V 1.4.22 (c) 2001-2011, Ludovic Rousseau <ludovic.rousseau@free.fr>
Compiled with PC/SC lite version: 1.8.10
Using reader plug'n play mechanism
Scanning present readers...
0: Aktiv Rutoken ECP 00 00

Fri Jul 24 15:03:33 2015
Reader 0: Aktiv Rutoken ECP 00 00
  Card state: Card inserted, 
  ATR: ** ** ** ** ** ** ** ** ***

  ATR: ** ** ** ** ** ** ** ** ***
+ TS = 3B --> Direct Convention
+ T0 = 8B, Y(1): 1000, K: 11 (historical bytes)
  TD(1) = 01 --> Y(i+1) = 0000, Protocol T = 1 
-----
+ Historical bytes: 52 75 74 6F 6B 65 6E 20 44 53 20
  Category indicator byte: 52 (proprietary format)
+ TCK = C1 (correct checksum)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
 ** ** ** ** ** ** ** ** ***
    Rutoken ECP (DS)

Но вот подключить по блютус никак не получается. Стандартный менеджер устройство видит.
Видим устройство. В настройках ПИН указываю "1234":
https://forum.rutoken.ru/uploads/transfer/0/8500/8582/thumb/p19qv849pj8n412qn1cnq1c1e1fre1.png
Выскакивает проверка сопряжения. Нажимаю совпадает... так как альтернатив то и нет.
https://forum.rutoken.ru/uploads/transfer/0/8500/8582/thumb/p19qv84i591i0c1ao01c891dn9vmi4.png
Закончить.
https://forum.rutoken.ru/uploads/transfer/0/8500/8582/thumb/p19qv84i591q5p7p21r52i4q13q53.png

Устройство отображается, как подключенное...
https://forum.rutoken.ru/uploads/transfer/0/8500/8582/thumb/p19qv84i591j1aqll1liud1c1t2f2.png
А вот что с этим делать дальше не понятно. pcsc_scan устройство не видит.

Буду благодарен любой помощи.

Re: RuToken ECP Bluetooth + Ubuntu

Здравствуйте, iiiopot.

Использовать Рутокен ЭЦП Bluetooth именно через подключение по Bluetooth, можно только с мобильными устройствами, работающими под управлением операционной системы iOS или Android.

Re: RuToken ECP Bluetooth + Ubuntu

Печаль :)  Спасибо, за оперативный ответ. Ждем продвижений в этой области.

Re: RuToken ECP Bluetooth + Ubuntu

разработка поддержки под linux уже ведется
напишите нам на hotline@rutoken.ru мы можем дать вам драйвер попробовать
а для какой цели вам нужна поддержка Рутокен ЭЦП bluetooth в linux?

(2015-07-28 10:22:22 отредактировано iiiopot)

Re: RuToken ECP Bluetooth + Ubuntu

@Кирилл Мещеряков

Для авторизации в системе и использования зашифрованного контейнера.

Linux 3.13.0-58-generic #97-Ubuntu SMP x86_64 x86_64 x86_64 GNU/Linux



Назрел еще один вопрос:

iiiopot@WorkPC:~$pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk ""
Using reader with a card: Aktiv Rutoken ECP 00 00

iiiopot@WorkPC:~$pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" --finalize
Using reader with a card: Aktiv Rutoken ECP 00 00
iiiopot@WorkPC:~$pkcs15-tool -D
Using reader with a card: Aktiv Rutoken ECP 00 00
PKCS#15 Card [Rutoken ECP]:
    Version        : 0
    Serial number  : 00000000329D7827
    Manufacturer ID: Aktiv Co.
    Last update    : 20150728015011Z
    Flags          : EID compliant

PIN [Security Officer PIN]
    Object Flags   : [0x3], private, modifiable
    ID             : 01
    Flags          : [0x99], case-sensitive, unblock-disabled, initialized, soPin
    Length         : min_len:8, max_len:32, stored_len:32
    Pad char       : 0x00
    Reference      : 1 (0x01)
    Type           : ascii-numeric

PIN [User PIN]
    Object Flags   : [0x3], private, modifiable
    ID             : 02
    Flags          : [0x19], case-sensitive, unblock-disabled, initialized
    Length         : min_len:4, max_len:32, stored_len:32
    Pad char       : 0x00
    Reference      : 2 (0x02)
    Type           : ascii-numeric

iiiopot@WorkPC:~$pkcs15-init -G rsa/2048 --auth-id 02 --label "My Private Key" --public-key-label "My Public Key"
Using reader with a card: Aktiv Rutoken ECP 00 00
User PIN [User PIN] required.
Please enter User PIN [User PIN]: 

Failed to store private key: Incorrect parameters in APDU  

iiiopot@WorkPC:~$ 

Тут на форуме вычитал, что такая ошибка уже встречалась, но решалась она индивидуально, не публично, с использованием патчей.
После прочтения http://developer.rutoken.ru/display/PUB/APDU, понял, что самостоятельно решить эту проблему скорее всего не получиться.
Буду очень благодарен за помощь.

P.S. Кстати еще один момент. Видел где то в разделе developer, пример авторизации в системе с использованием библиотеки librtpkcs11ecp.so. Думал попробовать использовать ее. Предварительно вернув токен к "коробочному состоянию" путем форматирования через "Панель управления" из Windows. После ввода ПИН Администратора, кнопка Форматировать становится активной, но форматирование не удается с сообщением, что установленные драйвера не позволяют это сделать.

Re: RuToken ECP Bluetooth + Ubuntu

Тут у вас много разных проблем и все в одну кучу.
Давайте по порядку:
1) перед pkcs15-init --createpkcs15 делали pkcs15-init -E ? файловая структура у opensc другая, поэтому надо сначала её удалить.
2) генерация ключей на Рутокене ЭЦП всегда работала и работает - никаких патчей не нужно
3) ?

P.S. Кстати еще один момент. Видел где то в разделе developer, пример авторизации в системе с использованием библиотеки librtpkcs11ecp.so. Думал попробовать использовать ее. Предварительно вернув токен к "коробочному состоянию" путем форматирования через "Панель управления" из Windows. После ввода ПИН Администратора, кнопка Форматировать становится активной, но форматирование не удается с сообщением, что установленные драйвера не позволяют это сделать.

вышлите пожалуйста скриншот ошибки и скриншот окошка "информация".

Re: RuToken ECP Bluetooth + Ubuntu

Да конечно, Erase делаю.

iiiopot@WorkPC:~$ pkcs15-init -E
Using reader with a card: Aktiv Rutoken ECP 00 00

iiiopot@WorkPC:~$ pkcs15-init --create-pkcs15
Using reader with a card: Aktiv Rutoken ECP 00 00
New Security Officer PIN (Optional - press return for no PIN).
Please enter Security Officer PIN: 
Please type again to verify: 
Unblock Code for New User PIN (Optional - press return for no PIN).
Please enter User unblocking PIN (PUK): 

iiiopot@WorkPC:~$ pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" --finalize
Using reader with a card: Aktiv Rutoken ECP 00 00

iiiopot@WorkPC:~$ pkcs15-init -G rsa/2048 --auth-id 02 --label "My Private Key" --public-key-label "My Public Key"
Using reader with a card: Aktiv Rutoken ECP 00 00
User PIN [User PIN] required.
Please enter User PIN [User PIN]: 
Failed to store private key: Incorrect parameters in APDU

iiiopot@WorkPC:~$ 

Если выполнить повторно -G

iiiopot@WorkPC:~$ pkcs15-init -G rsa/2048 --auth-id 02 --label "My Private Key" --public-key-label "My Public Key"
Using reader with a card: Aktiv Rutoken ECP 00 00
User PIN [User PIN] required.
Please enter User PIN [User PIN]: 
Failed to store private key: File already exists

(2015-08-03 10:21:03 отредактировано iiiopot)

Re: RuToken ECP Bluetooth + Ubuntu

вышлите пожалуйста скриншот ошибки и скриншот окошка "информация".

В системе ранее использовался Rutoken S. Вижу что по моделям драйвера не различаются, но на всякий случай удалил старый драйвер утилитой с сайта. Скачал новый "Драйверы Рутокен для 64-битных систем (x64) v.2.100.00.0542 от 20.11.2014, WHQL-certified"  и установил.  Ситуация не поменялась.

https://forum.rutoken.ru/uploads/transfer/0/8500/8628/thumb/p19rojnop09f01cgf1raa1a9l1ejr1.PNGhttps://forum.rutoken.ru/uploads/transfer/0/8500/8628/thumb/p19rojnop0dulrmk19jjn2l62h2.PNGhttps://forum.rutoken.ru/uploads/transfer/0/8500/8628/thumb/p19rp2nabp1oeu5nbm8t119i01.PNG


P.S. Из под Windows тоукен удалось отформатировать, после установки бета версии драйверов.

P.S.S После форматирования через "панель" получилось создать сертификат:

iiiopot@WorkPC:~$ pkcs11-tool --module /opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45
Using slot 0 with a present token (0x0)
Logging in to "Rutoken ECP <no label>".
Please enter User PIN: 
Key pair generated:
Private Key Object; RSA 
  label:      
  ID:         45
  Usage:      decrypt, sign, unwrap
warning: PKCS11 function C_GetAttributeValue(ALWAYS_AUTHENTICATE) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12)

Public Key Object; RSA 2048 bits
  label:      
  ID:         45
  Usage:      encrypt, verify, wrap

Результат получен. В чем была проблема так и не понял. )))

Re: RuToken ECP Bluetooth + Ubuntu

Для форматирования Рутокен ЭЦП Bluetooth воспользуйтесь пожалуйста бета-версией драйверов https://www.rutoken.ru/support/download/beta/

(2015-08-04 10:59:24 отредактировано iiiopot)

Re: RuToken ECP Bluetooth + Ubuntu

Кирилл Мещеряков пишет:

Для форматирования Рутокен ЭЦП Bluetooth воспользуйтесь пожалуйста бета-версией драйверов https://www.rutoken.ru/support/download/beta/

Отформатировал, через "Панель", параметры оставил по умолчанию.
Далее все по инструкции  Настройка входа в систему по Рутокен (PAM) с использованием библиотеки librtpkcs11ecp.

Выводы команд все аналогичны примеру.

Но!!! Работает только в том случае, если пользователь уже авторизован в системе и, например, заблокировал рабочий стол "win+L" (Эта комбинация работает в Ubuntu).  Вот в этом случает на экране блокировки в поле ввода пароля написано "Password for token  Rutoken ECP". И ввод user pin позволяет разблокировать рабочий стол. Так же работает при использовании sudo.
А вот если сделать logout, то надпись в поле ввода пропадает. При вводе пина, токен мигает пару раз и ничего не происходит.

Это со мной с играло плохую шутку, проверив на залоченном экране, я в pam-auth-update отключил unix-authentication и был неприятно удивлен после перезагрузки системы.
Кто случайно попал в такую же ситуация и не знает что делать:
[spoil]
1. Загружаемся recovery-mode, в консоли администратора.
2. Перемонтируем корень с правами на запись mount -no remount, rw /
3. pam-auth-update
4. Возвращаем unix-authentication
Кстати п.2 делает использование токена, для локальной авторизации, бессмысленным в плане конфиденциальности.

Re: RuToken ECP Bluetooth + Ubuntu

После выхода из сеанса где-то видимо пропадают права доступа к сертификату, который хранится в папке профиля.
Спасибо за фидбек, мы посмотрим что с этим можно сделать.

Re: RuToken ECP Bluetooth + Ubuntu

Добрый вечер.
Проверил сейчас работу аутентификации на чистой 15.04 - все работает корректно.
На всякий случай просмотрите еще раз инструкцию , она была немного обновлена.
Если никаких несоответствий вашим действиям в ней нет, то тогда будем с вами смотреть какие обращения к токену происходят в момент проблемы с авторизацией.

(2015-08-06 02:53:29 отредактировано iiiopot)

Re: RuToken ECP Bluetooth + Ubuntu

Vermin пишет:

Добрый вечер.
Проверил сейчас работу аутентификации на чистой 15.04 - все работает корректно.
На всякий случай просмотрите еще раз инструкцию , она была немного обновлена.
Если никаких несоответствий вашим действиям в ней нет, то тогда будем с вами смотреть какие обращения к токену происходят в момент проблемы с авторизацией.

Доброго времени суток. Спасибо, за вашу оперативность.

Есть подозрение, что всему виной может быть шифрование домашнего каталога, включенного при установке Ubuntu.

Да и я забыл еще написать. Сертификат уверено создается только используя librtpkcs11ecp.so.

$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:2048 -l --id 45

После форматирования токена из под Windows с установленными бета-драйверами.

Если использовать opensc-pkcs11.so:

$ pkcs15-init --E
$ pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk ""
$ pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" --finalize
$ pkcs15-init --generate-key rsa/2048 --auth-id 02 --id 45

Using reader with a card: Aktiv Rutoken ECP 00 00
User PIN [User PIN] required.
Please enter User PIN [User PIN]: 

Failed to store private key: Incorrect parameters in APDU  

Re: RuToken ECP Bluetooth + Ubuntu

Извиняюсь за задержку с ответом.
Шифрование действительно может быть причиной. Хотя, по идее, информация о сертификате размещается в ~/.eid/ , не в пользовательский...

Попробуйте, пожалуйста, используя opensc-pkcs11.so произвести генерацию, указав в ней пин-код сразу, в качестве параметра. Есть вероятность, что поможет.

Re: RuToken ECP Bluetooth + Ubuntu

Доброго времени суток. Из-за рабочей загруженности смог ответить только сейчас.

Попробуйте, пожалуйста, используя opensc-pkcs11.so произвести генерацию, указав в ней пин-код сразу, в качестве параметра. Есть вероятность, что поможет.

iiiopot@WorkPC:~$ pkcs15-init -E
Using reader with a card: Aktiv Rutoken ECP 00 00
iiiopot@WorkPC:~$ pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk ""
Using reader with a card: Aktiv Rutoken ECP 00 00
iiiopot@WorkPC:~$ pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" --finalize
Using reader with a card: Aktiv Rutoken ECP 00 00
iiiopot@WorkPC:~$ pkcs15-init --generate-key rsa/2048 --auth-id 02 --id 45 --pin "12345678"
Using reader with a card: Aktiv Rutoken ECP 00 00
Failed to store private key: Incorrect parameters in APDU
iiiopot@WorkPC:~$ 

информация о сертификате размещается в ~/.eid/ , не в пользовательский...

~/.eid/  - это я так понимаю и есть /home/[user_name]/.eid/, так вроде /home/[user_name]/ и шифруется.
.eid можно вынести в /home?

iiiopot@WorkPC:~$ ls /home -a
.  ..  .ecryptfs  iiiopot  lost+found  usr1cv8