Работа с Рутокен Light без драйвера

Из сходя из описания продукции Рутокен light решил проверить возможность реализации двух факторной аутентификации с использованием токена без установки драйверов для него.
Для настройки ОС под этот токен пользовался инструкцией расположенной в FAQ https://forum.rutoken.ru/topic/1454/

При проверке данной схемы работы столкнулся со следующими проблемой, без установки драйвера операционная система отказывается с ним работать.

https://forum.rutoken.ru/uploads/transfer/0/6500/6606/thumb/p1857n70qo8ju1mgk128aeghjn71.jpg

https://forum.rutoken.ru/uploads/transfer/0/6500/6606/thumb/p1857n70qo5261grjrm31ahbkts2.jpg

Возможно ли реализовать двух факторную аутентификации без установки драйверов с использованием токенов Рутокен light?

Re: Работа с Рутокен Light без драйвера

Уже ответили по почте, спасибо.

Истоки всей этой ситуации в том, что для Windows штатным способом работы со
смарт-картами является крипто-сервис-провайдер (криптопровайдер, CSP).
Он в своей работе задействует smart-card API, через который уже и происходит
непосредственно работа с картой.
Схемка получается примерно такая: http://dev.rutoken.ru/pages/viewpage.ac … Id=2228235

Что происходит, когда не установлен драйвер Рутокен?
При подключении Рутокен Lite операционная система Windows обнаруживает,
что к USB подключен CCID ридер и устанавливает для него стандартный системный драйвер.
Затем, в этом ридере обнаруживается смарт-карта Рутокен Lite.
По ATR-строке, которую система получает из токена, она пытается найти в реестре
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\),
существует ли для карты с этим ATR установленный криптопровайдер или минидрайвер.
Если такой провайдер или минидрайвер обнаруживаются, он назначается для этой карты
«провайдером по умолчанию». В варианте «из коробки» Windows знает всего два типа устройств:
«Microsoft Generic Profile» и «NIST SP 800-73 [PIV]».
Если провайдер не обнаруживается, что происходит в большинстве случаев с различными
смарт-картами, выдается сообщение о том, что драйвер карты не установлен, как Вы и могли
заметить.

Когда драйвер Рутокен установлен, то вместе с драйвером установлен и «Aktiv ruToken CSP v1.0»,
который и назначается «по умолчанию» и сообщения об ошибке не появляется.


Тем не менее, «неработающая смарт-карта» в диспетчере устройств в данном случае на
реальную работоспособность токена через rtPKCS11ECP.dll вообще никаким образом не влияет.

Операционная система  в принципе ничего не знает о существовании интерфейса PKCS#11,
он как бы не предусмотрен самой архитектурой Windows.

Однако масса приложений (в основном кросс-платформенных) используют именно этот
интерфейс. Библиотека rtPKCS11ECP.dll умеет работать с Рутокен Lite прекрасно обходясь
без криптопровайдера. Библиотека сама задействует smart-card API.
Приложению нужно только указать с какой именно библиотекой работать.

Понятно, что получается некий дискомфорт для пользователя, который думает, что «токен не работает». Чисто эстетический на самом деле, но сомнения закрадываются.

Теперь что с этим делать.

«Руками» можно поправить ситуацию таким образом: https://forum.rutoken.ru/topic/1454/

Можно этот процесс автоматизировать. В процессе установки приложения инсталлятор должен
создать соответствующую ветку-заглушку в реестре для Рутокен Lite.

>>>Получается для работы с токеном нужны все-таки драйвера или в каких
случаях токен работает без драйверов?

Драйверы нужны вообще для работы с любым оборудованием в Windows, но CCID драйвер
уже установлен в системе, поэтому установка драйвера считывателя не нужна.
Если бы стандартный криптопровайдер Windows умел работать с Рутокен Lite "из коробки",
тогда установка чего бы то ни было дополнительного была бы тоже не нужна.
Но поскольку криптопровайдер все-же надо устанавливать, а он входит в комплект драйверов
Рутокен, получается что для аутентификации в Windows нужно ставить драйвер (например,
через групповые политики домена).
Совсем без установки драйвера можно обойтись, если с токеном работать через библиотеку
PKCS#11, но она тоже как-то должна попадать в систему. Например, при установке того
софта или криптопровайдера, которыйое будет работать с токеном.
Криптопровайдер КриптоПро SCP имеет встроенную поддержку Рутокен Lite, поэтому
при их совместном использовании установка драйвера Рутокен не требуется.