Блокировка и отсутствие поддержки PUK (Страница 1 из 3)

хотелось бы получить ответ

>>librtpkcs11ecp.so
а почему бы и нет? но я не нашел ссылку на проект, на гитхабе только USB IFD Handler for RutokenS. librtpkcs11ecp.so же не блоб, надеюсь?

по поводу регистрации предполагаемых обращений, вызывающих блокировку – поскольку это происходит не каждый месяц, то тут конечно трудоемко будет. я сейчас взял другой экземпляр, если повторится ситуация хоть раз, то появится смысл в этом труде.
Были ли зарегистрированы проблемы разрушения метаданных, влекущие за собой блокировку, без внешних причин? Как посоветуете отличить проблему с метаданными от штатной блокировки? Где можно подробнее узнать про реализованные политики безопасности?

>>pkcs11-spy
надо полагать, не-pkcs11 обращения к токену пройдут мимо? Если да, то методика недостаточна.

>>Существуют 3 политики: … Но обычно более удобной является 3я.
где таки можно про это прочитать? :)

еще я заметил, что c метаданными, созданными в версиях opensc 0.14.0 и 0.15.0, как минимум Firefox с opensc-pkcs11.so – не работает. С 0.12.2 все в порядке. Подробно не разбирался, но проблема воспроизводима. Возможно, это и не «ваша» проблема, однако с исчезновением 0.12.2 из стабильной ветки это станет проблемой. Полагаю, подтвердить и разобраться вам будет куда проще.

итого получается, что устройство неполнофункционально без проприетарного кода?
И без оного кода даже разблокировка токена невозможна?

Если это скажем так, официальная политика, то выходит, что использование устройства в linux искусственно затруднено/ограничено в сторону принудительной ориентации пользователя на использование готовых платных решений с закрытым кодом?

Вы не подскажете в составе какого пакета идёт данная библиотека?
Где и как её можно взять?

https://www.rutoken.ru/support/download/pkcs/

>>Наверное некорректно упрекать коммерческую компанию тем, что она своими силами не поддерживает полную функциональность в open source проектах.

собственно вопрос совсем не так ставится. в моем случае это было (еще год назад) исследование использования рутокена под linux на предмет использования в организации. и, разумеется, например внезапное выяснение того факта, что оказывается (!) нельзя без проприетарного кода сделать базовую операцию (разблокировку) – вызывает недоверие к продукту. И именно – почему какой-то код прячется? Особенно если он отвечает за крипто*? И нет ли других, пока еще мной незамеченных подобных ограничений? Не получится ли так, что впоследствии мне придется покупать не только токены, но и программное обеспечение? Разумеется, чтобы мне не попасть в такую ситуацию, мне необходим четкий ответ на вопрос:

могу ли я использовать данное устройство в linux без технических ограничений, сложности с поддержкой необходимых пакетов и проблем с оперативным исправлением багов итд? Или для всего этого НЕОБХОДИМО покупать НЕ ТОЛЬКО устройства? Если в данном вопросе нет ясности, то разумеется, он сводится к ответу «нет».

>>мы не проводим собственного тестирования библиотек OpenSC…если будет воспроизводимый багрепорт
в данном случае подозрение на баг я уже отметил – после инициализации через opensc 0.14.0 и 0.15.0 в Firefox невозможно импортировать на токен бэкап *.p12. Повторилось подряд 2 раза. Давайте тогда обсудим регламент багрепортов, иначе без достаточных данных и подтверждений в майллисте на устройствоспецифичный баг просто забьют; кроме того, у девов может просто не быть рутокена. В любом случае без собственно представителей от рутокен не обойтись.

>>возможность смены пин-кода пользователя используя пин-код администратора

ну коль скоро это так, то значительная часть вопросов снимается, однако я вот поглядел в rutoken_ecp.profile от dev-libs/opensc-0.12.2 и как-то не сообразил сам, где это там делается. в мане pkcs15-profile по поводу формата – заглушка Было бы неплохо получить подсказку.

Частый гость в багтрекерах вполне согласен с трюизмами относительно опенсорса, однако все же определиться хочется – я приобретаю устройство, которое поддерживается и будет поддерживаться опенсорсно или же самому надо под него все пилить? :)
в моем случае это равнозначно вопросу – я купил себе поиграться устройство или же буду приобретать для работы

>> Если что-то не сделано, то это еще не означает что это спрятано :)
Технических ограничений нет, есть ограничения на уровне "не сделано, так как никто не просил".

Как хорошо, что кто-то догадался попросить генерацию ключей и импорт сертов :D
Может, я просто очень особенный, но отсутствие (и даже умолчательной) возможности сброса пина меня сильно удивило. Это как решил опробовать новую FS, а там нельзя файлы переименовать ибо никто ж не попросил явно :-D
Не в плане претензий конечно я это говорю, но повеселился ответом.

>>Большинству клиентов достаточно проприетарной библиотеки
как раз несколько дней назад (чуть позже старта этой темы) на руфоруме нашего неубунту-дистро поднимался вопрос об опыте использования етокенов и рутокенов. скажу честно, отсутствие оперативного ответа здесь вызвало мой критический ответ ТС на форуме. Да еще и блобы… Я бы очень хотел бы порекомендовать, особенно vs etoken, но пока этого сделать я не могу. Вот вам и иллюстрация к вопросу о клиентах и что кому из них надо.

По поводу багрепортов – год назад я оформил один https://forum.rutoken.ru/topic/2144/ – ну пока никто не озаботился, хотя данных мегадостаточно для воспроизведения. поскольку это таки OpenSC/pam_p11, то я уже как-то сомневаюсь, что без участия рутокенцев вопросы про рутокен вообще рассматриваются. Поэтому я с новым багом таки иду именно сюда, логично?

И все же я пока не получил ответа на вопрос – что я приобрел? «Допили-сам» или же то, что я буду внедрять на предприятие (блобы я по многим причинам не рассматриваю пока. а на какие архитектуры кстати есть тестированные блобы?) Прежде всего это вопрос по оперативному решению проблем и багфиксам.