librtpkcs11ecp.so и opensc-pkcs11.so

# pkcs11-tool --list-objects --module=/opt/rutoken/librtpkcs11ecp.so
Using slot 0 with a present token (0x0)
Public Key Object; RSA 2048 bits
  label:      
  ID:         f9af2480fba75bda89006f330eabc7d675de72fa
  Usage:      encrypt, verify, wrap
Public Key Object; RSA 2048 bits
  label:      ***
  Usage:      encrypt, verify
Certificate Object; type = X.509 cert
  label:      ***
  subject:    ***
  ID:         f9af2480fba75bda89006f330eabc7d675de72fa
Certificate Object; type = X.509 cert
  label:      pam_p11
  subject:    ***
  ID:         8aec1878a6fe1ad54190888186aabb82b9f00b2e

и тут же:

# pkcs11-tool --list-objects --module=/usr/lib64/pkcs11/opensc-pkcs11.so
Using slot 0 with a present token (0x0)

почему так? :-)

Re: librtpkcs11ecp.so и opensc-pkcs11.so

Добрый день, beelze.

Мы как производитель гарантируем работу устройств с нашей PKCS#11 библиотекой.
Мы стараемся также поддерживать работу с opensc-pkcs11.so, но такая поддержка ограничена.

Если Вы отформатируете токен с помощью pkcs15-init, то создаваемые объекты на токене будут видится с помощью opensc-pkcs11.so.
Если же токен был отформатирован нашими средствами, то создаваемые объекты будут видится с помощью нашей PKCS#11 библиотеки.

Мы рекомендуем использовать именно нашу PKCS#11 библиотеку, так как она лучше поддерживается.

Re: librtpkcs11ecp.so и opensc-pkcs11.so

Владимир Салыкин пишет:

Добрый день, beelze.
Если Вы отформатируете токен с помощью pkcs15-init, то создаваемые объекты на токене будут видится с помощью opensc-pkcs11.so. Если же токен был отформатирован нашими средствами, то создаваемые объекты будут видится с помощью нашей PKCS#11 библиотеки.

а какие это «наши средства»? форматировалось точно pkcs15-init, про другие я не слышал.

Владимир Салыкин пишет:

Мы рекомендуем использовать именно нашу PKCS#11 библиотеку, так как она лучше поддерживается.

ну я бы так не сказал.
1. локальная авторизация до сих пор страдает.
2. совместимость с openssh тоже сломана, не первый год.

к слову, именно эти 2 аспекта применения для меня наиболее важны.

Re: librtpkcs11ecp.so и opensc-pkcs11.so

beelze пишет:

а какие это «наши средства»?

Это прежде всего Панель управления Рутокен (для Windows) и Утилита администрирования Рутокен (для всех ОС - https://dev.rutoken.ru/pages/viewpage.a … Id=7995615)

beelze пишет:

1. локальная авторизация до сих пор страдает.
2. совместимость с openssh тоже сломана, не первый год.

1. С локальной авторизацией разберемся.
2. Ситуация с openssh неоднозначная. По нашей инструкции она работает. Через ssh-add действительно пока не работает.

Re: librtpkcs11ecp.so и opensc-pkcs11.so

Получается все же немного не так, как Вы говорите. Форматировалось не через «Утилита администрирования Рутокен», но использовалось с librtpkcs11ecp.so. Тем не менее через opensc-pkcs11.so ничего не доступно. Хм.

Re: librtpkcs11ecp.so и opensc-pkcs11.so

beelze, похоже я недостаточно подробно объяснил.

Если Вы хотите работать через opensc-pkcs11.so, то Вы должны обязательно предварительно отформатировать токен через pkcs15-init, а затем создавать и работать с ключами только через opensc-pkcs11.so.

Если Вы хотите работать через наш PKCS#11, то лучше всего форматировать через Утилиту администрирования Рутокен, а затем создавать и работать с ключами только через наш PKCS#11. Это самый поддерживаемый путь.

Вы можете отформатировать точен через pkcs15-init и работать с нашим PKCS#11. Но в этом случае через opensc-pkcs11.so ничего не будет доступно.

Это не наша персональная проблема, а вообще всех токенов и смарт-карт. Opensc-pkcs11.so считает, что структура внутри устройства всегда строго соответствует PKCS#15. В реальной жизни это не так, по двум причинам - PKCS#15 появился на 5 лет позже и каждый вендор уже придумал свою структуру; сам PKCS#15 не получил распространения и вообще не развивается.