Комментарии 10
Рутокен ЭЦП-2.0 хорошая машина из серии "сами умеют всё считать". Кстати и и Рутокен ЭЦП тоже.
Он успешно тестировался и с cryptoarmpkcs при создании подписи CAdes-XLT1 и в GnuPG/SMIME при использовании токенов PKCS#11 с поддержкой российской припрографии. Особенно он хорош при работе с порталом Госуслуг.
А зачем ставить ваш librtpkcs11ecp Исключительно для работы вашего же pam-модуля и ГОСТ? На текущий момент Рутокен ЭЦП / Рутокен ЭЦП 2.0 успешно работает с RSA без «внешних» библиотек. По крайней мере, ssh и openconnect.
librtpkcs11ecp нужна в первую очередь, чтобы работать с аппаратными неизвлекаемыми ключами. В таком варианте, при подписании, токен будет использовать внутреннее криптоядро.
Вероятно вы используете программные ключи(например, pkcs-15) и криптопровайдер находится в вас на компьютере. В этом случае, в момент подписания, ключи с токена попадают в оперативную память компьютера.
Вероятно вы используете программные ключи(например, pkcs-15) и криптопровайдер находится в вас на компьютере. В этом случае, в момент подписания, ключи с токена попадают в оперативную память компьютера.
Гм… Работа начинается с «pkcs15-init --create-pkcs15», ключи генерятся «pkcs11-tool --keypairgen …». Это будут программные ключи?
Извиняюсь, был не прав. Связка pkcs15-init, pkcs11-tool, opensc-pkcs11.so также создает неизвлекаемые ключи.
Но opensc-pkcs11.so считает, что структура внутри устройства всегда строго соответствует PKCS#15. В реальной жизни это не так, по двум причинам — PKCS#15 появился на 5 лет позже PKCS#11 и каждый вендор уже придумал свою структуру; сам PKCS#15 не получил распространения и вообще не развивается.
Мы, как производитель, гарантируем работу устройств с нашей PKCS#11 библиотекой.
Мы также стараемся поддерживать работу с opensc-pkcs11.so, но такая поддержка ограничена.
Если Вы отформатируете токен с помощью pkcs15-init, то создаваемые объекты на токене будут видится с помощью opensc-pkcs11.so.
Если же токен был отформатирован нашими средствами, то создаваемые объекты будут видится с помощью нашей PKCS#11 библиотеки.
Мы рекомендуем использовать именно нашу PKCS#11 библиотеку, так как она лучше поддерживается.
Но opensc-pkcs11.so считает, что структура внутри устройства всегда строго соответствует PKCS#15. В реальной жизни это не так, по двум причинам — PKCS#15 появился на 5 лет позже PKCS#11 и каждый вендор уже придумал свою структуру; сам PKCS#15 не получил распространения и вообще не развивается.
Мы, как производитель, гарантируем работу устройств с нашей PKCS#11 библиотекой.
Мы также стараемся поддерживать работу с opensc-pkcs11.so, но такая поддержка ограничена.
Если Вы отформатируете токен с помощью pkcs15-init, то создаваемые объекты на токене будут видится с помощью opensc-pkcs11.so.
Если же токен был отформатирован нашими средствами, то создаваемые объекты будут видится с помощью нашей PKCS#11 библиотеки.
Мы рекомендуем использовать именно нашу PKCS#11 библиотеку, так как она лучше поддерживается.
librtpkcs11ecp нужна в первую очередь, чтобы работать с ГОСТ-ой криптографией!!!!
ПК с Linux в российских госструктурах становятся все популярнее, а настроить надёжную двухфакторную аутентификацию в этой ОС не всегда просто. Будем рады этим руководством помочь решить “проблему паролей” и надёжно защитить доступ к ПК, не затратив на это много времени.
Подойдёт практически любой современный Линукс, для примера мы будем использовать xUbuntu 18.10.
Так вы не умничайте, а возьмите Альт 8ой платформы, оторвитесь от одного типа токена (у нас к примеру jakarta, inpasport, etoken) и покажите, как надо делать красиво…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как использовать PAM-модули для локальной аутентификации в Linux по ключам ГОСТ-2012 на Рутокене