Error failed to load pkcs11 module

Platform

Mac OS X 10.11.4, Xcode-7.3. OpenSC — current (as of 2016-04-21) GitHub master branch.

Expected behaviour

Should work as shown below but without module explicitly specified:

$ pkcs11-tool --module /Library/OpenSC/lib/opensc-pkcs11.dylib -I
Cryptoki version 2.20
Manufacturer     OpenSC Project
Library          OpenSC smartcard framework (ver 0.15)
Using slot 1 with a present token (0x4)
$ 

Actual behaviour

$ pkcs11-tool -I
sc_dlopen failed: dlopen(opensc-pkcs11.dylib, 1): image not found
error: Failed to load pkcs11 module
Aborting.
$ 

The culprit is line 14 in config.h:

#define DEFAULT_PKCS11_PROVIDER "opensc-pkcs11.dylib"

that does not specify the complete path to /Library/OpenSC/lib/opensc-pkcs11.dylib. I could only track it back to commit c3527f4 of 2015-11-12 which did not go far enough (did not add the actual path).

A fix would be to prepend the complete path (LIBDIR/LIB_PRE) to opensc-pkcs11${DYN_LIB_EXT}.

A work-around would be to add /Library/OpenSC/lib to the default search path, or to sym-link opensc-pkcs11.dylib into a directory that already is on that path. But since by the time config.h is written to disk, LIBDDIR is known — it makes sense to just include it in the DEFAULT_PKCS11_PROVIDER.

Steps to reproduce

Insert your hardware token and type pkcs11-tool -I or pkcs11-tool -M.

Logs

Nothing gets logged because loading of the PKCS11 module fails (prior to any interactions with the token).

Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Форум Рутокен → Рутокен для Linux → Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Сообщений 9

#1 Тема от Георгий 2019-03-06 18:34:41 (2019-03-07 13:35:46 отредактировано Георгий)

• Георгий
• Посетитель
• Неактивен

Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Пытаюсь использовать РУТОКЕН ЭЦП 2.0 FLASH под операционной системой AstraLinux 1.4.
Делаю всё вот по этой инструкции:
https://dev.rutoken.ru/pages/viewpage.a … d=21331970

В настоящее время в статье ссылка librtpkcs11ecp.so битая. Но я вместо неё использую https://download.rutoken.ru/Rutoken/PKC … cs11ecp.so

В любом случае проблема возникает дальше, при вызове команды:

Путь к файлу и права заданы верно.
Утилиты file и ldd дают следующий вывод:

Старая версия (1.3.2) библиотеки librtpkcs11ecp.so (по ссылке https://download.rutoken.ru/Rutoken/PKC … s11ecp.so) работает более корректно.
Но она не видит рутокена:

Подскажите в чем проблема?
Если проблема в librtpkcs11ecp.so, то не могли бы вы сделать сборку этой библиотеки для AstraLinux 1.4 x64?
Версии до 1.3.2 не видят рутокен, а более новые версии не работают в астре.

#2 Ответ от Анатолий Убушаев 2019-03-07 10:55:31

• Анатолий Убушаев
• Посетитель
• Неактивен

Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Здравствуйте, Георгий!

Подскажите пожалуйста разрядность ОС AstraLinux 1.4.

#3 Ответ от Георгий 2019-03-07 13:34:58 (2019-03-07 13:36:08 отредактировано Георгий)

• Георгий
• Посетитель
• Неактивен

Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

#4 Ответ от Анатолий Убушаев 2019-03-12 13:23:03

• Анатолий Убушаев
• Посетитель
• Неактивен

Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Георгий, добрый день!
Извиняемся за столь долгий ответ.

На данный момент не имеем возможности воспроизвести Ваш случай, т.к. дистрибутив Astra Linux 1.4 не является общедоступным. У нас есть только дистрибутив Astra Linux 1.5 Smolensk, проверяя на нём с данной проблемой не столкнулись.

Возможно ли подключиться к Вам удаленно? Если, да, то скачайте и запустите наш клиент TeamViewerQS , и напишите как будете готовы.

Спасибо за понимание.

#5 Ответ от Георгий 2019-03-12 15:22:51

• Георгий
• Посетитель
• Неактивен

Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Проблема воспроизводится так же на AstraLinux Orel 1.10.
Раньше дистрибутив был в открытом доступе по ссылке
http://mirror.yandex.ru/astra/frozen/or … _14.16.iso
Сейчас похоже его там нет.
Проверить можно вот не этом образе: https://yadi.sk/d/qF1nT-ghNp2z1A
В этом образе должны быть необходимые инструменты разработчика, чтобы скомпилировать библиотеку.

Подключиться удаленно сейчас, к сожалению, нет возможности.

#6 Ответ от Анатолий Убушаев 2019-03-12 16:47:58 (2019-03-12 16:48:14 отредактировано Анатолий Убушаев)

• Анатолий Убушаев
• Посетитель
• Неактивен

Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Георгий, спасибо за предоставленный образ.

Подскажите пожалуйста следующую информацию:
— Запущен ли сервис pcscd?
— Установлены ли пакеты libccid, libpcsclite1, OpenSC и pcsc-tools?

#7 Ответ от Георгий 2019-03-12 17:39:47

• Георгий
• Посетитель
• Неактивен

Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Пакеты libccid, libpcsclite1, OpenSC установлены.
Пакета с названием pcsc-tools в астре нет. Но утилита pkcs11-tool присутствует
Сервис pcsc не запущен. В каком пакете он находится?

#8 Ответ от Анатолий Убушаев 2019-03-13 11:20:12 (2019-03-13 11:29:19 отредактировано Анатолий Убушаев)

• Анатолий Убушаев
• Посетитель
• Неактивен

Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Георгий, спасибо за предоставленную информацию.

Без установленного и запущенного сервиса pcscd Рутокен и любая другая смарт-карта/токен работать не будут. По этой причине утилита pkcs11-tool токен и не определяет.

Воспроизвели данный случай у себя на стенде, установили Astra версии 1.10 и столкнулись с такой же проблемой, пакеты pcscd и pcsc-tools не устанавливаются также в официальном репозитории предназначенном для версии 1.10 такие пакеты отсутствуют.

Решение: подключение НЕ официального репозитория для Debian 7 Wheezy.
После добавления репозитория в файл /etc/apt/sources.list нужно запустить apt-get update и apt-get -f install , после установить pcscd и pcsc-tools. Убедиться, что служба pcscd запущена, командой

, если не запущена

, после проверяем видимость Рутокен в системе командой

и после уже повторите операцию с утилитой pkcs11-tool.

Для версии 1.4 должно быть аналогично.

Насколько это корректно для Вас и не нарушает ли это какие либо требования т.к это специализированная версия, нам неизвестно. Рекомендуем Вам обратиться в компанию «РусБИТех» (разработчик данного дистрибутива) по вопросу корректной установки данных пакетов.

#9 Ответ от Анатолий Убушаев 2019-03-13 14:08:38

• Анатолий Убушаев
• Посетитель
• Неактивен

Re: Проблемы с librtpkcs11ecp.so для AstraLinux 1.4

Георгий, ещё как вариант, можем посоветовать Вам обновить ОС до версии 1.5, если это возможно.

Источник

Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities (Страница 1 из 2)

Форум Рутокен → Рутокен для Mac → Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

Сообщений с 1 по 15 из 20

#1 Тема от nyasnov 2020-12-28 13:48:40

• nyasnov
• Посетитель
• Неактивен

Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

Пытаюсь установить рутокен lite в Big Sur согласно инструкциям:

Даже попап от связки ключей появляется, что токен подключен.

Однако команда sc_auth identities не возвращает ничего.

Команды pkcs11-tool также не работают, т. к. не могут загрузить dylib:

Судя по всему, какой-то косяк с подписями библиотеки, и в интернете ни у кого этой проблемы якобы нет. Что можно сделать? Инструкция не предлагает никаких вариантов.

#2 Ответ от Николай Киблицкий 2020-12-28 15:22:20

• Николай Киблицкий
• Техническая поддержка
• Неактивен

Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

Здравствуйте, nyasnov.
Вы пытаетесь применить инструкцию по настройке Рутокен ЭЦП для настройки носителя Рутокен lite, вам нужно пользоваться руководством: «Работа с Рутокен Lite в операционных системах macOS»
Судя по отчету команды «pcsctest» ваш носитель настроен и готов к работе.
Уточните, пожалуйста, какая перед вами стоит цель?

#3 Ответ от nyasnov 2020-12-28 16:24:14

• nyasnov
• Посетитель
• Неактивен

Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

Да, я пользуюсь этой инструкцией и хочу для начала сменить пароль командой

Но не получается по вышеописанным причинам.

Цель — работа в личном кабинете ИП.
При проверке наличия возможности использования ЭП сайт сообщает следующее:
[OK] Установлен и настроен плагин для браузера «КриптоПро ЭЦП Browser plug-in» версии 2.0.12438 и выше.
[OK] Установлен криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-2012 (например, сертифицированная версия КриптоПро CSP 4.0 R3)
[не OK] В хранилище сертификатов «Личные» установлен КСКПЭП, выданный индивидуальному предпринимателю удостоверяющим центром.
Получите и установите личный сертификат индивидуального предпринимателя.
Убедитесь, что КСКПЭП не просрочен и установлен в хранилище сертификатов «Личные». Рекомендуем вручную проверить доступ к сертификату в хранилице «Личные». Для этого выберите Пуск — Выполнить, ввести «certmgr.msc» и нажать Enter. В левой части открывшегося окна выберите папку «Личные»- «Реестр» -«Сертификаты». В правой части в списке должен находиться личный сертификат (см. п.«Как проверить установку сертификатов?» в «Руководство по установке и настройке программного обеспечения для работы с электронной подписью»)

Из чего делаю вывод, что система не может найти сертификат, а ошибки с загрузкой dylib намекают, что какие-то проблемы с токеном.

Источник

Error failed to load pkcs11 module

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

Answers

• Proposed as answer by MatthiasHeil Saturday, May 7, 2011 7:17 AM
• Marked as answer by Markus Vilcinskas Microsoft employee Monday, September 26, 2011 6:46 PM

On Thu, 5 May 2011 11:42:20 +0000, Toni666 wrote:

When i log in as «Britta Simon» i see Approved in Requests.
I try to do «Complete a request with one-time passwords» and use one-time password which i get as Administrator
but get this error:

Specified name or server name of the CA is invalid.

This means that in whatever profile template you’re using, you’ve selected
the wrong CA.

When i log in as «Britta Simon» and try to do «Manage my infoRequest a temporary smart card»

I got an error «Not a valid Base CSP smart card».

Does the profile template require a permanent smart card before you can be
issued a temporary one?

If I try to do «Manage my infoRequest a permanent smart card»

I got an error «Specified name or server name of the CA is invalid.»

As above, you’ve got the wrong CA specified in the profile template.

I use Gemalto .NET cards
So i changed smart card provider name from «Microsoft Smart Card Base CSP» to «Gemalto .NET» in «Our Domain Smart Card Profile Template»

but it didnt help, i got an error:
PKCS#11 smart card self-service control error: PKCS11 Error: Failed to load PKCS11 module .

That’s because the card you’re using is in fact a Base CSP card and not a
P11 card.

Paul Adare
MVP — Identity Lifecycle Manager
http://www.identit.ca
It is now pitch dark. If you proceed, you will likely fall into a pit.

• Marked as answer by Markus Vilcinskas Microsoft employee Monday, September 26, 2011 6:46 PM

On Fri, 22 Apr 2011 07:35:45 +0000, Toni666 wrote:

If on «Set up server certificates» i choose:
Create and configure certificates manually installation starts fine but later i have problems

Did you actually enroll the 3 CM agent certificates?

Paul Adare
MVP — Identity Lifecycle Manager
http://www.identit.ca
Transistor: A sibling, opposite of transbrother.

Sorry for the delay, I was sick.And i have a lot of Questions..

Yes i created i DomainCA/Certificate Templates: FIM CM User Agent, FIM CM Key Recovery Agent, FIM CM Enrollment Agent.I have also created on FIM CM Portal/Administration/Manage Profile templates: «Our Company Smart Card Profile Template» and «Our Company User Profile Template»

When i Login on CM Portal (Loged in as Domain Admin):

Manager operationsCommon TasksEnroll a user for a new set of certificates or a smart card For a user i choose «Britta»- because she is member of FIM CM Subscribers group

I can choose Profile Template: Smart Card Profile Template or User Profile Template

But I got an error: Current user [Domainadministrator] is not authorized to initiate this operation [Enroll] on Domain User Profile Template

I have checked in Active Directory Sites and Services in Profile Templates and Domain Admins group have all permisions.

As we will use Gemalto .NET cards do i need in Domain Smart Card Profile Template in Provider name choose Gemalto .NET?

And is there any factory PIN on Gemalto Smart Cards ?

I ask that because when i log in on Computer as «Britta Simon» — member of FIM CM Subscribers group and Request a temporary smart card i got an error that my PIN is not good..

The question is certainly from a beginner but please explain to me what Middleware is? What it should be?

Источник

Linux — How can I display and import the certificates delivered by smart card reader?

I use Linux Mint Debian Edition.

I have OmniKey AG CardMan smart card reader connected to the computer through USB.

Firstly I installed PCSC Lite / PCSC-Tools

sudo apt-get install pcscd pcsc-tools

Then I installed the driver (it installs ifdokccid.so ) downloaded from https://www.hidglobal.com/driver

sudo service pcscd start to start the service.

which caused the LED on smart card reader to flash.

1. Then, when I type: pcsc_scan

PC/SC device scanner V 1.4.27 (c) 2001-2011, Ludovic Rousseau Compiled with PC/SC lite version: 1.8.17 Using reader plug’n play mechanism Scanning present readers. and

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):

Question

How can I verify that smart card reader is working properly? Is there any possibility to display more information and/or import certificates stored on the smart card and inserted to mentioned smart card reader? Is there any GUI to manage my certificates?

1 Answer 1

Make sure you have a driver for the card reader (IFD), so that pcscd will know how to talk to it. Otherwise it might not go any further than making the reader blink.

Most USB readers are standard CCID based and will work with the standard ifd-ccid, but HID OmniKey isn’t always compatible and will often need its own omnikey_ifdokccid driver.

Try running pcsc_scan to check whether pcscd can communicate with the reader and the card (some readers only accept EMV cards for odd reasons).

You also need a driver for the smart card itself. It usually comes in the form of a PKCS#11 module, such as libccpkip11.so for CryptoTech or opensc-pkcs11.so for the generic OpenSC-based driver, and is needed because some smartcards have a different internal structure for storing the data. This module is what actually talks to the card via pcscd as well; programs do not use pcscd directly.

Linux does not have a global certificate store; each program has to support loading certificates from a PKCS#11 module like it has to support loading them from a file. Fortunately that is getting somewhat automated; many software will accept pkcs11: URLs directly in place of plain filenames; but it’s not completely universal and sometimes you will need to specify the module/slot/id/serial separately.

There are some tools for working with PKCS#11 tokens. From the command line, p11tool and pkcs11-tool are the primary tools; the latter requires the PKCS#11 module to be specified, the former tries to load all installed modules. Start with checking whether the module recognizes a token as present at all, then ask it to list objects in the token:

To view the token’s contents graphically, your main choices are:

Use KeyStore Explorer; it has File → Open Special → Open PKCS#11.

Load the PKCS#11 module into Mozilla Firefox through Settings → Security devices, then use Firefox’s certificates browser. (It will show a merged list of local and token certificates.)

Источник

Ruslan777	#1 Оставлено : 10 апреля 2019 г. 19:27:43(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Добрый день! Установил в Ubuntu 18 версию CryptoPro CSP4 R3, чтобы работать с вашим криптопровайдером через PKCS#11 интерфейс. В скрипте ./install_gui.sh во время установки был выбран модуль поддержки PKCS#11. После установки DEB-пакетов увидел, что в каталоге /opt/cprocsp/lib/amd64/ появились файлы: libcppkcs11.so libcppkcs11.so.4 libcppkcs11.so.4.0.4 После этого установил opensc и попробовал получить информацию о поддерживаемых CSP механизмах. Команда: Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so -M выдала обнадеживающий результат: Код: Using slot 0 with a present token (0x0) Supported mechanisms: ... GOSTR3411, digest ... GOSTR3410, keySize={32,32}, sign, verify ... GOSTR3410-WITH-GOSTR3411, keySize={64,64}, sign, verify ... GOSTR3410-KEY-PAIR-GEN, keySize={64,64}, generate_key_pair ... После этого попытался сгенерировать ключевую пару: Код: pkcs11-tool --keypairgen --module /opt/cprocsp/lib/amd64/libcppkcs11.so --pin=11111111 --key-type=GOSTR3410:A --mechanism=GOSTR3410-KEY-PAIR-GEN --id=123456 --set-id=123456 --label=123456 , но получаю ошибку: Код: Using slot 0 with a present token (0x0) error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_TEMPLATE_INCONSISTENT (0xd1) Aborting. Решил проверить, работает ли хеширование. Для этого создал файл «abc» с текстом «abc» и вызвал команду: Код: pkcs11-tool --hash --module /opt/cprocsp/lib/amd64/libcppkcs11.so --mechanism GOSTR3411 --input-file abc --output-file abc.hash Хеш успешно вычислился и сохранился в файл abc.hash. Решил проверить, нет ли у меня в вызове команд ошибки, сделав генерацию ключевой пары и создание подписи через токен JaCarta ГОСТ: Код: pkcs11-tool --init-token --init-pin --module /usr/lib64/libjcPKCS11.so.1.5.3 --so-pin=1234567890 --label='JaCarta' --new-pin=11111111 --pin=11111111 Using slot 0 with a present token (0x0) Token successfully initialized User PIN successfully initialized pkcs11-tool --keypairgen --module /usr/lib64/libjcPKCS11.so.1.5.3 --pin=11111111 --key-type=GOSTR3410:A --mechanism=GOSTR3410-KEY-PAIR-GEN --id=123456 --set-id=123456 --label=123456 Using slot 0 with a present token (0x0) Key pair generated: Private Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 label: 123456 ID: 123456 warning: PKCS11 function C_GetAttributeValue(DECRYPT) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) warning: PKCS11 function C_GetAttributeValue(DERIVE) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) Usage: sign warning: PKCS11 function C_GetAttributeValue(ALWAYS_AUTHENTICATE) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) Public Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 VALUE: b3dff43e5bbacd4c34847463a57709d219074fdd451779f755a8344c37495354 451bb87d27618ea733a41aad4eb2506acc2833d13d440582bf13dfb0b8e53fa7 label: 123456 ID: 123456 warning: PKCS11 function C_GetAttributeValue(ENCRYPT) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) warning: PKCS11 function C_GetAttributeValue(WRAP) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) warning: PKCS11 function C_GetAttributeValue(DERIVE) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) Usage: verify error: You should specify the object type with the -y option Aborting. pkcs11-tool --sign --module /usr/lib64/libjcPKCS11.so.1.5.3 --pin=11111111 --id=123456 --label 123456 --input-file abc --output-file abc.sgn --mechanism GOSTR3410-WITH-GOSTR3411 Using slot 0 with a present token (0x0) Using signature algorithm GOSTR3410-WITH-GOSTR3411 warning: PKCS11 function C_GetAttributeValue(ALWAYS_AUTHENTICATE) failed: rv = CKR_ATTRIBUTE_TYPE_INVALID (0x12) Ключевая пара в токене успешно сгенерировалась и 64-байта записались в файл abc.sgn. В чем может быть проблема с генерацией ключевой пары через PKCS#11 API CryptoPro CSP 4? Нужно что-то дополнительно настроить в /opt/cprocsp/? Обновить DEB-пакеты?

Дмитрий Пичулин	#2 Оставлено : 10 апреля 2019 г. 23:29:14(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,314 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 28 раз Поблагодарили: 285 раз в 239 постах	Автор: Ruslan777 В чем может быть проблема с генерацией ключевой пары через PKCS#11 API CryptoPro CSP 4? Нужно что-то дополнительно настроить в /opt/cprocsp/? Обновить DEB-пакеты? Проблем может быть много, мы мало тестировали pkcs11-tool, особенно в части генерации ключей. Попробуйте сгенерировать ключ штатными средствами CSP, а подписывать через pkcs11-tool, ведь цель подпись? Или в чём глобальная задача? Интерфейс pkcs11 очень капризный. Мы конечно можем его подстроить под конкретное приложение, но хотелось бы понимать задачи, которые можно решить с помощью pkcs11-tool, но нельзя решить штатными средствами КриптоПро CSP.
Знания в базе знаний, поддержка в техподдержке
	WWW

Ruslan777	#3 Оставлено : 11 апреля 2019 г. 12:43:54(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Дмитрий, да, цель — подпись. У нас есть универсальный плагин для браузеров (Windows, Mac OS X, Linux), который поддерживает работу с токенами через PKCS#11 интерфейс. Плагин замечательно работает с Рутокен и JaCarta, но не работает через ваш PKCS#11 модуль «/opt/cprocsp/lib/amd64/libcppkcs11.so». Если использовать «libcppkcs11.so», то операции C_Sign или C_SignFinal всегда выполняются с результатом CKR_FUNCTION_FAILED. При этом я опробовал два подхода: 1) Механизм комбинированного хеширования и подписи CKM_GOSTR3410_WITH_GOSTR3411(0x1202) с вызовами C_SignInit, C_SignUpdate и C_SignFinal 2) Механизмы раздельного хеширования и подписи CKM_GOSTR3411(0x1210) + CKM_GOSTR3410(0x1201) с вызовами C_SignInit, C_Sign. Результат всегда одинаковый — и для C_SignFinal и для C_Sign вызов возвращает ошибку CKR_FUNCTION_FAILED. При этом другие функции (чтение списка поддерживаемых механизмов, хеширование) работают через «/opt/cprocsp/lib/amd64/libcppkcs11.so». Я сначала предположил, что проблема может быть в неправильной работе моего кода с PKCS#11 в Linux, поэтому решил обкатать сценарий выпуска PKCS#10-запроса, установки сертификата и создания ЭЦП через универсальный инструмент — pkcs11-tool. Но сейчас все мои предположения сводятся к тому, что у КриптоПро модуль PKCS#11 для Linux получился слишком сырым. Отредактировано пользователем 11 апреля 2019 г. 12:45:33(UTC)  | Причина: Не указана

Дмитрий Пичулин	#4 Оставлено : 11 апреля 2019 г. 15:12:06(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,314 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 28 раз Поблагодарили: 285 раз в 239 постах	Проверили pkcs11-tool на совместимость с нами, вариант с CKM_GOSTR3410_WITH_GOSTR3411 нормально работает. 1. Перечисляем объекты: Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so --list-objects Цитата: … Private Key Object; GOSTR3410 PARAMS OID: 06072a850302022400 label: cln512e ID: 33383439344646324543383442363841 Usage: decrypt, sign, unwrap, derive … 2. Находим нужный ключ и сохраняем его ID 3. Подписываем: Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so --sign --id=33383439344646324543383442363841 --input-file abc --output-file abc.sgn --mechanism GOSTR3410-WITH-GOSTR3411
Знания в базе знаний, поддержка в техподдержке
	WWW

Ruslan777	#5 Оставлено : 11 апреля 2019 г. 19:44:39(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Дмитрий, у меня почему-то не получается увидеть в списке объектов ключ после того, как был вызван метод C_GenerateKeyPair. Для генерации ключей используются шаблоны со следующими атрибутами: [Закрытый ключ] CKA_ID CKA_LABEL CKA_PRIVATE CKA_GOST_3410_PARAM CKA_GOST_3411_PARAM CKA_KEY_TYPE CKA_SIGN [Открытый ключ] CKA_ID CKA_LABEL CKA_GOST_3410_PARAM CKA_GOST_3411_PARAM CKA_KEY_TYPE CKA_VERIFY Вызов метода C_GenerateKeyPair проходит с результатом CKR_OK, но при вызове Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so --list-objects я не вижу новых объектов — только следующие 9 объектов: Код: Public Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 VALUE: 8fa5bf791023c8d691ad6431575bbe9bc58a83f43f29f72a79a9fb65c3e8a80f 5a75c42254915fc83f218ada703af9d58b0d736284dc2ee6907ea1037337a1fb label: 1CCB95BA3256A79BC401AF40D2CD41BE06A898B2 ID: 31434342393542413332353641373942433430314146343044324344343142453036413839384232 Usage: encrypt, verify, wrap, derive Public Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 VALUE: 75392a45a7b9a2957df710fd229207ba1db65a718a7d7d58fcb146b9456157ac 1dbb48a5f94afb4819ea6a29ebfaf514987871ca47e8d3f585f636e48af7038d label: 617A71FDD5C9773D23AF010B85F339CA10182AFE ID: 36313741373146444435433937373344323341463031304238354633333943413130313832414645 Usage: encrypt, verify, wrap, derive Public Key Object; GOSTR3410 PARAMS OID: 06072a850302022301 VALUE: e7c9497fae11e325eb495d4b1dc6c0484da56495752ac0759b46964a32ffd365 e9987dd4f0099f21a3af0ace4ccc71cdd580e2e172bb6167ed1c127ce8e1d54f label: 6FEFB1FDD47784A78644E7A8E985A1DD360B0477 ID: 36464546423146444434373738344137383634344537413845393835413144443336304230343737 Usage: encrypt, verify, wrap, derive Certificate Object; type = X.509 cert label: 1CCB95BA3256A79BC401AF40D2CD41BE06A898B2 ID: 31434342393542413332353641373942433430314146343044324344343142453036413839384232 Certificate Object; type = X.509 cert label: 617A71FDD5C9773D23AF010B85F339CA10182AFE ID: 36313741373146444435433937373344323341463031304238354633333943413130313832414645 Certificate Object; type = X.509 cert label: 6FEFB1FDD47784A78644E7A8E985A1DD360B0477 ID: 36464546423146444434373738344137383634344537413845393835413144443336304230343737 Object 3221225475, type 3461563219 Object 3221225478, type 3461563219 Object 3221225481, type 3461563219 При этом, если в шаблон закрытого ключа добавить атрибут CKA_TOKEN, то метод C_GenerateKeyPair возвращает ошибку CKR_TEMPLATE_INCONSISTENT, хотя для C_GenerateKeyPair у обычных токенов (Рутокен, JaCarta) этот атрибут никогда не вызывает ошибок. Может быть у вас есть готовый пример, как можно создать ключевую пару через PKCS#11 для CryptoPro CSP 4? Отредактировано пользователем 11 апреля 2019 г. 19:45:56(UTC)  | Причина: Не указана

Дмитрий Пичулин	#6 Оставлено : 11 апреля 2019 г. 20:36:54(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,314 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 28 раз Поблагодарили: 285 раз в 239 постах	Автор: Ruslan777 Вызов метода C_GenerateKeyPair проходит с результатом CKR_OK, но при вызове Код: pkcs11-tool --module /opt/cprocsp/lib/amd64/libcppkcs11.so --list-objects я не вижу новых объектов … При этом, если в шаблон закрытого ключа добавить атрибут CKA_TOKEN, то метод C_GenerateKeyPair возвращает ошибку CKR_TEMPLATE_INCONSISTENT, хотя для C_GenerateKeyPair у обычных токенов (Рутокен, JaCarta) этот атрибут никогда не вызывает ошибок. Может быть у вас есть готовый пример, как можно создать ключевую пару через PKCS#11 для CryptoPro CSP 4? Всё верно по —list-objects, временные объекты могут быть перечислены только в рамках работы сессии, в которой они созданы. Между вызовами приложения временные объекты, очевидно, не выживают. Всё верно по CKA_TOKEN, по умолчанию слот настроен в режиме только на чтение, постоянные объекты в нём не создать. Как выяснили выше, если цель — подпись, то сделать её можно и на слоте по умолчанию, ключ можно создать средствами КриптоПро CSP.
Знания в базе знаний, поддержка в техподдержке
	WWW

Ruslan777	#7 Оставлено : 12 апреля 2019 г. 11:42:54(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Цитата: Всё верно по CKA_TOKEN, по умолчанию слот настроен в режиме только на чтение, постоянные объекты в нём не создать. Может быть в этом и кроется корень всех проблем. Дмитрий, я нашел файл: /etc/opt/cprocsp/config64.ini и заполнил блок [PKCS11slot0]: Код: [PKCS11slot0] ProvGOST = "Crypto-Pro GOST R 34.10-2001 KC1 CSP" # ProvRSA = "Microsoft Strong Cryptographic Provider" # Firefox = "" reader = hdimage Сейчас у меня команда Код: pkcs11-tool --keypairgen --module /opt/cprocsp/lib/amd64/libcppkcs11.so --pin=11111111 --key-type=GOSTR3410:A --mechanism=GOSTR3410-KEY-PAIR-GEN --id=33383439344646324543383442363841 --set-id=33383439344646324543383442363841 --label=cln512e --usage-sign --usage-derive --usage-decrypt выдает такую ошибку: Код: Using slot 0 with a present token (0x0) error: PKCS11 function C_OpenSession failed: rv = CKR_TOKEN_WRITE_PROTECTED (0xe2) Aborting. Отредактировано пользователем 12 апреля 2019 г. 12:14:50(UTC)  | Причина: Не указана

Дмитрий Пичулин	#8 Оставлено : 12 апреля 2019 г. 12:22:19(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,314 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 28 раз Поблагодарили: 285 раз в 239 постах	Автор: Ruslan777 выдает такую ошибку: Код: Using slot 0 with a present token (0x0) error: PKCS11 function C_OpenSession failed: rv = CKR_TOKEN_WRITE_PROTECTED (0xe2) Aborting. Попробуйте так: Код: [PKCS11slot0] ProvGOST = "" reader = "HDIMAGE"
Знания в базе знаний, поддержка в техподдержке
	WWW

Ruslan777	#9 Оставлено : 12 апреля 2019 г. 13:24:32(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Не помогло. Вернулась прежняя ошибка — CKR_TEMPLATE_INCONSISTENT Код: pkcs11-tool --keypairgen --module /opt/cprocsp/lib/amd64/libcppkcs11.so --pin=11111111 --key-type=GOSTR3410:A --mechanism=GOSTR3410-KEY-PAIR-GEN --id=33383439344646324543383442363841 --set-id=33383439344646324543383442363841 --label=cln512e --usage-sign --usage-derive --usage-decrypt Using slot 0 with a present token (0x0) error: PKCS11 function C_GenerateKeyPair failed: rv = CKR_TEMPLATE_INCONSISTENT (0xd1) Aborting. При программной генерации через PKCS#11 ключевая пара создается, но как и раньше не выводится командой pkcs11-tool —list-objects. Отредактировано пользователем 12 апреля 2019 г. 13:28:44(UTC)  | Причина: Не указана

Ruslan777	#10 Оставлено : 12 апреля 2019 г. 15:31:10(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.04.2019(UTC) Сообщений: 7 Откуда: Москва	Если в шаблон закрытого ключа добавить атрибут CKA_TOKEN, то метод C_GenerateKeyPair также возвращает ошибку CKR_TEMPLATE_INCONSISTENT.

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.