LINUX.ORG.RU

Какие нужны драйвера/ры для работы ключа JaCarta от Ростелекома?

 


0

2

JaCarta PKI = http://www.aladdin-rd.ru/catalog/jacarta/

JaCarta – новое поколение смарт-карт, USB- и Secure MicroSD-токенов для строгой аутентификации, электронной подписи и безопасного хранения ключей, цифровых сертификатов

http://www.aladdin-rd.ru/catalog/jacarta/gost/

JaCarta ГОСТ – персональное средство электронной подписи с российской криптографией «на борту» для формирования усиленной квалифицированной ЭП с неизвлекаемым ключом ЭП и строгой аутентификации пользователей.

у меня
«USB-токен в корпусе mini» (на сайте есть с картинками)

# lsusb  
Bus 001 Device 009: ID 24dc:0101
# dmesg | grep -B 3 -A 1  JaCa
[29967.712144] usb 1-6.1.1.2: new full-speed USB device number 9 using ehci_hcd
[29967.806135] usb 1-6.1.1.2: New USB device found, idVendor=24dc, idProduct=0101
[29967.806139] usb 1-6.1.1.2: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[29967.806141] usb 1-6.1.1.2: Product: JaCarta
[29967.806143] usb 1-6.1.1.2: Manufacturer: ARDS

Функции:
1) Генерация ключей, формирование и проверка усиленной квалифицированной ЭП при работе с криптопровайдерами JaCarta CSP, VipNet CSP, Signal-COM CSP, Lissi CSP с неизвлекаемым ключом ЭП.
2) Хранение ключевых контейнеров

http://www.aladdin-rd.ru/catalog/jacarta/gost/specification

Защищённый смарт-карточный чип (AT90SC25672RCT), имеющий специальную сертифицированную защиту и на аппаратном, и на программном уровне (Secure by design)

EEPROM-памяти на чипе 72 КБ
для хранения пользовательских данных ~29 КБ
Установка драйвера устройства для современных ОС (Microsoft Windows Vista и выше, Linux, Mac OS X) не требуется. (А как оно тогда работает?)

# dpkg -i jcgostclient_1.5.3.444.deb
(Reading database ... 143870 files and directories currently installed.)
Unpacking jcgostclient (from jcgostclient_1.5.3.444.deb) ...
Setting up jcgostclient (1.5.3) ...
searching for Info.plist to update...
updating /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist
updating /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist
checking updated /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist
[ ok ] Restarting PCSC Lite resource manager: pcscd.

НЕ ТРЕБУЕТСЯ !!!

Поддерживаемые ОС:
- Red Hat Linux Enterprise Linux 6.3 Desktop (32/64-бит)
- OpenSUSE 12.2 (32/64-бит)
- Ubuntu Desktop 12.04.1 LTS (32/64-бит)
- CentOS 6 (32/64-бит)
- Альт Линукс СПТ 6.0 (32/64-бит)

Зачем все вокруг кричат про CryptoPro ?

Путин'улись в продакшен. Неудивительно. Я никогда не считал их военной конторой. А оправдывать вложения надо.

ziemin ★★ ()

И если есть поддержка в ОС, то зачем тогда вот эти файлы:

http://www.aladdin-rd.ru/support/downloads/39868/
http://www.aladdin-rd.ru/support/downloads/get?ID=39868
JC-GOSTClient for Linux.zip

http://www.aladdin-rd.ru/support/downloads/get?ID=39870
JC-GOST_Admin.pdf

Нужны ли только JaCarta ГОСТ или и Jakarta PKI нужны тоже?
зачем какие нужны и как работают (используя какие другие библиотеки)?

vmw8sl ()
Ответ на: комментарий от vmw8sl

Почему у них не совпадает список поддержки?

Семейство Linux
- Red Hat Linux Enterprise Linux 6.3 Desktop (32/64-бит)
- Open SUSE 12.2 (32/64-бит)
- Ubuntu Desktop 12.04.1 LTS (32/64-бит)
- CentOS 6.0 (32/64-бит)
- Альт Линукс СПТ 6.0 (32/64-бит)
- ROSA Linux 2011
- Циркон 26К (на базе ОС Debian GNU/Linux)
- Любой Linux – дистрибутив, соответствующий стандарту LSB (Linux Standard Base) версии 3.1 (32/64-бит)

Debian 7 подойдёт?

vmw8sl ()

Драйверы для этих фиговин не нужны реально, они работают через стандартный интерфейс смарт-карт PCSC. Надо только, чтобы демон pcscd, которых с ними общается, их себе присвоил и подсоединил. Для этого PID и VID этих устройств заносятся к нему в базу, что у тебя и видно в логе установки пакета.

Едем дальше, PCSC предоставляет низкоуровневый интерфейс посылки пинков карте под названием APDU. Над APDU сидит библиотека, реализующая стандартный интерфейс взаимодействия с криптографический устройством PKCS#11. Она принимает запросы на криптографические операции и посредством APDU заставляет устройство работать. Но и это ещё низкий уровень, поскольку там голая криптография, нет работы с цепочками сертификатов, их разбора и т.д. для этого в этом твоём плагине используется OpenSSL. Несколькими вызовами ему разъясняется, где взять 11ю библиотеку и для чего её юзать. После этого ты уже сидишь и работаешь с сертификатами, подписями и TLS, а все дёрганья токена происходят за кадром.

Что касается твоего плагина:

- открой about:plugins в браузере и поищи, зарегистрирован ли он вообще.

- открой браузер из терминала, чтобы он начал тебе выводить сообщения туда. Среди них может проскочить отладочная инфа от плагина.

- грузится это всё динамически и на лету, поэтому стоит проверить все либы с помощью ldd, на предмет отсутствующих зависимостей, о которых загрузчик узнаёт, когда всё остальное уже работает.

- кстати, этот же загрузчик может соскочить с локальной версии OpenSSL на системную, которая с ГОСТами не работает, это тоже вероятный косяк.

uuwaan ★★ ()
Ответ на: комментарий от uuwaan

Что касается твоего плагина

проверил все 4 пункта:
1) Плагин не виден в about:plugins
2) в терминал ничего не выводится
3) проверил все либы с помощью ldd, всё присутствует
4) здесь есть непонятное место

# ldd lib/* | grep "=>" | sed "s/(.*)//g" | sort | uniq
...
	libcrypto.so.1.0.0 => /usr/lib/mozilla/plugins/lib/libcrypto.so.1.0.0 
	libcrypto.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 
...


root@machine:/usr/lib/mozilla/plugins# ldd lib/libssl.so.1.0.0
	linux-vdso.so.1 (0x00007fff9d1ff000)
	libcrypto.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007f4991985000)
	libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f4991781000)
	libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f49913d7000)
	libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x00007f49911c0000)
	/lib64/ld-linux-x86-64.so.2 (0x00007f4991ffa000)
vmw8sl ()
Ответ на: комментарий от vmw8sl

Судя по всему, уход к системной libcrypto и фейлит инициализацию плагина. Попробуй браузер с указанием LD_LIBRARY_PATH загрузить. Имхо, разработчикам стоит написать о твоих изысканиях, потому как с портала Госуслуг мы всё равно не съедем, так что такое ПО нужно нормально работающим.

uuwaan ★★ ()
Ответ на: комментарий от vmw8sl

А у тебя приглашение командной строки сразу после запуска Firefox появлялось, или только после того, как ты окно браузера закрывал?

Просто если у тебя, к примеру, уже открыт Firefox, то запускаемый бинарник просто завершается, предварительно послав сигнал уже работающей копии создать новое окно.

Необходимо перед проверкой закрыть все работающие копии Firefox (нажать Ctrl+Q в любом окне браузера), а после этого запускать. В результате браузер запустится, но не отдаст тебе командную строку пока ты его не закроешь.

uuwaan ★★ ()
Ответ на: комментарий от uuwaan

я закрывал все инстансы при каждом перезапуске.

Дело было не в этом, а в том, что фарфокс кеширует информацию о неработающих плагинах и не грузит их повторно - www.linux.org.ru/forum/admin/10660206?cid=10660438

стёр файл pluginreg.dat
rm /home/user/.mozilla/firefox/profile.default/pluginreg.dat
теперь плагин загружается нормально.

vmw8sl ()
Ответ на: комментарий от vmw8sl

О, ну здорово. Я не знал об этом файле, теперь буду, спасибо.

uuwaan ★★ ()

Оно без дров работает? Что в jcgostclient? Через pkcs тыкается?

gadfly ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.