Программно разблокировать слот PIV 9a с помощью OpenSC для другого приложения

Я использую Yubikey 4 с сертификатом, загруженным в слот PIV 9a (аутентификация PIV; слот 0 OpenSC).

Внутри Firefox 64 я использую драйвер OpenSC PKCS#11.

Что я хочу сделать, так это "разблокировать" этот слот (я не уверен, что слово "разблокировать" - это правильное слово), скажем, из сценария оболочки, указав один раз мой пользовательский ПИН-код. После этого Firefox должен иметь возможность использовать этот слот, не запрашивая у пользователя PIN-код (Firefox должен видеть слот как "авторизованный").

Я надеялся, что смогу использовать что-то вроде pkcs11-tool -l --login-type user -L в командной строке. Эта команда сама по себе работает, но она не приводит к тому, что слот переходит в состояние "залогинен" в Firefox. Firefox по-прежнему будет запрашивать PIN-код при первом открытии веб-сайта.

Выход из pkcs11-tool -l --login-type user -L:

Доступные слоты: Слот 0 (0x0): Yubico Yubikey 4 Метка токена OTP+U2F+CCID: # отредактировано # Производитель токена: модель токена piv_II: эмулируемые флаги PKCS#15: требуется логин, rng, инициализирован токен, версия аппаратного обеспечения, инициализированного ПИН-кодом: 0.0 версия прошивки: 0.0 серийный номер: 0001112223334445
  pin min/max: 4/8 Войдите в систему "#redacted#". Пожалуйста, введите ПИН-код пользователя:
$ opensc-tool -i
OpenSC 0.19.0 [gcc 4.2.1 совместимый Apple LLVM 9.1.0 (clang-902.0.39.2)]
Включенные функции: блокировка zlib readline openssl pcsc(/System/Library/Frameworks/PCSC.framework/PCSC)

Мне кажется, параметр конфигурации OpenSC " lock_login" описывает то, что я хочу:

По умолчанию модуль OpenSC PKCS#11 не будет блокировать вашу карту, когда вы аутентифицируетесь на карту через C_Login (по умолчанию: false). Таким образом, другим пользователям или другим приложениям не запрещается подключаться к карте и выполнять криптографические операции (что может быть возможно, поскольку вы уже аутентифицировались с картой).

Я не устанавливал вручную значения конфигурации OpenSC. В моем понимании, выполнение вышеупомянутой команды pkcs11-tool вызывает C_Login - но слот все еще не может использоваться без ввода PIN-кода в Firefox.

Это то, что может быть достигнуто с OpenSC?

1 ответ

Вы можете "use_pin_caching = true;" поэтому OpenSC будет кэшировать пин-код при запуске приложения и использовать его снова, если это необходимо.

Большинство устройств Yubico неправильно реализовали обработку команды "Выбрать AID" для выбора апплета на карте, а в спецификациях NIST говорится, что апплет PIV будет аплетом по умолчанию при включении питания. Это вызывает проблемы при попытке сохранить состояние входа в систему, когда несколько приложений пытаются использовать токен. (Ищите "card_issues" в card-piv.c в источнике OpenSC.)

FireFox делает то, что делает большинство приложений - предполагается, что логин нужен с первого раза. Так что использование скрипта для проверки ПИН-кода не поможет.

Также посмотрите на "card_drivers = PIV-II;" чтобы другое приложение не запускало "Выбрать AID" для карты, которой у вас нет, что также может привести к потере состояния входа в систему. (card_issues = CI_OTHER_AID_LOSE_STATE)

Другие вопросы по тегам