[rlug] Longmai mToken

Petru Rațiu rpetre at gmail.com
Thu Jul 2 10:12:15 EEST 2020


On Thu, Jul 2, 2020 at 8:28 AM Mihai Badici <mihai at badici.ro> wrote:

>
> On 7/2/20 8:10 AM, Petru Rațiu wrote:
> > Pana acum n-a mentionat nimeni asta, dar pt. smartcarduri iti trebuie un
> > .so pe care il dai ca modul oricarei aplicatii care implementeaza PKCS11.
> > Modulul se ocupa de comunicatia low-level cu device-ul, fara el cam
> > vorbesti singur. Daca stickul expune un drive, posibil sa fie pe el
> > disponibil modulul cu pricina, dar nu as fi foarte surprins sa nu aiba
> > pentru Linux sau sa aiba niste versiuni antice pentru glibc vechi.
> Personal
> > n-am auzit de Longmai astia pana acum, asa ca nu pot sa zic ca am avut
> de a
> > face, dar experienta seamana cu alte smartcarduri cu care am lucrat.
>
>
> Păi deci până la urmă care ar trebui să fie procedura?
>
> Montează stickul ca drive, copiază acel .so după care rulează modeswitch?
>
> Că eu în udev rules nu văd să ruleze un script, ceva, doar niște
> permisiuni.
>
>
Eu la alea cu care am lucrat n-am avut nici o treaba cu udev sau
modeswitch, din cate stiu nu e nici un device secret pe care sa-l poti
accesa direct. Am copiat .so-ul undeva in sistem ( prin /usr/local/lib e
preferinta personala ) si am dat calea catre el ca parametru la aplicatia
cu care voiam sa fac operatiuni criptografice (in Firefox de exemplu il
incarci ca device in Preferences -> Security -> Certificates -> Security
Devices -> Load ... ). Din cate imi dau seama modulul se descurca el sa
identifice device-ul pe USB si vorbeste direct cu el. Regulile alea de udev
probabil sunt acolo pentru ca micul chinez a embedat si un storage
read-only. Dar in general modulul ala e cheia si e strans legat de model,
aplicatiile generice sunt cam hit-and-miss, vrei ceva confirmat de
producator ca e compatibil cu "obiectul" pe care il ai.

Sugestia mea este ca nu mai suntem in 2003, suportul pe Linux nu mai e ceva
pt. care sa zicem sarumana conasule, spuneti sus si tare la provideri ca e
un criteriu decisiv. Lucrurile astea se aduna si daca suntem destui or sa
inceapa sa aiba si modele suportate pe bune.

O alternativa interesanta cu care am lucrat in ultima vreme este "cloud
signature". Practic certificatul tau calificat ramane pe HSM-ul
providerului si ai un web api prin care poti ordona operatiuni cu el,
confirmate via OTP pe telefon. Problema si aici e ca aplicatiile wrapper
sunt inexistente sau chinezarii de windows, dar macar nu mai depinzi de
device-uri hardware opace. La aplicatia pentru primarii la care lucrez de
ceva vreme ne integram cu doi provideri locali care folosesc asa ceva,
suportul e execrabil dar macar exista documentatie scrisa. Cu aceasta
ocazie tin sa mentionez cat de trist e ecosistemul de aplicatii open-source
care lucreaza cu pdf-uri semnate compatibil EIDAS, ca end-user ajungi
foarte repede sa-ti bagi picioarele si sa pui Acrobat, preferabil pe
Windows ca sa mearga (TM).

-- 
P.


More information about the RLUG mailing list