[rlug] Longmai mToken

Mihai Badici mihai at badici.ro
Thu Jul 2 10:40:51 EEST 2020


eu doar am presupus că trebuie să comute, pentru că au dat acele intrări in
udev, deşi văd că nu lansează nici un executabil...  Dar nu am lucrat cu
aşa ceva pe linux, deci probabil că Petre ştie mai bine.
E clar că trebuie să aibă o bibliotecă de acces, fie pe site, fie chiar pe
el.

On Thu, Jul 2, 2020 at 10:14 AM Petru Rațiu <rpetre at gmail.com> wrote:

> On Thu, Jul 2, 2020 at 8:28 AM Mihai Badici <mihai at badici.ro> wrote:
>
> >
> > On 7/2/20 8:10 AM, Petru Rațiu wrote:
> > > Pana acum n-a mentionat nimeni asta, dar pt. smartcarduri iti trebuie
> un
> > > .so pe care il dai ca modul oricarei aplicatii care implementeaza
> PKCS11.
> > > Modulul se ocupa de comunicatia low-level cu device-ul, fara el cam
> > > vorbesti singur. Daca stickul expune un drive, posibil sa fie pe el
> > > disponibil modulul cu pricina, dar nu as fi foarte surprins sa nu aiba
> > > pentru Linux sau sa aiba niste versiuni antice pentru glibc vechi.
> > Personal
> > > n-am auzit de Longmai astia pana acum, asa ca nu pot sa zic ca am avut
> > de a
> > > face, dar experienta seamana cu alte smartcarduri cu care am lucrat.
> >
> >
> > Păi deci până la urmă care ar trebui să fie procedura?
> >
> > Montează stickul ca drive, copiază acel .so după care rulează modeswitch?
> >
> > Că eu în udev rules nu văd să ruleze un script, ceva, doar niște
> > permisiuni.
> >
> >
> Eu la alea cu care am lucrat n-am avut nici o treaba cu udev sau
> modeswitch, din cate stiu nu e nici un device secret pe care sa-l poti
> accesa direct. Am copiat .so-ul undeva in sistem ( prin /usr/local/lib e
> preferinta personala ) si am dat calea catre el ca parametru la aplicatia
> cu care voiam sa fac operatiuni criptografice (in Firefox de exemplu il
> incarci ca device in Preferences -> Security -> Certificates -> Security
> Devices -> Load ... ). Din cate imi dau seama modulul se descurca el sa
> identifice device-ul pe USB si vorbeste direct cu el. Regulile alea de udev
> probabil sunt acolo pentru ca micul chinez a embedat si un storage
> read-only. Dar in general modulul ala e cheia si e strans legat de model,
> aplicatiile generice sunt cam hit-and-miss, vrei ceva confirmat de
> producator ca e compatibil cu "obiectul" pe care il ai.
>
> Sugestia mea este ca nu mai suntem in 2003, suportul pe Linux nu mai e ceva
> pt. care sa zicem sarumana conasule, spuneti sus si tare la provideri ca e
> un criteriu decisiv. Lucrurile astea se aduna si daca suntem destui or sa
> inceapa sa aiba si modele suportate pe bune.
>
> O alternativa interesanta cu care am lucrat in ultima vreme este "cloud
> signature". Practic certificatul tau calificat ramane pe HSM-ul
> providerului si ai un web api prin care poti ordona operatiuni cu el,
> confirmate via OTP pe telefon. Problema si aici e ca aplicatiile wrapper
> sunt inexistente sau chinezarii de windows, dar macar nu mai depinzi de
> device-uri hardware opace. La aplicatia pentru primarii la care lucrez de
> ceva vreme ne integram cu doi provideri locali care folosesc asa ceva,
> suportul e execrabil dar macar exista documentatie scrisa. Cu aceasta
> ocazie tin sa mentionez cat de trist e ecosistemul de aplicatii open-source
> care lucreaza cu pdf-uri semnate compatibil EIDAS, ca end-user ajungi
> foarte repede sa-ti bagi picioarele si sa pui Acrobat, preferabil pe
> Windows ca sa mearga (TM).
>
> --
> P.
> _______________________________________________
> RLUG mailing list
> RLUG at lists.lug.ro
> http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
>


More information about the RLUG mailing list