Smartcards
This page explains how to setup your system in order to use a smart card reader.
Contents
Installation
If the card reader does not have a PIN pad, append the line(s) and set enable_pinpad = false in the opensc configuration file /etc/opensc.conf .
Start and/or enable the pcscd.service .
Scan for card reader
Install pcsc-tools and start the pcsc_scan utility, then connect the Smart card reader and finally insert a card. If you see output like this, the smart card reader and also the card have been successfully recognized.
Configuration
Mozilla Firefox
The browser needs to set the new security-related device. Open the Security Devices page (reach it via Preferences, Privacy & Security, Certificates), then click Load and set the Module Name to CAC Module and module filename to /usr/lib/opensc-pkcs11.so .
Chromium
Chromium uses NSS. Open a shell in your home directory and verify that the CAC Module is not already present:
If not, close any browser and add the module (an user interaction for confirmation is required):
Check for the correct execution of the command:
Tips and tricks
Smargo/TV Card reader
When interfacing with a TV-card for live TV and recording (PVR/DVR), you may need to assign the smartcard reader to the video user group allowing decryption. When using a Smargo Smartreader consider the following udev rule:
Set /dev/smargo as the reader device when using softcam applications like OSCam.
p11tool
If using packages from the GnuTLS suite, such as p11tool, the the OpenSC driver might not properly load. (This can be determined if you run p11tool —list-tokens and you do not see your hardware token in the list.) Users can create a file that allows the OpenSC driver to be properly loaded:
Troubleshooting
Firefox can’t access data
If the browser is not able to use the smart card data, probably it is not aware of the service which provides access to the device. This happens if you plug in the smart card reader after you open Firefox. To solve this issue, simply restart Firefox.
How to check that smart card is working on linux?
I’ve a PKCS-11 supported smartcard? I just want to check that my the smartcard is working fine or not. How can check it on Ubuntu? Please guide me. what software I can use? how what steps should I follow?
2 Answers 2
It is important to understand that PKCS#11 standard just defines the C language API to access smartcards and other types of cryptographic hardware (or even software). It is usually hardware vendor who provides software library (.dll for windows, .so for unix etc.) that implements PKCS#11 API and is able to access the hardware (smartcard in your case). Your application usually loads PKCS#11 library and uses PKCS#11 API functions it provides.
In most cases it is the best to use PKCS#11 library provided by your smartcard vendor but there are also many independent software vendors such as A.E.T. or Aloaha who provide smartcard middleware (software package that usually contains PKCS#11 library) that can access a bunch of widely used smartcards. You can also take a look at OpenSC project which provides an open source PKCS#11 library that supports many popular smartcards and USB tokens.
Now let’s get back to your questions:
Do I have a PKCS-11 supported smartcard?
You have to check whether there exists a library (open source or commercial) that implements PKCS#11 API and supports your smartcard. If you can find such a library then the answer is yes.
How can I check it on Ubuntu?
If you already have PKCS#11 library then you can install «opensc» package which provides command line application called «pkcs11-tool». You can use following command to list readers and cards accessible via your PKCS#11 library:
If you want to use PKCS#11 library provided by OpenSC project then just replace «your_pkcs11_library.so» with «opensc-pkcs11.so».
PKCS#11 is widely supported standard so this question is hard to answer. I guess you would like to use open source applications with your smartcard because you have mentioned Ubuntu so here is the short list of well known applications that support PKCS#11:
- Mozilla Firefox — supports digital signature and client authentication
- Mozilla Thunderbird — supports digital signing of e-mails
- LibreOffice — supports digital signing of documents
- TrueCrypt — supports disk encryption
- OpenVPN — supports client authentication
- OpenSSH — supports client authentication
Операционные системы Astra Linux
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.
Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.
Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .
На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.
Использование смарткарт под Linux (Страница 2 из 2)
Форум Рутокен → Рутокен для Linux → Использование смарткарт под Linux
Страницы Назад 1 2
Сообщений с 16 по 30 из 30
#16 Ответ от sanyo 2020-09-09 02:25:58 (2020-09-09 02:28:00 отредактировано sanyo)
Re: Использование смарткарт под Linux
Со считывателем ACR3901U-H3 смарт-карты Рутокен работать должны.
С новым считывателем опять проблемы:
но кое что все же заработало, в т.ч. rtadmin -f.
Причем самое главное, что даже:
/usr/sbin/pcscd -afddddd | grep -i rutok
не видит слово Rutoken.
Как видите, рутокенов там более, чем достаточно.
#17 Ответ от Евгений Мироненко 2020-09-09 12:21:06
Re: Использование смарткарт под Linux
sanyo, добрый день!
Указанный вами вывод pcsc_scan не содержит ошибок. Считыватель видится pcscd, карта внутри считывателя присутствует, работает корректно. pcscd работает с USB-устройствами; в вашем случае это считыватель смарт-карт. Любая смарт-карта, вставленная в считыватель, через интерфейс PC/SC будет идентифицироваться как «ACS ACR3901U ICC Reader 00 00» (номер в конце может меняться).
/usr/sbin/pcscd -afddddd | grep -i rutok
не видит слово Rutoken.
Это ожидаемое поведение при использовании считывателя смарт-карт.
#18 Ответ от sanyo 2020-09-09 19:04:49 (2020-09-09 19:17:37 отредактировано sanyo)
Re: Использование смарткарт под Linux
Указанный вами вывод pcsc_scan не содержит ошибок. Считыватель видится pcscd, карта внутри считывателя присутствует, работает корректно. pcscd работает с USB-устройствами; в вашем случае это считыватель смарт-карт. Любая смарт-карта, вставленная в считыватель, через интерфейс PC/SC будет идентифицироваться как «ACS ACR3901U ICC Reader 00 00» (номер в конце может меняться).
/usr/sbin/pcscd -afddddd | grep -i rutok
не видит слово Rutoken.
Это ожидаемое поведение при использовании считывателя смарт-карт.
Добрый вечер Евгений,
Ну как же не содержит ошибок? Почему в вашей же инструкции:
https://www.rutoken.ru/download/manual/ … _Linux.pdf
на странице 9 указано, что вывод смарткарты должен содержать: Rutoken ECP SC, а у меня пишет «Неизвестная смарткарта»?
Судя по всему как раз из-за этого отказывается работать открытый драйвер PKCS11 OpenSC, а если указать другой ваш проприетарный драйвер принудительно через путь к вашей библиотеке, то карта работает, но частично, например происходит сбой при попытке генерации ключей:
Использовать карту в таком режиме абсолютно невозможно, что мне делать? Мне срочно нужно, чтобы она заработала с OpenSSH.
На каком считывателе вы их сами то проверяли свои смарткарты? Почему явно не указать АБСОЛЮТНО ТОЧНО СОВМЕСТИМЫЕ считыватели? Я ведь не миллионер перебирать все возможные считыватели из интернет магазинов, да еще доставка каждого недели 2 с момента заказа.
ACS ACR3901U H3 — далеко не самый дешевый считыватель, а бюджет у меня очень скромный на данный момент времени.
#19 Ответ от Евгений Мироненко 2020-09-09 21:09:08 (2020-09-09 21:09:52 отредактировано Евгений Мироненко)
Re: Использование смарткарт под Linux
Ну как же не содержит ошибок? Почему в вашей же инструкции:
https://www.rutoken.ru/download/manual/ … _Linux.pdf
на странице 9 указано, что вывод смарткарты должен содержать: Rutoken ECP SC, а у меня пишет «Неизвестная смарткарта»?
Possibly identified card (using /root/.cache/smartcard_list.txt):
NONE
Your card is not present in the database.
Please submit your unknown card at:
http://smartcard-atr.appspot.com/parse? … 4543507363
На самом деле, конкретно этот факт говорит только о неправильной работе утилиты pcsc_scan (и это не связано ни со считывателем, ни с картой).
Полагаю, по каким-то причинам у вас был поврежден файл /root/.cache/smartcard_list.txt. Возможно, он остался с установки предыдущей версии pcsc-tools. Не могли бы показать его содержимое?
pcsc_scan выполняет загрузку новой версии списка смарт-карт с адреса http://ludovic.rousseau.free.fr/softwar … d_list.txt, если не находит старую версию.
#20 Ответ от sanyo 2020-09-10 01:25:47
Re: Использование смарткарт под Linux
Ну как же не содержит ошибок? Почему в вашей же инструкции:
https://www.rutoken.ru/download/manual/ … _Linux.pdf
на странице 9 указано, что вывод смарткарты должен содержать: Rutoken ECP SC, а у меня пишет «Неизвестная смарткарта»?
Possibly identified card (using /root/.cache/smartcard_list.txt):
NONE
Your card is not present in the database.
Please submit your unknown card at:
http://smartcard-atr.appspot.com/parse? … 4543507363
На самом деле, конкретно этот факт говорит только о неправильной работе утилиты pcsc_scan (и это не связано ни со считывателем, ни с картой).
Полагаю, по каким-то причинам у вас был поврежден файл /root/.cache/smartcard_list.txt. Возможно, он остался с установки предыдущей версии pcsc-tools. Не могли бы показать его содержимое?
pcsc_scan выполняет загрузку новой версии списка смарт-карт с адреса http://ludovic.rousseau.free.fr/softwar … d_list.txt, если не находит старую версию.
Этот файл /root/.cache/smartcard_list.txt у меня почему-то всегда пустой, хотя где-то есть установленный непустой и я даже пробовал уже их оба заменить вручную скачанным с ludovic.rousseau.free.fr, но это не помогло, /root/.cache/smartcard_list.txt опять стал пустой.
#21 Ответ от sanyo 2020-09-10 01:27:02 (2020-09-10 01:57:24 отредактировано sanyo)
Re: Использование смарткарт под Linux
А хотя забавно, вот только что полностью удалил файл из кэша и стало определяться, ну и ну.
А еще забавнее то, что OpenSC вашу карту по прежнему не признает:
Обнаружил, что файл кэша списка карт становится пустым, если не смог определить карту (например Рутокен ЭЦП2 Микрон) даже после ранее определенной карты (например Рутокен ЭЦП2 ФСБ).
Знал бы заранее про все эти приключения со смарткартами и то, что SafeTouch PRO не работает с RSA для OpenSSH ни за что бы не связался со смарткартами, у меня есть ваш USB Рутокен ECP2 Touch, так вот не считая инцидента с перегревом в очень жаркий день, он работает исключительно хорошо и стабильно. Все таки почему-то интегрированные считыватели как то особенно хорошо интегрированны, а кстати что за считыватель там внутри Рутокен USB? Есть аналоги неинтегированных? Почему вы секретничаете, на каком считывателе проверяете свои смарткарты? Или вы их вообще не проверяте ? 🙂
Как же теперь добиться работы OpenSC?
opensc-tool -n
Мне ваши карты для работы с OpenSSH были нужны не столько под Linux, сколько под OpenBSD, а там, насколько я понимаю, только OpenSC?
После решения проблемы с моими картами (я все же надеюсь, что удастся пофиксить какой-то баг в вашем проприетарном модуле PKCS11) не могли бы вы, пожалуйста, потом собрать свои проприетарные библиотеки PKCS11 для OpenBSD 6.7 под архитектуры ARMv7 (Beagle Bone Black Cortex A8 Texas Instruments Sitara CPU as a SoC) и под i386 Pentium1?