On Thu, Jul 2, 2020 at 8:28 AM Mihai Badici <mi...@badici.ro> wrote: > > On 7/2/20 8:10 AM, Petru Rațiu wrote: > > Pana acum n-a mentionat nimeni asta, dar pt. smartcarduri iti trebuie un > > .so pe care il dai ca modul oricarei aplicatii care implementeaza PKCS11. > > Modulul se ocupa de comunicatia low-level cu device-ul, fara el cam > > vorbesti singur. Daca stickul expune un drive, posibil sa fie pe el > > disponibil modulul cu pricina, dar nu as fi foarte surprins sa nu aiba > > pentru Linux sau sa aiba niste versiuni antice pentru glibc vechi. > Personal > > n-am auzit de Longmai astia pana acum, asa ca nu pot sa zic ca am avut > de a > > face, dar experienta seamana cu alte smartcarduri cu care am lucrat. > > > Păi deci până la urmă care ar trebui să fie procedura? > > Montează stickul ca drive, copiază acel .so după care rulează modeswitch? > > Că eu în udev rules nu văd să ruleze un script, ceva, doar niște > permisiuni. > > Eu la alea cu care am lucrat n-am avut nici o treaba cu udev sau modeswitch, din cate stiu nu e nici un device secret pe care sa-l poti accesa direct. Am copiat .so-ul undeva in sistem ( prin /usr/local/lib e preferinta personala ) si am dat calea catre el ca parametru la aplicatia cu care voiam sa fac operatiuni criptografice (in Firefox de exemplu il incarci ca device in Preferences -> Security -> Certificates -> Security Devices -> Load ... ). Din cate imi dau seama modulul se descurca el sa identifice device-ul pe USB si vorbeste direct cu el. Regulile alea de udev probabil sunt acolo pentru ca micul chinez a embedat si un storage read-only. Dar in general modulul ala e cheia si e strans legat de model, aplicatiile generice sunt cam hit-and-miss, vrei ceva confirmat de producator ca e compatibil cu "obiectul" pe care il ai.
Sugestia mea este ca nu mai suntem in 2003, suportul pe Linux nu mai e ceva pt. care sa zicem sarumana conasule, spuneti sus si tare la provideri ca e un criteriu decisiv. Lucrurile astea se aduna si daca suntem destui or sa inceapa sa aiba si modele suportate pe bune. O alternativa interesanta cu care am lucrat in ultima vreme este "cloud signature". Practic certificatul tau calificat ramane pe HSM-ul providerului si ai un web api prin care poti ordona operatiuni cu el, confirmate via OTP pe telefon. Problema si aici e ca aplicatiile wrapper sunt inexistente sau chinezarii de windows, dar macar nu mai depinzi de device-uri hardware opace. La aplicatia pentru primarii la care lucrez de ceva vreme ne integram cu doi provideri locali care folosesc asa ceva, suportul e execrabil dar macar exista documentatie scrisa. Cu aceasta ocazie tin sa mentionez cat de trist e ecosistemul de aplicatii open-source care lucreaza cu pdf-uri semnate compatibil EIDAS, ca end-user ajungi foarte repede sa-ti bagi picioarele si sa pui Acrobat, preferabil pe Windows ca sa mearga (TM). -- P. _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
