#pkcs11 — Public Fediverse posts on home.social

Habr @[email protected] · 2026-02-17 · 07:02 UTC

Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 4

Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью алгоритмов ГОСТ Р 34.10-2012 В третьей части мы настроили защиту мастер-ключа с помощью USB-токена, используя RSA, но теперь мы перейдем на алгоритмы ГОСТ Р 34.10-2012. Жаркие. Зимние. Твои. А еще они основаны на более перспективных эллиптических кривых, которым не нужны такие большие ключи, чтобы обеспечить более высокий уровень безопасности.

https://habr.com/ru/companies/aktiv-company/articles/996516/

#linux #luks #полнодисковое_шифрование #рутокен #plymouth #openssl #pkcs11 #encrypt #bitlocker #гост_34102012

#гост_34102012 #bitlocker #encrypt #pkcs11 #openssl #plymouth

Habr @[email protected] · 2026-02-13 · 06:52 UTC

Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 3

Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью USB-токена на примере Рутокен ЭЦП 3.0 Из второй части мы узнали, как настроить загрузку компьютера таким образом, чтобы для разблокирования системного диска использовались ключи, размещенные на внешнем USB-накопителе. Однако при краже компьютера вместе с этим накопителем злоумышленник сможет получить доступ к данным так, как если бы они не были защищены вовсе, поэтому наиболее привлекательным способом решения поставленной задачи видится использование USB-токенов и смарт-карт, таких как Рутокен ЭЦП 3.0 или JaCarta-2 ГОСТ. Токены представляют собой защищенные микроконтроллеры со встроенной энергонезависимой памятью, поэтому способны выполнять все вычисления самостоятельно без использования ресурсов центрального процессора, не допуская копирование закрытого ключа с устройства, что обеспечивает максимально высокий уровень безопасности.

https://habr.com/ru/companies/aktiv-company/articles/994834/

#linux #luks #полнодисковое_шифрование #рутокен #plymouth #rsa #openssl #pkcs11 #encrypt #bitlocker

#bitlocker #encrypt #pkcs11 #openssl #rsa #plymouth

Andreas Plach @[email protected] · 2026-02-10 · 15:58 UTC

There are three new guides around Crypto and Linux on IBM Z.
You can find the publication here:
Set up openCryptoki : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-apache-http-server-pkcs11-providers

Set up an Apache HTTP Server with PKCS#11 providers : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-apache-http-server-pkcs11-providers

Set up an nginx web server with PKCS#11 providers : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-nginx-web-server-pkcs11-providers

#ibm #linux #linuxonZ #ibmz #crypto #pkcs11

#ibm #linux #linuxonz #ibmz #crypto #pkcs11

Clemens @[email protected] · 2026-02-01 · 17:00 UTC

Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg

#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11

#pqc #rpm #sequoia #sequoiapgp #pkcs11 #fosdem

Clemens @[email protected] · 2026-02-01 · 17:00 UTC

Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg

#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11

#fosdem #fosdem2026 #distributions #pqc #rpm #sequoia

Clemens @[email protected] · 2026-02-01 · 17:00 UTC

Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg

#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11

#pqc #rpm #sequoia #sequoiapgp #pkcs11 #fosdem

Clemens @[email protected] · 2026-02-01 · 17:00 UTC

Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg

#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11

#distributions #fosdem2026 #fosdem #pkcs11 #sequoiapgp #sequoia

Clemens @[email protected] · 2026-02-01 · 17:00 UTC

Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg

#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11

#pqc #rpm #sequoia #sequoiapgp #pkcs11 #fosdem

Pontiff Fractal Tiam @[email protected] · 2026-01-27 · 15:49 UTC

I was told that my idea already exists:

https://words.filippo.io/passage/

Same name, same approach by @filippo.

I should've done the research before developing an idea that already exists.

Well, it's too late, I've got the same thing, same name, but implemented in go. To be fair, my approach works with any hardware token that supports PKCS#11 and not only yubikey.

#age #pkcs11 #pass #passwordmanager

Petr Menšík :fedora: @pemensik · 2025-11-17 · 09:45 UTC

#Systemd #credentials system is relatively interesting thing. I lack some support for storing private keys in a format good for applications. Can it do #pkcs11 URI provider or #FIDO2 token authentication? It seems current implementation focuses on shared secrets - passwords. If we have integrated support with TPM2 chip, I think we should aim for #webauthn instead.

#systemd #credentials #pkcs11 #fido2 #webauthn

Sven Geggus @[email protected] · 2025-10-21 · 13:18 UTC

@iX_Magazin Gibt es eigentlich ein PDF-Tool mit dem man Formulare über #PKCS11 digital signieren kann? Dafür brauche ich bisher nämlich leider immer noch ein Windows mit Acrobat-Reader auf das ich per RDP zugreife.

#pkcs11

jakob 🇦🇹 ✅ @[email protected] · 2025-09-12 · 03:59 UTC

#Ubuntu24 verweigerte heute nach einem Reboot die Nutzung meines #Yubikeys.
Ich konnte mich als mit #pkcs11 nicht mehr an meinen Servern per ssh anmelden.

Eine hängengebliebene Filesystem-Action eines Remote-Filesystems verhinderte offenbar, dass Linux meinen Laptop nicht schlafen schicken konnte... Totem ließ sich nicht beenden vom Kernel... aber das ist eine andere Geschichte. Jedenfalls schaltete sich mein Laptop nicht ab bis der Akku leer war.

In einem Anfall seniler Bettflucht hab ich meinen Laptop hergenommen und wollte checken, warum Friendica nur mehr blurred Vorschaubilder anzeigt (Spoiler, das Debuglog eines anderen Services füllte mir die Platte an...) und mein ssh-agent verweigerte das Hinzufügen des Yubikeys. Standhaft.

Ein Blick ins Journal ergab dann folgende Seltsamkeit:

Sep 12 04:34:02 AET-1931 pcscd[24807]: 99999999 auth.c:143:IsClientAuthorized() Process 36310 (user: 2000) is NOT authorized for action: access_pcsc
Sep 12 04:34:02 AET-1931 pcscd[24807]: 00000197 winscard_svc.c:355:ContextThread() Rejected unauthorized PC/SC client

Ein Restart von pcscd brachte keine Erlösung.
Ein Reboot übrigens auch nicht.

Also weitersuchen. Aufgrund der Recherchen einmal

opensc-tool --list-readers
No smart card readers found.

Shice... und was sagt gpg?

gpg --card-status
gpg: selecting card failed: Kein passendes Gerät gefunden
gpg: OpenPGP Karte ist nicht vorhanden: Kein passendes Gerät gefunden

Das Journal dazu befragt... scdaemon erkennt meine Smartcards, aber pcscd verweigert meinem User den Zugriff.

Also mal als Root... ja, da liefert opensc-tool meine Smartcards.

Dann eine noch seltsamere Erkenntnis...
In tmux ausgeführt, verweigert pcscd die Abfrage mit opensc-tool, in der normalen Bash gibts aber ein Ergebnis... meine Token sind da.

Dann hab ich meinen SafeNet eToken ausprobiert... der ließ sich wunderbar zum ssh-agent hinzufügen... gut, der nutzt aber auch den scdaemon bzw. pcscd nicht (extra Ausnahme in der Config).

Schließlich wurde ich auf bugs.debian.org/cgi-bin/bugrep… fündig. Offenbar wurden bei Polkit Rules entfernt, die es Usern erlauben, pcscd/Smartcards zu nutzen... am 8. September beim Update wurde /usr/share/polkit-1/rules.d/sssd-pcsc.rules so geändert, dass die Rule nur mehr für Root zieht. Da wurde das File zumindest aktualisert.
Und heut erst wurde die Änderung durch den Zwangsreboot schlagend...

Die Lösung war auf jeden Fall folgende:
Ich hab ein File /etc/polkit-1/rules.d/40-allow-pcscd.rules

# cat 40-allow-pcscd.rules 
polkit.addRule(function(action, subject) {
    if (
        subject.isInGroup("plugdev")
        && (
            action.id === "org.debian.pcsc-lite.access_pcsc"
            || action.id === "org.debian.pcsc-lite.access_card"
        )
    ) {
        return polkit.Result.YES;
    }

    return polkit.Result.NOT_HANDLED;
});

erstellt und meinen User der Gruppe plugdev hinzugefügt. Ab/Anmelden, damit die Gruppenänderung zieht... und schon konnte ich meinen Yubikey wieder für die Authentifikation für ssh-Verbindungen nutzen.

Aber warum gpg am Yubikey nicht mehr funktioniert... bleibt mir auch ein Rätsel.

#ubuntu24 #pkcs11 #yubikeys

Klaus Frank @[email protected] · 2025-08-17 · 16:19 UTC

Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.

Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
????

#smartcard #gpg #pkcs11 #opensc

Klaus Frank @[email protected] · 2025-08-17 · 16:19 UTC

Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.

Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
????

#smartcard #gpg #pkcs11 #opensc

Klaus Frank @[email protected] · 2025-08-17 · 16:19 UTC

Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.

Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
????

#smartcard #gpg #pkcs11 #opensc

Klaus Frank @[email protected] · 2025-08-17 · 16:19 UTC

Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.

Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
????

#smartcard #gpg #pkcs11 #opensc

#opensc #pkcs11 #gpg #smartcard

Klaus Frank @[email protected] · 2025-08-17 · 16:19 UTC

Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.

Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
????

#smartcard #gpg #pkcs11 #opensc

OpenSoul ✅ @[email protected] · 2025-01-06 · 11:14 UTC

Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema