#pkcs11 — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #pkcs11, aggregated by home.social.
-
Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 4
Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью алгоритмов ГОСТ Р 34.10-2012 В третьей части мы настроили защиту мастер-ключа с помощью USB-токена, используя RSA, но теперь мы перейдем на алгоритмы ГОСТ Р 34.10-2012. Жаркие. Зимние. Твои. А еще они основаны на более перспективных эллиптических кривых, которым не нужны такие большие ключи, чтобы обеспечить более высокий уровень безопасности.
https://habr.com/ru/companies/aktiv-company/articles/996516/
#linux #luks #полнодисковое_шифрование #рутокен #plymouth #openssl #pkcs11 #encrypt #bitlocker #гост_34102012
-
Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 4
Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью алгоритмов ГОСТ Р 34.10-2012 В третьей части мы настроили защиту мастер-ключа с помощью USB-токена, используя RSA, но теперь мы перейдем на алгоритмы ГОСТ Р 34.10-2012. Жаркие. Зимние. Твои. А еще они основаны на более перспективных эллиптических кривых, которым не нужны такие большие ключи, чтобы обеспечить более высокий уровень безопасности.
https://habr.com/ru/companies/aktiv-company/articles/996516/
#linux #luks #полнодисковое_шифрование #рутокен #plymouth #openssl #pkcs11 #encrypt #bitlocker #гост_34102012
-
Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 4
Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью алгоритмов ГОСТ Р 34.10-2012 В третьей части мы настроили защиту мастер-ключа с помощью USB-токена, используя RSA, но теперь мы перейдем на алгоритмы ГОСТ Р 34.10-2012. Жаркие. Зимние. Твои. А еще они основаны на более перспективных эллиптических кривых, которым не нужны такие большие ключи, чтобы обеспечить более высокий уровень безопасности.
https://habr.com/ru/companies/aktiv-company/articles/996516/
#linux #luks #полнодисковое_шифрование #рутокен #plymouth #openssl #pkcs11 #encrypt #bitlocker #гост_34102012
-
Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 4
Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью алгоритмов ГОСТ Р 34.10-2012 В третьей части мы настроили защиту мастер-ключа с помощью USB-токена, используя RSA, но теперь мы перейдем на алгоритмы ГОСТ Р 34.10-2012. Жаркие. Зимние. Твои. А еще они основаны на более перспективных эллиптических кривых, которым не нужны такие большие ключи, чтобы обеспечить более высокий уровень безопасности.
https://habr.com/ru/companies/aktiv-company/articles/996516/
#linux #luks #полнодисковое_шифрование #рутокен #plymouth #openssl #pkcs11 #encrypt #bitlocker #гост_34102012
-
Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 3
Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью USB-токена на примере Рутокен ЭЦП 3.0 Из второй части мы узнали, как настроить загрузку компьютера таким образом, чтобы для разблокирования системного диска использовались ключи, размещенные на внешнем USB-накопителе. Однако при краже компьютера вместе с этим накопителем злоумышленник сможет получить доступ к данным так, как если бы они не были защищены вовсе, поэтому наиболее привлекательным способом решения поставленной задачи видится использование USB-токенов и смарт-карт, таких как Рутокен ЭЦП 3.0 или JaCarta-2 ГОСТ. Токены представляют собой защищенные микроконтроллеры со встроенной энергонезависимой памятью, поэтому способны выполнять все вычисления самостоятельно без использования ресурсов центрального процессора, не допуская копирование закрытого ключа с устройства, что обеспечивает максимально высокий уровень безопасности.
https://habr.com/ru/companies/aktiv-company/articles/994834/
#linux #luks #полнодисковое_шифрование #рутокен #plymouth #rsa #openssl #pkcs11 #encrypt #bitlocker
-
Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 3
Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью USB-токена на примере Рутокен ЭЦП 3.0 Из второй части мы узнали, как настроить загрузку компьютера таким образом, чтобы для разблокирования системного диска использовались ключи, размещенные на внешнем USB-накопителе. Однако при краже компьютера вместе с этим накопителем злоумышленник сможет получить доступ к данным так, как если бы они не были защищены вовсе, поэтому наиболее привлекательным способом решения поставленной задачи видится использование USB-токенов и смарт-карт, таких как Рутокен ЭЦП 3.0 или JaCarta-2 ГОСТ. Токены представляют собой защищенные микроконтроллеры со встроенной энергонезависимой памятью, поэтому способны выполнять все вычисления самостоятельно без использования ресурсов центрального процессора, не допуская копирование закрытого ключа с устройства, что обеспечивает максимально высокий уровень безопасности.
https://habr.com/ru/companies/aktiv-company/articles/994834/
#linux #luks #полнодисковое_шифрование #рутокен #plymouth #rsa #openssl #pkcs11 #encrypt #bitlocker
-
Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 3
Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью USB-токена на примере Рутокен ЭЦП 3.0 Из второй части мы узнали, как настроить загрузку компьютера таким образом, чтобы для разблокирования системного диска использовались ключи, размещенные на внешнем USB-накопителе. Однако при краже компьютера вместе с этим накопителем злоумышленник сможет получить доступ к данным так, как если бы они не были защищены вовсе, поэтому наиболее привлекательным способом решения поставленной задачи видится использование USB-токенов и смарт-карт, таких как Рутокен ЭЦП 3.0 или JaCarta-2 ГОСТ. Токены представляют собой защищенные микроконтроллеры со встроенной энергонезависимой памятью, поэтому способны выполнять все вычисления самостоятельно без использования ресурсов центрального процессора, не допуская копирование закрытого ключа с устройства, что обеспечивает максимально высокий уровень безопасности.
https://habr.com/ru/companies/aktiv-company/articles/994834/
#linux #luks #полнодисковое_шифрование #рутокен #plymouth #rsa #openssl #pkcs11 #encrypt #bitlocker
-
Как защитить ключи LUKS с помощью Рутокен ЭЦП 3.0 и алгоритмов ГОСТ Р 34.10-2012. Часть 3
Безопасная эксплуатация ноутбуков, или Защита пользовательского ключа с помощью USB-токена на примере Рутокен ЭЦП 3.0 Из второй части мы узнали, как настроить загрузку компьютера таким образом, чтобы для разблокирования системного диска использовались ключи, размещенные на внешнем USB-накопителе. Однако при краже компьютера вместе с этим накопителем злоумышленник сможет получить доступ к данным так, как если бы они не были защищены вовсе, поэтому наиболее привлекательным способом решения поставленной задачи видится использование USB-токенов и смарт-карт, таких как Рутокен ЭЦП 3.0 или JaCarta-2 ГОСТ. Токены представляют собой защищенные микроконтроллеры со встроенной энергонезависимой памятью, поэтому способны выполнять все вычисления самостоятельно без использования ресурсов центрального процессора, не допуская копирование закрытого ключа с устройства, что обеспечивает максимально высокий уровень безопасности.
https://habr.com/ru/companies/aktiv-company/articles/994834/
#linux #luks #полнодисковое_шифрование #рутокен #plymouth #rsa #openssl #pkcs11 #encrypt #bitlocker
-
There are three new guides around Crypto and Linux on IBM Z.
You can find the publication here:
Set up openCryptoki : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-apache-http-server-pkcs11-providersSet up an Apache HTTP Server with PKCS#11 providers : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-apache-http-server-pkcs11-providers
Set up an nginx web server with PKCS#11 providers : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-nginx-web-server-pkcs11-providers
-
There are three new guides around Crypto and Linux on IBM Z.
You can find the publication here:
Set up openCryptoki : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-apache-http-server-pkcs11-providersSet up an Apache HTTP Server with PKCS#11 providers : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-apache-http-server-pkcs11-providers
Set up an nginx web server with PKCS#11 providers : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-nginx-web-server-pkcs11-providers
-
There are three new guides around Crypto and Linux on IBM Z.
You can find the publication here:
Set up openCryptoki : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-apache-http-server-pkcs11-providersSet up an Apache HTTP Server with PKCS#11 providers : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-apache-http-server-pkcs11-providers
Set up an nginx web server with PKCS#11 providers : https://www.ibm.com/docs/en/solution-assurance?topic=security-set-up-nginx-web-server-pkcs11-providers
-
Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg
#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11
-
Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg
#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11
-
Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg
#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11
-
Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg
#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11
-
Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg
#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11
-
I was told that my idea already exists:
https://words.filippo.io/passage/
Same name, same approach by @filippo.
I should've done the research before developing an idea that already exists.
Well, it's too late, I've got the same thing, same name, but implemented in go. To be fair, my approach works with any hardware token that supports PKCS#11 and not only yubikey.
-
I was told that my idea already exists:
https://words.filippo.io/passage/
Same name, same approach by @filippo.
I should've done the research before developing an idea that already exists.
Well, it's too late, I've got the same thing, same name, but implemented in go. To be fair, my approach works with any hardware token that supports PKCS#11 and not only yubikey.
-
I was told that my idea already exists:
https://words.filippo.io/passage/
Same name, same approach by @filippo.
I should've done the research before developing an idea that already exists.
Well, it's too late, I've got the same thing, same name, but implemented in go. To be fair, my approach works with any hardware token that supports PKCS#11 and not only yubikey.
-
#Systemd #credentials system is relatively interesting thing. I lack some support for storing private keys in a format good for applications. Can it do #pkcs11 URI provider or #FIDO2 token authentication? It seems current implementation focuses on shared secrets - passwords. If we have integrated support with TPM2 chip, I think we should aim for #webauthn instead.
-
#Systemd #credentials system is relatively interesting thing. I lack some support for storing private keys in a format good for applications. Can it do #pkcs11 URI provider or #FIDO2 token authentication? It seems current implementation focuses on shared secrets - passwords. If we have integrated support with TPM2 chip, I think we should aim for #webauthn instead.
-
#Systemd #credentials system is relatively interesting thing. I lack some support for storing private keys in a format good for applications. Can it do #pkcs11 URI provider or #FIDO2 token authentication? It seems current implementation focuses on shared secrets - passwords. If we have integrated support with TPM2 chip, I think we should aim for #webauthn instead.
-
#Systemd #credentials system is relatively interesting thing. I lack some support for storing private keys in a format good for applications. Can it do #pkcs11 URI provider or #FIDO2 token authentication? It seems current implementation focuses on shared secrets - passwords. If we have integrated support with TPM2 chip, I think we should aim for #webauthn instead.
-
#Systemd #credentials system is relatively interesting thing. I lack some support for storing private keys in a format good for applications. Can it do #pkcs11 URI provider or #FIDO2 token authentication? It seems current implementation focuses on shared secrets - passwords. If we have integrated support with TPM2 chip, I think we should aim for #webauthn instead.
-
@iX_Magazin Gibt es eigentlich ein PDF-Tool mit dem man Formulare über #PKCS11 digital signieren kann? Dafür brauche ich bisher nämlich leider immer noch ein Windows mit Acrobat-Reader auf das ich per RDP zugreife.
-
@iX_Magazin Gibt es eigentlich ein PDF-Tool mit dem man Formulare über #PKCS11 digital signieren kann? Dafür brauche ich bisher nämlich leider immer noch ein Windows mit Acrobat-Reader auf das ich per RDP zugreife.
-
@iX_Magazin Gibt es eigentlich ein PDF-Tool mit dem man Formulare über #PKCS11 digital signieren kann? Dafür brauche ich bisher nämlich leider immer noch ein Windows mit Acrobat-Reader auf das ich per RDP zugreife.
-
@iX_Magazin Gibt es eigentlich ein PDF-Tool mit dem man Formulare über #PKCS11 digital signieren kann? Dafür brauche ich bisher nämlich leider immer noch ein Windows mit Acrobat-Reader auf das ich per RDP zugreife.
-
@iX_Magazin Gibt es eigentlich ein PDF-Tool mit dem man Formulare über #PKCS11 digital signieren kann? Dafür brauche ich bisher nämlich leider immer noch ein Windows mit Acrobat-Reader auf das ich per RDP zugreife.
-
#Ubuntu24 verweigerte heute nach einem Reboot die Nutzung meines #Yubikeys.
Ich konnte mich als mit #pkcs11 nicht mehr an meinen Servern per ssh anmelden.Eine hängengebliebene Filesystem-Action eines Remote-Filesystems verhinderte offenbar, dass Linux meinen Laptop nicht schlafen schicken konnte... Totem ließ sich nicht beenden vom Kernel... aber das ist eine andere Geschichte. Jedenfalls schaltete sich mein Laptop nicht ab bis der Akku leer war.
In einem Anfall seniler Bettflucht hab ich meinen Laptop hergenommen und wollte checken, warum Friendica nur mehr blurred Vorschaubilder anzeigt (Spoiler, das Debuglog eines anderen Services füllte mir die Platte an...) und mein ssh-agent verweigerte das Hinzufügen des Yubikeys. Standhaft.
Ein Blick ins Journal ergab dann folgende Seltsamkeit:
Sep 12 04:34:02 AET-1931 pcscd[24807]: 99999999 auth.c:143:IsClientAuthorized() Process 36310 (user: 2000) is NOT authorized for action: access_pcsc Sep 12 04:34:02 AET-1931 pcscd[24807]: 00000197 winscard_svc.c:355:ContextThread() Rejected unauthorized PC/SC clientEin Restart von pcscd brachte keine Erlösung.
Ein Reboot übrigens auch nicht.Also weitersuchen. Aufgrund der Recherchen einmal
opensc-tool --list-readers No smart card readers found.Shice... und was sagt gpg?
gpg --card-status gpg: selecting card failed: Kein passendes Gerät gefunden gpg: OpenPGP Karte ist nicht vorhanden: Kein passendes Gerät gefundenDas Journal dazu befragt... scdaemon erkennt meine Smartcards, aber pcscd verweigert meinem User den Zugriff.
Also mal als Root... ja, da liefert opensc-tool meine Smartcards.
Dann eine noch seltsamere Erkenntnis...
In tmux ausgeführt, verweigert pcscd die Abfrage mit opensc-tool, in der normalen Bash gibts aber ein Ergebnis... meine Token sind da.Dann hab ich meinen SafeNet eToken ausprobiert... der ließ sich wunderbar zum ssh-agent hinzufügen... gut, der nutzt aber auch den scdaemon bzw. pcscd nicht (extra Ausnahme in der Config).
Schließlich wurde ich auf bugs.debian.org/cgi-bin/bugrep… fündig. Offenbar wurden bei Polkit Rules entfernt, die es Usern erlauben, pcscd/Smartcards zu nutzen... am 8. September beim Update wurde /usr/share/polkit-1/rules.d/sssd-pcsc.rules so geändert, dass die Rule nur mehr für Root zieht. Da wurde das File zumindest aktualisert.
Und heut erst wurde die Änderung durch den Zwangsreboot schlagend...Die Lösung war auf jeden Fall folgende:
Ich hab ein File /etc/polkit-1/rules.d/40-allow-pcscd.rules# cat 40-allow-pcscd.rules polkit.addRule(function(action, subject) { if ( subject.isInGroup("plugdev") && ( action.id === "org.debian.pcsc-lite.access_pcsc" || action.id === "org.debian.pcsc-lite.access_card" ) ) { return polkit.Result.YES; } return polkit.Result.NOT_HANDLED; });
erstellt und meinen User der Gruppe plugdev hinzugefügt. Ab/Anmelden, damit die Gruppenänderung zieht... und schon konnte ich meinen Yubikey wieder für die Authentifikation für ssh-Verbindungen nutzen.Aber warum gpg am Yubikey nicht mehr funktioniert... bleibt mir auch ein Rätsel.
-
#Ubuntu24 verweigerte heute nach einem Reboot die Nutzung meines #Yubikeys.
Ich konnte mich als mit #pkcs11 nicht mehr an meinen Servern per ssh anmelden.Eine hängengebliebene Filesystem-Action eines Remote-Filesystems verhinderte offenbar, dass Linux meinen Laptop nicht schlafen schicken konnte... Totem ließ sich nicht beenden vom Kernel... aber das ist eine andere Geschichte. Jedenfalls schaltete sich mein Laptop nicht ab bis der Akku leer war.
In einem Anfall seniler Bettflucht hab ich meinen Laptop hergenommen und wollte checken, warum Friendica nur mehr blurred Vorschaubilder anzeigt (Spoiler, das Debuglog eines anderen Services füllte mir die Platte an...) und mein ssh-agent verweigerte das Hinzufügen des Yubikeys. Standhaft.
Ein Blick ins Journal ergab dann folgende Seltsamkeit:
Sep 12 04:34:02 AET-1931 pcscd[24807]: 99999999 auth.c:143:IsClientAuthorized() Process 36310 (user: 2000) is NOT authorized for action: access_pcsc Sep 12 04:34:02 AET-1931 pcscd[24807]: 00000197 winscard_svc.c:355:ContextThread() Rejected unauthorized PC/SC clientEin Restart von pcscd brachte keine Erlösung.
Ein Reboot übrigens auch nicht.Also weitersuchen. Aufgrund der Recherchen einmal
opensc-tool --list-readers No smart card readers found.Shice... und was sagt gpg?
gpg --card-status gpg: selecting card failed: Kein passendes Gerät gefunden gpg: OpenPGP Karte ist nicht vorhanden: Kein passendes Gerät gefundenDas Journal dazu befragt... scdaemon erkennt meine Smartcards, aber pcscd verweigert meinem User den Zugriff.
Also mal als Root... ja, da liefert opensc-tool meine Smartcards.
Dann eine noch seltsamere Erkenntnis...
In tmux ausgeführt, verweigert pcscd die Abfrage mit opensc-tool, in der normalen Bash gibts aber ein Ergebnis... meine Token sind da.Dann hab ich meinen SafeNet eToken ausprobiert... der ließ sich wunderbar zum ssh-agent hinzufügen... gut, der nutzt aber auch den scdaemon bzw. pcscd nicht (extra Ausnahme in der Config).
Schließlich wurde ich auf bugs.debian.org/cgi-bin/bugrep… fündig. Offenbar wurden bei Polkit Rules entfernt, die es Usern erlauben, pcscd/Smartcards zu nutzen... am 8. September beim Update wurde /usr/share/polkit-1/rules.d/sssd-pcsc.rules so geändert, dass die Rule nur mehr für Root zieht. Da wurde das File zumindest aktualisert.
Und heut erst wurde die Änderung durch den Zwangsreboot schlagend...Die Lösung war auf jeden Fall folgende:
Ich hab ein File /etc/polkit-1/rules.d/40-allow-pcscd.rules# cat 40-allow-pcscd.rules polkit.addRule(function(action, subject) { if ( subject.isInGroup("plugdev") && ( action.id === "org.debian.pcsc-lite.access_pcsc" || action.id === "org.debian.pcsc-lite.access_card" ) ) { return polkit.Result.YES; } return polkit.Result.NOT_HANDLED; });
erstellt und meinen User der Gruppe plugdev hinzugefügt. Ab/Anmelden, damit die Gruppenänderung zieht... und schon konnte ich meinen Yubikey wieder für die Authentifikation für ssh-Verbindungen nutzen.Aber warum gpg am Yubikey nicht mehr funktioniert... bleibt mir auch ein Rätsel.
-
#Ubuntu24 verweigerte heute nach einem Reboot die Nutzung meines #Yubikeys.
Ich konnte mich als mit #pkcs11 nicht mehr an meinen Servern per ssh anmelden.Eine hängengebliebene Filesystem-Action eines Remote-Filesystems verhinderte offenbar, dass Linux meinen Laptop nicht schlafen schicken konnte... Totem ließ sich nicht beenden vom Kernel... aber das ist eine andere Geschichte. Jedenfalls schaltete sich mein Laptop nicht ab bis der Akku leer war.
In einem Anfall seniler Bettflucht hab ich meinen Laptop hergenommen und wollte checken, warum Friendica nur mehr blurred Vorschaubilder anzeigt (Spoiler, das Debuglog eines anderen Services füllte mir die Platte an...) und mein ssh-agent verweigerte das Hinzufügen des Yubikeys. Standhaft.
Ein Blick ins Journal ergab dann folgende Seltsamkeit:
Sep 12 04:34:02 AET-1931 pcscd[24807]: 99999999 auth.c:143:IsClientAuthorized() Process 36310 (user: 2000) is NOT authorized for action: access_pcsc Sep 12 04:34:02 AET-1931 pcscd[24807]: 00000197 winscard_svc.c:355:ContextThread() Rejected unauthorized PC/SC clientEin Restart von pcscd brachte keine Erlösung.
Ein Reboot übrigens auch nicht.Also weitersuchen. Aufgrund der Recherchen einmal
opensc-tool --list-readers No smart card readers found.Shice... und was sagt gpg?
gpg --card-status gpg: selecting card failed: Kein passendes Gerät gefunden gpg: OpenPGP Karte ist nicht vorhanden: Kein passendes Gerät gefundenDas Journal dazu befragt... scdaemon erkennt meine Smartcards, aber pcscd verweigert meinem User den Zugriff.
Also mal als Root... ja, da liefert opensc-tool meine Smartcards.
Dann eine noch seltsamere Erkenntnis...
In tmux ausgeführt, verweigert pcscd die Abfrage mit opensc-tool, in der normalen Bash gibts aber ein Ergebnis... meine Token sind da.Dann hab ich meinen SafeNet eToken ausprobiert... der ließ sich wunderbar zum ssh-agent hinzufügen... gut, der nutzt aber auch den scdaemon bzw. pcscd nicht (extra Ausnahme in der Config).
Schließlich wurde ich auf bugs.debian.org/cgi-bin/bugrep… fündig. Offenbar wurden bei Polkit Rules entfernt, die es Usern erlauben, pcscd/Smartcards zu nutzen... am 8. September beim Update wurde /usr/share/polkit-1/rules.d/sssd-pcsc.rules so geändert, dass die Rule nur mehr für Root zieht. Da wurde das File zumindest aktualisert.
Und heut erst wurde die Änderung durch den Zwangsreboot schlagend...Die Lösung war auf jeden Fall folgende:
Ich hab ein File /etc/polkit-1/rules.d/40-allow-pcscd.rules# cat 40-allow-pcscd.rules polkit.addRule(function(action, subject) { if ( subject.isInGroup("plugdev") && ( action.id === "org.debian.pcsc-lite.access_pcsc" || action.id === "org.debian.pcsc-lite.access_card" ) ) { return polkit.Result.YES; } return polkit.Result.NOT_HANDLED; });
erstellt und meinen User der Gruppe plugdev hinzugefügt. Ab/Anmelden, damit die Gruppenänderung zieht... und schon konnte ich meinen Yubikey wieder für die Authentifikation für ssh-Verbindungen nutzen.Aber warum gpg am Yubikey nicht mehr funktioniert... bleibt mir auch ein Rätsel.
-
#Ubuntu24 verweigerte heute nach einem Reboot die Nutzung meines #Yubikeys.
Ich konnte mich als mit #pkcs11 nicht mehr an meinen Servern per ssh anmelden.Eine hängengebliebene Filesystem-Action eines Remote-Filesystems verhinderte offenbar, dass Linux meinen Laptop nicht schlafen schicken konnte... Totem ließ sich nicht beenden vom Kernel... aber das ist eine andere Geschichte. Jedenfalls schaltete sich mein Laptop nicht ab bis der Akku leer war.
In einem Anfall seniler Bettflucht hab ich meinen Laptop hergenommen und wollte checken, warum Friendica nur mehr blurred Vorschaubilder anzeigt (Spoiler, das Debuglog eines anderen Services füllte mir die Platte an...) und mein ssh-agent verweigerte das Hinzufügen des Yubikeys. Standhaft.
Ein Blick ins Journal ergab dann folgende Seltsamkeit:
Sep 12 04:34:02 AET-1931 pcscd[24807]: 99999999 auth.c:143:IsClientAuthorized() Process 36310 (user: 2000) is NOT authorized for action: access_pcsc Sep 12 04:34:02 AET-1931 pcscd[24807]: 00000197 winscard_svc.c:355:ContextThread() Rejected unauthorized PC/SC clientEin Restart von pcscd brachte keine Erlösung.
Ein Reboot übrigens auch nicht.Also weitersuchen. Aufgrund der Recherchen einmal
opensc-tool --list-readers No smart card readers found.Shice... und was sagt gpg?
gpg --card-status gpg: selecting card failed: Kein passendes Gerät gefunden gpg: OpenPGP Karte ist nicht vorhanden: Kein passendes Gerät gefundenDas Journal dazu befragt... scdaemon erkennt meine Smartcards, aber pcscd verweigert meinem User den Zugriff.
Also mal als Root... ja, da liefert opensc-tool meine Smartcards.
Dann eine noch seltsamere Erkenntnis...
In tmux ausgeführt, verweigert pcscd die Abfrage mit opensc-tool, in der normalen Bash gibts aber ein Ergebnis... meine Token sind da.Dann hab ich meinen SafeNet eToken ausprobiert... der ließ sich wunderbar zum ssh-agent hinzufügen... gut, der nutzt aber auch den scdaemon bzw. pcscd nicht (extra Ausnahme in der Config).
Schließlich wurde ich auf bugs.debian.org/cgi-bin/bugrep… fündig. Offenbar wurden bei Polkit Rules entfernt, die es Usern erlauben, pcscd/Smartcards zu nutzen... am 8. September beim Update wurde /usr/share/polkit-1/rules.d/sssd-pcsc.rules so geändert, dass die Rule nur mehr für Root zieht. Da wurde das File zumindest aktualisert.
Und heut erst wurde die Änderung durch den Zwangsreboot schlagend...Die Lösung war auf jeden Fall folgende:
Ich hab ein File /etc/polkit-1/rules.d/40-allow-pcscd.rules# cat 40-allow-pcscd.rules polkit.addRule(function(action, subject) { if ( subject.isInGroup("plugdev") && ( action.id === "org.debian.pcsc-lite.access_pcsc" || action.id === "org.debian.pcsc-lite.access_card" ) ) { return polkit.Result.YES; } return polkit.Result.NOT_HANDLED; });
erstellt und meinen User der Gruppe plugdev hinzugefügt. Ab/Anmelden, damit die Gruppenänderung zieht... und schon konnte ich meinen Yubikey wieder für die Authentifikation für ssh-Verbindungen nutzen.Aber warum gpg am Yubikey nicht mehr funktioniert... bleibt mir auch ein Rätsel.
-
Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.
Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
???? -
Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.
Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
???? -
Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.
Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
???? -
Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.
Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
???? -
Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.
Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
???? -
Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema
Vediamo quanti anni devono passare ancora... Io sono senza parole 😞
-
Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema
Vediamo quanti anni devono passare ancora... Io sono senza parole 😞
-
Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema
Vediamo quanti anni devono passare ancora... Io sono senza parole 😞
-
Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema
Vediamo quanti anni devono passare ancora... Io sono senza parole 😞
-
Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema
Vediamo quanti anni devono passare ancora... Io sono senza parole 😞
-
Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema
Vediamo quanti anni devono passare ancora... Io sono senza parole 😞
-
Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema
Vediamo quanti anni devono passare ancora... Io sono senza parole 😞
-
Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema
Vediamo quanti anni devono passare ancora... Io sono senza parole 😞
-
Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema
Vediamo quanti anni devono passare ancora... Io sono senza parole 😞