SmartCard használata Linux-on - hogyan kezdjek neki?

Security-all

Kedves Fórumozók!

A minap szereztem be pár Gemplus GemSAFE 4k típusú SmartCard-ot (IBM-es brandinggel), olvasóm pedig már régen volt hozzá.

Slackware Linux-ot használok, ezen próbálnék ismerkedni a SC-ok használatával, bár szerintem nem ez az abszolút ideális disztribúció hozzá.
Az OS-ben alapból nincs PAM, feltenni csak elég gányolósan lehet, PCSC-t, illetve OpenCT-t, OpenSC-t forrásból forgattam hozzá, illetve az olvasóhoz a PCSC-s drivert (OmniKey CardMan 4000) is sikerült feltenni.
Odáig jutottam, hogy a kártyát látja a pcsc: 


root@ABC:~# pcsc_scan
PC/SC device scanner
V 1.4.18 (c) 2001-2011, Ludovic Rousseau <ludovic.rousseau@free.fr>
Compiled with PC/SC lite version: 1.8.2
Using reader plug'n play mechanism
Scanning present readers...
0: OMNIKEY CardMan 4000 Socket 0 00 00

Sat Mar 10 00:56:36 2012
Reader 0: OMNIKEY CardMan 4000 Socket 0 00 00
  Card state: Card inserted, 
  ATR: 3B 27 00 80 65 A2 0C 01 01 37

ATR: 3B 27 00 80 65 A2 0C 01 01 37
+ TS = 3B --> Direct Convention
+ T0 = 27, Y(1): 0010, K: 7 (historical bytes)
  TB(1) = 00 --> VPP is not electrically connected
+ Historical bytes: 80 65 A2 0C 01 01 37
  Category indicator byte: 80 (compact TLV data object)
    Tag: 6, len: 5 (pre-issuing data)
      Data: A2 0C 01 01 37

Possibly identified card (using /usr/local/share/pcsc/smartcard_list.txt):
3B 27 00 80 65 A2 0C 01 01 37
3B 27 00 80 65 A2 .. 01 01 37
        Gemplus GemSAFE Smart Card (4K)
3B 27 00 80 65 A2 0C 01 01 37
        Gemplus GPK4000

Viszont amikor az OpenSC-vel próbálom szólongatni, így járok: 


root@ABC:~# opensc-tool --list-readers
# Detected readers (pcsc)
Nr.  Card  Features  Name
0    Yes             OMNIKEY CardMan 4000 Socket 0 00 00
root@ABC:~# opensc-tool --reader 0 --atr
Failed to connect to card: Unresponsive card (correctly inserted?)
root@ABC:~# opensc-tool --reader 0 --name
Failed to connect to card: Unresponsive card (correctly inserted?)

Windows 7-en (64bit) is próbáltam egy USB-s OmniKey olvasóval.
A Windows keresett a kártyához drivert Windows Update-tel, de nem sikerült neki.
Letöltöttem a Gemplus (most már Gemalto) SmartDiag nevű toolját, ami a következőt mondta a kártyáról:

Az lenne a kérdésem, hogy hogyan tudnék továbblépni ezekkel a kártyákkal, konkrétan pl. PIN-t vagy jelszót beállítani hozzájuk, és esetleg használni őket valami hasznosra?

  • 9058 megtekintés

( wowbagger v | 2012. 03. 11., v – 19:57 )

hup!
-------------------------------------------------------------------------------
Az életben csak egy dolog a szép, de az épp nem jut eszembe.

Slackware Linux 13.37 | 2.6.39.3-janos

Én egy jó pár éve játszottam a témával, mondjuk gentoo alatt. Pontosan, hogy mit csináltam arra nem emlékszem (sajnos), de az tuti, hogy a kártyára sikerült PIN kódokat létrehoznom és abba kerültek tanúsítványok.

Ennél windows alatt mostohább volt a helyzet, ugyanis hiába kaptam valami safesign nevű csodaszoftvert, az max arra volt jó, hogy olvassam a kártyákat, az íráshoz valami más verzója kellett. Természetesen ezek mind fizetős szoftverek, amiket nem is "találtam" meg sehol.

Amire még tuti emlékszem, hogy a linux alatt felírt PIN kódok közül a windows csak az elsőt látta, és emiatt jókat szívtam.

Ez nem sok infó, de hátha elég ahhoz, hogy tovább lépj :)

Holnap tudok beszélni emberrel aki nálam sokkal jobban ért ehhez, megpróbálom nem elfelejteni megkérdezni, hogy mondjuk windows alatt ők mivel dolgoznak, mert akkor ugye a Linux nyűgjeit ki lehet zárni első körben.

Mire akarod különben használni? Én ssl azonosításra használtam őket.

Még nem tudom pontosan.
Akár SSL tanúsítványtárolásra, akár session authentikációra (pam kellene neki).

Ja, igen, és köszönöm, hogy rákérdezel!
-------------------------------------------------------------------------------
Az életben csak egy dolog a szép, de az épp nem jut eszembe.

Slackware Linux 13.37 | 2.6.39.3-janos

( wowbagger v | 2012. 03. 12., h – 10:15 )

Kicsit tovább jutottam ma Windows-on: 


C:\Users\janos>opensc-tool --list-readers
# Detected readers (pcsc)
Nr.  Card  Features  Name
0    Yes             Broadcom Corp Contacted SmartCard 0

C:\Users\janos>opensc-tool --atr
Using reader with a card: Broadcom Corp Contacted SmartCard 0
3b:27:00:80:65:a2:0c:01:01:37

C:\Users\janos>opensc-tool --name
Using reader with a card: Broadcom Corp Contacted SmartCard 0
Gemplus GPK

C:\Users\janos>opensc-tool --list-algorithms
Using reader with a card: Broadcom Corp Contacted SmartCard 0
Algorithm: rsa
Key length: 512
Flags: padding ( pkcs1 ansi iso9796 ) hashes ( sha1 MD5 md5-sha1 )
RSA public exponent: 65537

Algorithm: rsa
Key length: 768
Flags: padding ( pkcs1 ansi iso9796 ) hashes ( sha1 MD5 md5-sha1 )
RSA public exponent: 65537

Algorithm: rsa
Key length: 1024
Flags: padding ( pkcs1 ansi iso9796 ) hashes ( sha1 MD5 md5-sha1 )
RSA public exponent: 65537

C:\Users\janos>pkcs15-init -E
Using reader with a card: Broadcom Corp Contacted SmartCard 0
Couldn't bind to the card: File not found

C:\Users\janos>pkcs15-tool --dump
Using reader with a card: Broadcom Corp Contacted SmartCard 0
PKCS#15 binding failed: Unsupported card

-------------------------------------------------------------------------------
Az életben csak egy dolog a szép, de az épp nem jut eszembe.

Slackware Linux 13.37 | 2.6.39.3-janos

( wowbagger v | 2012. 03. 14., sze – 10:19 )

bump.
-------------------------------------------------------------------------------
Az életben csak egy dolog a szép, de az épp nem jut eszembe.

Slackware Linux 13.37 | 2.6.39.3-janos

( subchee | 2012. 04. 13., p – 10:47 )

* feliratkozás *
Ez a téma engem is érdekel. Én csak beolvasni szeretnék Linuxon SCM SCR 3310 kártyaolvasóval egy már elkészített (PIN+tanúsítványok) kártyáról (Cyberflex Access 64k v2) tanúsítványokat (konkrétan importálni a tanúsítványokat az Aventail Connect kliensbe).

A pcsc_scan megtalálja az olvasót, az opensc-tool pedig a kártyát is látja benne, csak azt nem tudom, innen hogyan tovább...

Nekem egy ilyenem van: http://www.gooze.eu/feitian-epass-pki-token es tok jol megy Linux/Windows/OS X alatt. Nem tudom, mennyire hasonlo ez a smartcard az epasshoz, de az epass-nal kb igy nez ki a hasznalat:
1. legyalulod es megformazod pkcs15-init-tel (ekkor adod neki a pin kodot is) http://www.gooze.eu/howto/smartcard-quickstarter-guide/smart-card-initi…
2. rapakolod/generalod a kulcsokat/certeket http://www.gooze.eu/howto/smartcard-quickstarter-guide -> scenario 1-5

( csontika v | 2012. 10. 06., szo – 13:08 )

Történt valami előrelépés?

Amire én szeretném használni, internet korlátozása, illetve monitorozása.