/ / Entsperren Sie den PIV-Steckplatz 9a programmgesteuert mit OpenSC f├╝r eine andere Anwendung - yubikey, opensc

Entsperren Sie den PIV-Steckplatz 9a programmgesteuert mit OpenSC f├╝r eine andere Anwendung - yubikey, opensc

Ich verwende einen Yubikey 4 mit einem in PIV-Steckplatz 9a geladenen Zertifikat (PIV-Authentifizierung; OpenSC-Steckplatz 0).

In Firefox 64 verwende ich den OpenSC PKCS # 11-Treiber.

Was ich erreichen m├Âchte, ist dies "freizuschalten"slot (ich bin mir nicht sicher, ob entsperren hier das richtige Wort ist) aus einem Shell-Skript, indem ich einmal meine Benutzer-PIN eingebe. Danach sollte Firefox in der Lage sein, diesen Steckplatz zu verwenden, ohne den Benutzer zur Eingabe der PIN aufzufordern (Firefox sollte den Steckplatz als "angemeldet" anzeigen).

Ich hoffte, ich k├Ânnte etwas in der Art von gebrauchen pkcs11-tool -l --login-type user -L in der Befehlszeile. Dieser Befehl an sich funktioniert, aber er bewirkt nicht, dass der Steckplatz in Firefox in den Status "Angemeldet" wechselt. Firefox fordert beim ersten ├ľffnen der Website weiterhin zur Eingabe der PIN auf.

Ausgabe von pkcs11-tool -l --login-type user -L:

Verf├╝gbare Pl├Ątze: Steckplatz 0 (0x0): Yubico Yubikey 4 OTP + U2F + CCID Token-Label: # redigiert # Token-Hersteller: piv_II Token-Modell: PKCS # 15 emuliert Token-Flags: Login erforderlich, rng, Token initialisiert, PIN initialisiert Hardware-Version: 0.0 Firmware-Version: 0.0 Seriennummer: 0001112223334445 Pin min / max: 4/8 Melden Sie sich bei "# redacted #" an. Bitte geben Sie die Benutzer-PIN ein:
$ opensc-tool -i OpenSC 0.19.0 [gcc 4.2.1 kompatibel mit Apple LLVM 9.1.0 (clang-902.0.39.2)] Aktivierte Funktionen: Sperren von zlib readline openssl pcsc (/System/Library/Frameworks/PCSC.framework/PCSC)

F├╝r mich ist der OpenSC-Konfigurationsparameter "lock_login"scheint zu beschreiben, was ich will:

Standardm├Ą├čig funktioniert das OpenSC PKCS # 11-Modul nichtSperren Sie Ihre Karte, sobald Sie sich ├╝ber C_Login bei der Karte authentifiziert haben (Standard: false). Auf diese Weise wird nicht verhindert, dass andere Benutzer oder andere Anwendungen eine Verbindung zur Karte herstellen und Kryptooperationen ausf├╝hren (was m├Âglicherweise m├Âglich ist, weil Sie sich bereits bei der Karte authentifiziert haben).

Ich habe keine OpenSC-Konfigurationswerte manuell festgelegt. Nach meinem Verst├Ąndnis ruft das Ausf├╝hren des obigen Befehls pkcs11-tool C_Login auf - aber der Steckplatz kann ohne PIN-Eingabe in Firefox immer noch nicht verwendet werden.

Ist dies etwas, was mit OpenSC erreicht werden kann?

Antworten:

0 f├╝r Antwort Ôäľ 1

Sie k├Ânnen "use_pin_caching = true;" Daher speichert OpenSC den Pin beim Start einer Anwendung im Cache und verwendet ihn bei Bedarf erneut.

Die meisten Yubico-Ger├Ąte wurden nicht korrekt implementiertDie Behandlung eines "Select AID" -Befehls zur Auswahl eines Applets auf der Karte und die NIST-Spezifikationen besagen, dass das PIV-Applet beim Einschalten das Standard-Applet ist. Dies f├╝hrt zu Problemen beim Versuch, den Anmeldestatus zu halten, wenn mehrere Anwendungen versuchen, das Token zu verwenden. (Suchen Sie in card-piv.c in der OpenSC-Quelle nach "card_issues".)

FireFox macht das, was die meisten Anwendungen tun - vorausgesetzt, ein Login wird zum ersten Mal ben├Âtigt. Die Verwendung eines Skripts zur ├ťberpr├╝fung der PIN hilft also nicht weiter.

Siehe auch "card_drivers = PIV-II;" Um zu vermeiden, dass eine andere Anwendung eine "Select AID" f├╝r eine Karte ausf├╝hrt, die Sie nicht haben, kann auch der Anmeldestatus verloren gehen. (card_issues = CI_OTHER_AID_LOSE_STATE)