Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Сергей001  
#1 Оставлено : 1 сентября 2021 г. 16:42:32(UTC)
Сергей001

Статус: Участник

Группы: Участники
Зарегистрирован: 22.01.2018(UTC)
Сообщений: 29

Добрый день!

Использую ЛинуксМинт20.1 , КриптоПро 5.0 R3
Установил через графический интерфейс. Указал все пункты кроме КС2.
Подключил токен к компьютеру - светится. Загружаю утилиту "cptools", токен не виден. Запускаю команду "/opt/cprocsp/bin/amd64/csptest -card -enum" , в ответ получаю "ERROR: SCardListReaders(NULL)".

В чем может быть проблема?

Использовал этот же ключ на Виндовз10. Утилита "cptools" видит токен и сертификаты без проблем.
Offline Андрей Русев  
#2 Оставлено : 2 сентября 2021 г. 19:18:33(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 832

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 209 раз в 163 постах
Здравствуйте.
А какой токен? Диагностику надо начинать от более низких уровней к более высоким (и не переходим к следующему шагу, если получили проблему на предыдущем):
1. Смотрим наличие устройства в системе:
Код:
lsusb

2. Проверяем наличие пакетов libpcsclite1, libccid и pcscd + пакет cprocsp-rdr-pcsc-64 будет нужен потом (после того, как заработает csptest -card)
Код:
dpkg -l|grep "pcsc\|ccid"

3. Проверяем, что служба запущена:
Код:
service pcscd status

Иногда она может автоматически стартовать при любом обращении и выключаться при простое, тогда её можно пробудить с помощью:
Код:
/opt/cprocsp/bin/amd64/csptest -card -enum -v -v

4. Останавливаем службу и пускаем её в режиме отладки в foreground (она будет сыпать журналами и не отдавать управление - это то, что нужно):
Код:
service pcscd stop
pcscd -df

Возможно, журналов при таком старте будет достаточно, чтобы понять, в чём ошибка. Возможно, надо открыть соседнюю консоль и обратиться к ней:
Код:
/opt/cprocsp/bin/amd64/csptest -card -enum -v -v

4.A. Бывает, не хватает ccid-драйвера (обязательно нужен для Rutoken S)
4.B. Бывают конфликты между openct и ccid-драйверами: надо добавлять исключения в конфиг openct, либо сносить пакет openct
4.C. Бывают редкие проблемы с разграничением доступа с помощью polkit: https://www.cryptopro.ru...ts&m=81517#post81517
Официальная техподдержка. Официальная база знаний.
Offline Сергей001  
#3 Оставлено : 2 сентября 2021 г. 22:28:08(UTC)
Сергей001

Статус: Участник

Группы: Участники
Зарегистрирован: 22.01.2018(UTC)
Сообщений: 29

Окей!
Токен RutokenLite

Первая команда выдает следующее:
Цитата:
lsusb
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 003 Device 003: ID 046d:0807 Logitech, Inc. Webcam B500
Bus 003 Device 002: ID 093a:2510 Pixart Imaging, Inc. Optical Mouse
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub


Явно система не видит токен, но он светится. Раньше токен был виден. Раньше - это, предположительно, пол года назад, до замены сертификата на ключе или до апгрейда системы с версии 19 до версии 20, но это только догадки.
Offline TolikTipaTut1  
#4 Оставлено : 2 сентября 2021 г. 22:33:30(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 240

Сказал(а) «Спасибо»: 30 раз
Поблагодарили: 24 раз в 21 постах
https://www.altlinux.org...%D0%BE%D0%9F%D1%80%D0%BE

Snimok ehkrana 2021-09-02 223201.gif (16kb) загружен 7 раз(а).

Пакет pcscd установлен? Уже писали об этом выше.
Offline Андрей Русев  
#5 Оставлено : 3 сентября 2021 г. 10:54:59(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 832

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 209 раз в 163 постах
Автор: Сергей001 Перейти к цитате
Токен RutokenLite

Если lsusb устройство не видит, то вам в поддержку LinuxMint или Актива ;) Я какого не встречал. Попробуйте
  • другой USB-порт
  • перезагрузиться
  • перезагрузиться со вставленным токеном

    Наличие пакета pcscd на этом этапе роли не играет.
  • Официальная техподдержка. Официальная база знаний.
    Offline Сергей001  
    #6 Оставлено : 3 сентября 2021 г. 13:55:58(UTC)
    Сергей001

    Статус: Участник

    Группы: Участники
    Зарегистрирован: 22.01.2018(UTC)
    Сообщений: 29

    Продолжаем разговор.

    Поменял ЮСБ порт, токен заработал. Имеется в виду, что система его видит и браузерный плагин тоже, но утилита cptool всё еще отказывается его признавать даже под рутом.

    Продолжаю диагностику по вышеуказанной инструкции:

    2.
    Цитата:
    dpkg -l|grep "pcsc\|ccid"
    ii cprocsp-rdr-pcsc-64 5.0.12222-6 amd64 CryptoPro CSP. PC/SC devices support. Build 12222.
    ii libccid 1.4.31-1 amd64 PC/SC driver for USB CCID smart card readers
    ii libpcsclite1:amd64 1.8.26-3 amd64 Middleware to access a smart card using PC/SC (library)
    ii pcscd 1.8.26-3 amd64 Middleware to access a smart card using PC/SC (daemon side)


    3.
    Цитата:
    service pcscd status
    ● pcscd.service - PC/SC Smart Card Daemon
    Loaded: loaded (/lib/systemd/system/pcscd.service; indirect; vendor preset: enabled)
    Active: inactive (dead) since Fri 2021-09-03 13:39:14 MSK; 3min 0s ago
    TriggeredBy: ● pcscd.socket
    Docs: man:pcscd(8)
    Process: 14543 ExecStart=/usr/sbin/pcscd --foreground --auto-exit (code=exited, status=0/SUCCESS)
    Main PID: 14543 (code=exited, status=0/SUCCESS)

    сен 03 13:36:18 sergen systemd[1]: Started PC/SC Smart Card Daemon.
    сен 03 13:39:14 sergen systemd[1]: pcscd.service: Succeeded.


    4.
    Цитата:
    pcscd -df
    00000000 [139885325772736] pcscdaemon.c:347:main() pcscd set to foreground with debug send to stdout
    00000037 [139885325772736] utils.c:81:GetDaemonPid() Can't open /run/pcscd/pcscd.pid: No such file or directory
    00000093 [139885325772736] configfile.l:293:DBGetReaderListDir() Parsing conf directory: /etc/reader.conf.d
    00000023 [139885325772736] configfile.l:369:DBGetReaderList() Parsing conf file: /etc/reader.conf.d/libccidtwin
    00000045 [139885325772736] configfile.l:329:DBGetReaderListDir() Skipping non regular file: .
    00000007 [139885325772736] configfile.l:329:DBGetReaderListDir() Skipping non regular file: ..
    00000010 [139885325772736] pcscdaemon.c:663:main() pcsc-lite 1.8.26 daemon ready.
    00000014 [139885325772736] pcscdaemon.c:698:main() cannot create /run/pcscd/pcscd.pid: Permission denied
    00000022 [139885325772736] winscard_msg_srv.c:148:InitializeSocket() Unable to bind common socket: Address already in use
    00000007 [139885325772736] pcscdaemon.c:724:main() Error initializing pcscd.
    00000005 [139885325772736] pcscdaemon.c:787:at_exit() cleaning /run/pcscd
    00000008 [139885325772736] pcscdaemon.c:817:clean_temp_files() Cannot remove /run/pcscd/pcscd.comm: Permission denied
    00000010 [139885325772736] pcscdaemon.c:823:clean_temp_files() Cannot remove /run/pcscd/pcscd.pid: No such file or directory


    Тут определенно есть проблемы, некоторые строки выделены красным в терминале.


    Цитата:
    /opt/cprocsp/bin/amd64/csptest -card -enum -v -v
    Aktiv Rutoken lite 00 00
    Card present, ATR=3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2
    Unknown applet
    Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,160 sec
    [ErrorCode: 0x00000000]



    Прошу прокомментировать полученные результаты. Сам не смогу, поскольку с криптопро тесно не общаюсь. Вишу что не хватает какого-то разрешения.

    Offline Андрей Русев  
    #7 Оставлено : 8 сентября 2021 г. 11:08:01(UTC)
    Андрей Русев

    Статус: Сотрудник

    Группы: Администраторы, Участники
    Зарегистрирован: 16.04.2008(UTC)
    Сообщений: 832

    Сказал(а) «Спасибо»: 1 раз
    Поблагодарили: 209 раз в 163 постах
    Хорошо. Раз "csptest -card -enum -v -v" устройство видит, значит к ОС больше претензий нет. Для работы с Рутокенами, надо ставить пакеты

    • cprocsp-rdr-pcsc-64
    • cprocsp-rdr-rutoken-64

    Давайте уж сразу:
    Код:
    dpkg -l|grep "pcsc\|ccid\|cprocsp"
    /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS -flags 32
    /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique
    Официальная техподдержка. Официальная база знаний.
    Offline Сергей001  
    #8 Оставлено : 8 сентября 2021 г. 21:21:00(UTC)
    Сергей001

    Статус: Участник

    Группы: Участники
    Зарегистрирован: 22.01.2018(UTC)
    Сообщений: 29

    ОК!

    Цитата:
    dpkg -l|grep "pcsc\|ccid\|cprocsp"
    ii cprocsp-cptools-gtk-64 5.0.12222-6 amd64 GUI application for various CSP tasks. Build 12222.
    ii cprocsp-curl-64 5.0.12222-6 amd64 CryptoPro cURL shared library and application. Build 12222.
    ii cprocsp-pki-cades-64 2.0.14071-1 amd64 CryptoPro ECP SDK
    ii cprocsp-pki-phpcades-64 2.0.14071-1 amd64 CryptoPro ECP SDK PHP extension
    ii cprocsp-pki-plugin-64 2.0.14071-1 amd64 CryptoPro ECP Browser plug-in
    ii cprocsp-rdr-cloud-64 5.0.12222-6 amd64 DSS keys support module
    ii cprocsp-rdr-cpfkc-64 5.0.12222-6 amd64 FKC support module
    ii cprocsp-rdr-cryptoki-64 5.0.12222-6 amd64 Module for PKCS11 keys support. Build 12222.
    ii cprocsp-rdr-edoc-64 5.0.12222-6 amd64 Electronic documents support module
    ii cprocsp-rdr-emv-64 5.0.12222-6 amd64 EMV/Gemalto support module
    ii cprocsp-rdr-gui-gtk-64 5.0.12222-6 amd64 CryptoPro CSP GTK GUI components. Build 12222.
    ii cprocsp-rdr-infocrypt-64 5.0.12222-6 amd64 Infocrypt FKC support module
    ii cprocsp-rdr-inpaspot-64 5.0.12222-6 amd64 Inpaspot support module
    ii cprocsp-rdr-kst-64 5.0.12222-6 amd64 MorphoKST support module
    ii cprocsp-rdr-mskey-64 5.0.12222-6 amd64 Mskey support module
    ii cprocsp-rdr-novacard-64 5.0.12222-6 amd64 Novacard support module
    ii cprocsp-rdr-pcsc-64 5.0.12222-6 amd64 CryptoPro CSP. PC/SC devices support. Build 12222.
    ii cprocsp-rdr-rosan-64 5.0.12222-6 amd64 Rosan support module
    ii cprocsp-rdr-rutoken-64 5.0.12222-6 amd64 Rutoken support module
    ii cprocsp-stunnel-64 5.0.12222-6 amd64 CryptoPro Universal SSL/TLS tunnel. Build 12222.
    ii libccid 1.4.31-1 amd64 PC/SC driver for USB CCID smart card readers
    ii libpcsclite1:amd64 1.8.26-3 amd64 Middleware to access a smart card using PC/SC (library)
    ii lsb-cprocsp-base 5.0.12222-6 all CryptoPro CSP directories and scripts. Build 12222.
    ii lsb-cprocsp-ca-certs 5.0.12222-6 all CryptoPro CA certificates. Build 12222.
    ii lsb-cprocsp-capilite-64 5.0.12222-6 amd64 CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 12222.
    ii lsb-cprocsp-import-ca-certs 5.0.12222-6 all Import OS root certificates in CryptoPro CSP. Build 12222.
    ii lsb-cprocsp-kc1-64 5.0.12222-6 amd64 CryptoPro CSP KC1. Build 12222.
    ii lsb-cprocsp-pkcs11-64 5.0.12222-6 amd64 CryptoPro PKCS11. Build 12222.
    ii lsb-cprocsp-rdr-64 5.0.12222-6 amd64 CryptoPro CSP common libraries and utilities. Build 12222.
    ii pcscd


    Цитата:
    /opt/cprocsp/bin/amd64/csptest -enum -info -type PP_ENUMREADERS -flags 32
    CSP (Type:80) v5.0.10009 KC1 Release Ver:5.0.12222 OS:Linux CPU:AMD64 FastCode:READY:AVX.
    CryptAcquireContext succeeded.HCRYPTPROV: 24793443
    GetProvParam(...PP_ENUMREADERS...) until it returns false
    Flags: 0x20
    Len Byte NickName/Name/Media
    ___________________________________
    0x012a 0x00 HDIMAGE
    HDD key storage
    NO_UNIQUE
    0x012a 0x02 CLOUD
    Cloud Token
    NO_MEDIA
    0x012a 0x03 Aktiv Rutoken lite 00 00
    Rutoken lite
    rutoken_lt_3a594b3b
    Cycle exit when getting data. 3 items found. Level completed without problems.
    Total: SYS: 0,000 sec USR: 0,030 sec UTC: 0,170 sec
    [ErrorCode: 0x00000000]


    Цитата:
    /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique
    CSP (Type:80) v5.0.10009 KC1 Release Ver:5.0.12222 OS:Linux CPU:AMD64 FastCode:READY:AVX.
    AcquireContext: OK. HCRYPTPROV: 23942753
    45397aee-ea7e-4a81-b697-87bc907d77e|SCARD\rutoken_lt_3a564b3b\0A10\EB6B
    Nesterov_Serg_Genadievvich_05052021_1620217033|SCARD\rutoken_lt_3a594b4b\0B00\F1E6
    OK.
    Total: SYS: 0,000 sec USR: 0,040 sec UTC: 0,140 sec
    [ErrorCode: 0x00000000]


    Offline Андрей Русев  
    #9 Оставлено : 10 сентября 2021 г. 17:26:28(UTC)
    Андрей Русев

    Статус: Сотрудник

    Группы: Администраторы, Участники
    Зарегистрирован: 16.04.2008(UTC)
    Сообщений: 832

    Сказал(а) «Спасибо»: 1 раз
    Поблагодарили: 209 раз в 163 постах
    Судя по печати токены видны. А где не видны? В cptools? Под тем же пользователем? Можете прислать скрин вкладки "Контейнеры"?
    Официальная техподдержка. Официальная база знаний.
    Offline Сергей001  
    #10 Оставлено : 10 сентября 2021 г. 19:59:41(UTC)
    Сергей001

    Статус: Участник

    Группы: Участники
    Зарегистрирован: 22.01.2018(UTC)
    Сообщений: 29

    "Факир был пьян и фокус не удался...."

    Получилось запустить cptool и увидеть токены. Фокус был в том, что ранее я запускал утилиту, скорее всего, под рутом. Но, волей случая, сегодня я забыл активировать рут и утилита сработала нормально.

    Но в терминале вываливается такое предупреждение:

    Цитата:
    /opt/cprocsp/bin/amd64/cptools

    (cptools:10132): dbind-WARNING **: 19:51:54.023: Couldn't register with accessibility bus: An AppArmor policy prevents this sender from sending this message to this recipient; type="method_call", sender="(null)" (inactive) interface="org.freedesktop.DBus" member="Hello" error name="(unset)" requested_reply="0" destination="org.freedesktop.DBus" (bus)


    Что это значит и стоит ли на сообщение обращать внимание?
    Offline Андрей Русев  
    #11 Оставлено : 13 сентября 2021 г. 15:11:43(UTC)
    Андрей Русев

    Статус: Сотрудник

    Группы: Администраторы, Участники
    Зарегистрирован: 16.04.2008(UTC)
    Сообщений: 832

    Сказал(а) «Спасибо»: 1 раз
    Поблагодарили: 209 раз в 163 постах
    Мы поставляем правила AppArmor вместе с дистрибутивом, и разрешений для dbus среди них нет, потому что они не нужны. Обращения к dbus прилетели откуда-то из-под капота gtk, по всей видимости. Можно забить.
    Официальная техподдержка. Официальная база знаний.
    RSS Лента  Atom Лента
    Пользователи, просматривающие эту тему
    Быстрый переход  
    Вы не можете создавать новые темы в этом форуме.
    Вы не можете отвечать в этом форуме.
    Вы не можете удалять Ваши сообщения в этом форуме.
    Вы не можете редактировать Ваши сообщения в этом форуме.
    Вы не можете создавать опросы в этом форуме.
    Вы не можете голосовать в этом форуме.