Yubikey per la firma di immagini efi, impossibile trovare il token

Question

Yubikey per la firma di immagini efi, impossibile trovare il token

#1 da (0 voti)

1

Sto cercando di firmare un'immagine efi con un Yubikey 4

Ho configurato Yubikey con il seguente:

yubico-piv-tool -k $key -a import-key -s 9c < test-key.rsa
yubico-piv-tool -k $key -a import-certificate -s 9c < test-cert.pem

Ho incluso il certificato in un certdir:

certutil -A -n "efi-cert" -t ,,Tu -d $CERTDIR -a -i test-cert.pem

Riesco a vedere il token in pkcs11-tool:

$ pkcs11-tool --module=/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so -L
Available slots:
Slot 0 (0xffffffffffffffff): Virtual hotplug slot
  (empty)
Slot 1 (0x1): Yubico Yubikey 4 OTP+CCID 00 00
  token label        : PIV_II (PIV Card Holder pin)
  token manufacturer : piv_II
  token model        : PKCS#15 emulated
  token flags        : rng, login required, PIN initialized, token initialized
  hardware version   : 0.0
  firmware version   : 0.0
  serial num         : 00000000

Ma quando provo ad usarlo con pesign, non trova il token

$ sudo pesign -i bootx64.efi --export-signature bootx64.sig --sign -d sha256 -t "PIV_II (PIV Card Holder pin)" -c "efi-cert" -n $CERTDIR
could not find token "PIV_II (PIV Card Holder pin)"
pesign: Could not find certificate efi-cert

In breve ho visto che pesign non legge opensc-pkcs11.so, ma legge libnssckbi.so, può essere questa la ragione? Devo configurare lo Yubikey in modo diverso?

Qualsiasi aiuto sarebbe molto apprezzato.

yubikey uefi pkcs11

posta Lilás 11.11.2016 - 12:39

fonte

1 risposta

Leggi altre domande sui tag yubikey uefi pkcs11

Archiviazione e accesso sicuro alle chiavi di crittografia su Windows? Il server di registrazione falso con TLS pcap log e il dispositivo MITM è possibile?

score 0 · Accepted Answer

Sono appena riuscito a farlo funzionare:

In breve ho visto che pesign cercava $ CERTDIR / libnssckbi.so, ma facendo ln -s /usr/lib/x86_64-linux-gnu/nss/libnssckbi.so $ CERTDIR / libnssckbi.so non ha funzionato , quindi per risolvere questo ho collegato con opensc-pkcs11.so:

ln -s /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so $CERTDIR/libnssckbi.so

E ora trova il token. Per favore, fammi sapere se c'è una soluzione migliore (perché questo non sembra l'ideale).

Inoltre, il mio argomento in pesign ... -c "efi-cert" ... era sbagliato, poiché dovrei usare l'etichetta nel token e non quella che ho dato al certificato quando lo includevo nel certdir.

L'esecuzione di quanto segue ha rivelato che l'etichetta giusta era "Certificato per firma digitale" invece di "efi-cert":

$ pkcs11-tool --module=/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so -O
Using slot 1 with a present token (0x1)
Public Key Object; RSA 2048 bits
  label:      SIGN pubkey
  ID:         02
  Usage:      encrypt, verify
Certificate Object, type = X.509 cert
  label:      Certificate for Digital Signature
  ID:         02
Data object 27638640
  label:          'Card Capability Container'
  application:    'Card Capability Container'
  app_id:         2.16.840.1.101.3.7.1.219.0
  flags:          <empty>

Data object 27637904
  label:          'Card Holder Unique Identifier'
  application:    'Card Holder Unique Identifier'
  app_id:         2.16.840.1.101.3.7.2.48.0
  flags:          <empty>

Data object 27638000
  label:          'Unsigned Card Holder Unique Identifier'
  application:    'Unsigned Card Holder Unique Identifier'
  app_id:         2.16.840.1.101.3.7.2.48.2
  flags:          <empty>

Data object 27638096
  label:          'X.509 Certificate for PIV Authentication'
  application:    'X.509 Certificate for PIV Authentication'
  app_id:         2.16.840.1.101.3.7.2.1.1
  flags:          <empty>

Data object 27636560
  label:          'X.509 Certificate for Digital Signature'
  application:    'X.509 Certificate for Digital Signature'
  app_id:         2.16.840.1.101.3.7.2.1.0
  flags:          <empty>

Data object 27636656
  label:          'X.509 Certificate for Key Management'
  application:    'X.509 Certificate for Key Management'
  app_id:         2.16.840.1.101.3.7.2.1.2
  flags:          <empty>

Data object 27636752
  label:          'X.509 Certificate for Card Authentication'
  application:    'X.509 Certificate for Card Authentication'
  app_id:         2.16.840.1.101.3.7.2.5.0
  flags:          <empty>

Data object 27636848
  label:          'Security Object'
  application:    'Security Object'
  app_id:         2.16.840.1.101.3.7.2.144.0
  flags:          <empty>

Data object 27636944
  label:          'Discovery Object'
  application:    'Discovery Object'
  app_id:         2.16.840.1.101.3.7.2.96.80
  flags:          <empty>

Ora posso eseguire quanto segue:

$ pesign -i bootx64.efi --export-signature bootx64.sig --sign -d sha256 -t "PIV_II (PIV Card Holder pin)" -c "Certificate for Digital Signature" -n $CERTDIR
Enter Password or Pin for "PIV_II (PIV Card Holder pin)":
Enter passphrase for private key: