Erste Zertifikate von PKCS11-Smartcard ohne PIN/Passwort

Abstract: wenn über JCA über PKCS11 über OpenSC, die PIN wird abgefragt, wenn das extrahieren von Zertifikaten.

Ich habe eine Anwendung, die Bedürfnisse anmelden mit einer smartcard. Die smartcard wird unterstützt von OpenSC, so bin ich mit der Java-built-in-pkcs11-wrapper-Anbieter zu verwenden. Aus funktionellen Gründen, die ich brauche zum abrufen der Zertifikate in die Karte, ohne einen PIN angefordert. Wenn der Benutzer schließlich Zeichen, dann, natürlich, die PIN benötigt wird.

Ich sehe, ich kann es von der Kommandozeile aus, ohne einen PIN:

pkcs11-tool --module C:\WINDOWS\system32\opensc-pkcs11.dll -r -a 50-MDS_Signature -y cert -o p.cer
Using slot 1 with a present token (0x1)

So weit, So gut.

In der Dokumentation von Oracle deutlich sagt: "Der generator wird nach einem Kennwort gefragt, wie erforderlich, unter Verwendung der zuvor konfigurierten callback-handler" (http://docs.oracle.com/javase/6/docs/technotes/guides/security/p11guide.html#Login). Aber mein code ist immer der pin als Sohn wie rufe ich KeyStore ks0 = ksbuilder0.getKeyStore(); sogar, während nur das extrahieren von öffentlichen Informationen (z.B. Zertifikate).

Folgt ein Auszug aus dem code:

private static final String PKCS11_LIB = "C:\\WINDOWS\\system32\\opensc-pkcs11.dll";
private static final String NAME = "OpenSCpkcs11";
private static final String SLOT = "1";
private static final String PIN = "11111111";
private static final String ALIAS = "myCert";

[...]

private static CallbackHandler myCallbackHandler = new CallbackHandler() {
    @Override
    public void handle(Callback[] callbacks) throws IOException,
            UnsupportedCallbackException {
        for (Callback callback : callbacks) {
            if (callback instanceof PasswordCallback) {
                PasswordCallback passwordCallback = (PasswordCallback) callback;
                System.out.println(passwordCallback.getPrompt() + PIN);
                passwordCallback.setPassword(PIN.toCharArray());
            }
        }
    }
};

[...]

String configString = "name = "
  + NAME.replace(' ', '_')
  + "\n"
  + "library = "
  + PKCS11_LIB
  + "\n slot = "
  + SLOT
  + " "
  + "\n attributes = compatibility \n"
  + "attributes(*,*,*)=\n{\nCKA_TOKEN=true\nCKA_LOCAL=true\n}";
ByteArrayInputStream configStream = new ByteArrayInputStream(
    configString.getBytes());
SunPKCS11 pkcs11Provider0 = new SunPKCS11(configStream);
pkcs11Provider0.login(null, myCallbackHandler);
Security.addProvider(pkcs11Provider0);
KeyStore.CallbackHandlerProtection chp = new KeyStore.CallbackHandlerProtection(
    myCallbackHandler);
KeyStore.Builder ksbuilder0 = KeyStore.Builder.newInstance(
    "PKCS11", pkcs11Provider0, chp);
KeyStore ks0 = ksbuilder0.getKeyStore();
X509Certificate cert0 = (X509Certificate) ks0.getCertificate(ALIAS);
//System.out.println("Cert " + cert0.toString());
Principal p = cert0.getSubjectDN();
System.out.println("I am: " + cert0.getSubjectDN().getName());

Es ergibt sich auf:

Contraseña de la tarjeta de claves PKCS11 [SunPKCS11-OpenSCpkcs11]: 11111111
2014-01-16 17:48:11.275 cannot lock memory, sensitive data may be paged to disk
I am: CN=pepe perez, SURNAME=pepe, L=qwerty

Wie Sie sehen können, das Passwort wird angefordert, bevor das Zertifikat bekam. Mittels Debuggen kann ich sehen, dass das Passwort angefordert wird, in der Zeile KeyStore ks0 = ksbuilder0.getKeyStore();

Irgendeine Idee? Gibt es keine Möglichkeit, es zu konfigurieren, wie ich will? Jede weitere Idee oder test?

Außerdem: kennen Sie eine andere Möglichkeit zum Zugriff auf smartcards, zum Beispiel direkt durch ein JAVA2OpenSC wrapper oder wie?

Dank,

InformationsquelleAutor Javier Sedano | 2014-01-16
  1. 7

    GELÖST

    Habe ich einen Weg gefunden, um das öffentliche Zertifikat von der smart card.

        String pkcs11Config = "name = SmartCard\nlibrary = /path/to/libraby.so";
    ByteArrayInputStream confStream = new ByteArrayInputStream(pkcs11Config.getBytes());
    Provider prov = new sun.security.pkcs11.SunPKCS11(confStream);
    Security.addProvider(prov);
    KeyStore cc = null;
    String pin = "";
    try {
        cc = KeyStore.getInstance("PKCS11",prov);
        KeyStore.PasswordProtection pp = new KeyStore.PasswordProtection(pin.toCharArray());
        cc.load(null ,  pp.getPassword() );
        Enumeration aliases = cc.aliases();
        while (aliases.hasMoreElements()) {
            Object alias = aliases.nextElement();
            try {
                X509Certificate cert0 = (X509Certificate) cc.getCertificate(alias.toString());
                System.out.println("I am: " + cert0.getSubjectDN().getName());
            } catch (Exception e) {
                continue;
            }
        }
    } catch (Exception e) {
        e.printStackTrace();
    }

    KeyStore.load() sollte mit PaswordProtection Objekt mit leer-pin.
    Dies ermöglicht mir, zu Lesen, das öffentliche Zertifikat und extrahieren Sie die Daten aus es.

    Habe ich getestet mit 3 verschiedenen Arten von smart-Karten und es funktioniert auf allen von Ihnen

    • bitte Hilfe : windows, JRE 1.7 update 80 : Paket sun.security nicht vorhanden
    InformationsquelleAutor Plamen Vasilev
  2. 0

    Gut, was ich schon einmal getan, war so etwas wie

        Provider prov = new sun.security.pkcs11.SunPKCS11("pkcs.cfg");
    Security.addProvider(prov);
    KeyStore cc = null;
    try {
        cc = KeyStore.getInstance("PKCS11");
        cc.load(null, null);
        cc.getCertificate("CITIZEN AUTHENTICATION CERTIFICATE")
    } catch (Exception ex) {
        ex.printStackTrace();
    }

    Pkcs.cfg ist eine Datei, zeigen auf die "libpteidpkcs11.also" Bibliothek und Sie sollten in der Lage sein, um eine Anpassung an den code. Meins liest:

    name = SmartCard
library = /usr/local/lib/libpteidpkcs11.so
    • Sorry, es hat nicht funktioniert: load(null, null) wirft javax.security.auth.login.LoginException: no password provided, and no callback handler available for retrieving password
    • versuchen Sie, ein char[] als Kennwort an die load-Methode
    • EDIT: dein problem war, dass Sie nicht wollen, ein Passwort anfordern, Recht. Ich bin mir nicht sicher dann. Mit der portugiesischen Bürger Karten, das funktioniert. vielleicht Ihre Karten haben unterschiedliche arquitectures oder deine lib ist nicht angemessen
    • die Karte selbst können Sie immer die Zertifikate ohne Passwort (siehe das Beispiel mit opensc-pkcs11-tool in der Frage). Ich denke, die Java JCA Verpackung ist das eine, was es ist, entweder, weil ich missconfigured es, oder weil es keine Unterstützung für ein solches Verhalten (der doc sagt, es tut, obwohl), oder etwas anderes, ich bin nicht verstehen. Vielleicht sind die "Attribute" Bereich? Haben Sie ein Beispiel-code, wie zu initialisieren, ist es für eine solche portuguesse Karten?
    • Ich Tat genau das, was ich dir hier gezeigt haben und es funktioniert. Weiß nicht, was falsch sein könnte. Vielleicht hat jemand mit mehr Erfahrung können es herausfinden
    • Danke. Doch der Inhalt der pkcs.cfg von Bedeutung sein können. Wäre es möglich für Sie zu fügen Sie es hier?
    • Ich habe. Es sind die unteren 2 Zeilen meines posts
    • Oh, sorry, ich habe einen Abschnitt Attribute{} also dachte ich, es war nur ein Auszug. Vielen Dank für die Hilfe.

    InformationsquelleAutor BlueMoon93
  3. 0

    Schließlich gab es keine Lösung über JCA. Die endgültige Lösung war, die direkt angreifen, die PKCS11 Treiber. Ich habe verwendet, jacknji11 (https://github.com/joelhockey/jacknji11) und die PKCS11-spec (http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-11-cryptographic-token-interface-standard.htm).

    • (Beachten Sie, ich bin das original-writter in Frage). Die Antwort von Plasmen Valisev scheint ein guter Ansatz. Ich habe nicht markiert Sie als akzeptierte Antwort, denn ich habe nicht persönlich getestet, aber es scheint ein sehr vernünftiger Ansatz und ist viel einfacher als meine Lösung.
    InformationsquelleAutor Javier Sedano
  4. 0

    Andere Möglichkeit ist die Verwendung IAIK-PKCS#11-Wrapper. JavaDoc hier. Beispiel-code unten.

    /**
 * list certificates
 * 
 * @param module - PKCS#11 (.dll or .so) module path
 * for example: "C:\Program Files (x86)\ENCARD\enigmap11.dll"
 * 
 * @throws Exception
 */
public void listCertificates(String module) throws Exception {
    Module pkcs11Module = Module.getInstance(module);
    pkcs11Module.initialize(null);

    Slot[] slotsWithToken = pkcs11Module.getSlotList(Module.SlotRequirement.TOKEN_PRESENT);
    CertificateFactory certFactory = CertificateFactory.getInstance("X.509");

    for(Slot s: slotsWithToken) {
        Session session = s.getToken().openSession(Token.SessionType.SERIAL_SESSION, Token.SessionReadWriteBehavior.RO_SESSION, null, null);
        session.findObjectsInit(new X509PublicKeyCertificate());
        Object[] objects = null;
        while((objects = session.findObjects(1)).length > 0) {
            for(Object c: objects) {
                X509PublicKeyCertificate cert = (X509PublicKeyCertificate) c;
                byte[] certValue = cert.getValue().getByteArrayValue();
                Certificate cc = certFactory.generateCertificate(new ByteArrayInputStream(certValue));
                if(cc instanceof X509Certificate) {
                    X509Certificate x509 = (X509Certificate) cc;
                    log.info(x509.getNotBefore() + " - " + x509.getNotAfter());
                }                       
            }
        }
        session.findObjectsFinal();
    }           
    pkcs11Module.finalize(null);
}
    InformationsquelleAutor marioosh
Schreibe einen Kommentar