Podpora pre OpenSC

[jsuchal]

Aktualna verzia (master) podporuje eid z roku 2021+ (nie vsak nove s NFC). Avsak OpenSC sa sprava s DSS nejako inak. Zjavne ignoruje poziadavky na login pre requesty ktore login nepotrebuju. Avsak potom ide operacia sign a tam uz to hodi, ze klient nie je autentifikovany. Toto spravanie viem zreplikovat aj na inej karte, ktora ma kluc chraneny PINom.

OpenSC ma PR na eidv4 (nove s NFC), OpenSC/OpenSC#2745

Takto by bolo mozne uplne objist proprietarny eid klient (na podpisovanie, nie na autentifikaciu / prihlasovanie)

Otvorene veci:

• DSS kniznica sa zda, ze s tymto vobec nerata, proste ma jeden handler na errory a vola ho nejako halabala. U nas je natvrdo v kode povedane, ze tento driver vyzaduje PIN a tento nie. Toto mozno treba zmenit.
• stare eid 2021- OpenSC nepodporuje, mozno keby sme velmi pekne zazmurkali na @jurajsarinay, tak pomoze.
• nove eid (nfc) - OpenSC zatial nepodporuje, PR otvorene, otestovat sa da.
• karty maju rozne sloty, DSS by default otvori slot 0, kde su ine certifikaty - tu bude treba asi zmenit logiku podpisovania a preskenovat sloty (ci ich je tam viac) a az potom vytvarat DSS token. Toto vsak moze dost spomalit funkcnost kedze sa bude skenovat cela karta vzdy a potom vytvarat novy provider pre uz konkretny kluc/slot (takto to v DSS funguje, neviem ci mame pristup k internym volaniam). Koncept slotov je pre bezneho pouzivatela asi nepochopitelny, takze to vidim na nejaky magic switchovania slotov podla toho co opensc provider vrati a ked detekujeme viac slotov tak pri eid rovno ideme na "Podpisovy PIN". pkcs15-tool -D vie nejako vytiahnut info k certom bez loginu, asi treba pozriet ako to robi.

Na skusanie treba lokalne buildovat OpenSC z main/branch - ale je to pomerne priamociare (na linuxe)

[jsuchal]

Tak vyzera, ze bol rozbity master na OpenSC a uz to podpisuje!

[jsuchal]

https://bugs.openjdk.org/browse/JDK-6745873 :(

[jurajsarinay]

Práve som vyskúšal v2.1.2 s OpenSC 0.24.0-rc1 a naozaj to výborne funguje.