mån 2011-04-25 klockan 02:51 +0200 skrev Samuel Lidén Borell: > > sessionen starta en bakgrundsdaemon som all kommunikation går igenom > > istället för att starta om från början vid varje operation. Men hjälper > > naturligtvis inte vid inloggning utan bara signering. > > Ok, nej detta känns rätt komplicerat.
Inte särskilt komplext. Och är vad Nexus gör förutom att de startar redan när man loggar på datorn och därför har gott om tid att scanna av kortet innan det används. Men att köra som en bakgrundsprocess ställer större krav på hantering av minnesläckor mm. > Rent tekniskt borde det väl gå att spara ner alla cert som använts > till filcachen vid avslut? Det lär ju inte gå via PKCS#11, men kanske > om man använder OpenSC direkt? Jag måste kolla i OpenSC-koden om detta > är möjligt. Känns lite rörigt om vi både skall köra libp11 och opensc. Dessutom är OpenSC rätt tydliga på att de inte vill att man använder OpenSC direkt. Kedjan ser idag ut som följer: fribid -> libp11 -> [PKCS#11] -> OpenSC. libp11 känner inte till OpenSC utan anropar via OpenSC PKCS#11 gränssnittet. (liknande plugingränssnittet till webbläsarna) OpenSC har inget direkt publikt API utan hänvisar till PKCS#11 mm, så att programmera direkt mot OpenSC är inte något direkt alternativ. libp11 är ett wrapper library som implementerar PKCS#11 API mot PKCS#11 "plugin", dvs dynamisk länkning, anropspunkter, strukturer, konstanter mm. OpenSC implenterar sedan gränssnittet mellan PKCS#11 och det som sker mot smartcard. > Ja det är ju inte direkt nödvändigt längre eftersom vi har stöd för > hämtning. Jag tror dock att NGE/NGP formatet till viss del också > handlar om att gå runt "begränsningar" i PKCS#12, t.ex. att man > behöver lösenordet för att spara mottagna CA-certifikat (vilket > egentligen inte har något med PKCS#12 att göra, utan snarare om man > använder "password integrity mode" eller ej). Har i alla fall för mig > att detta "löstes" i samband med att man gick över till de nya > formaten. Möjligt att det delvis kan stämma för lagringen på hårddisk, men för exportformatet är enda skälet till bytet att knyta exporten till specifikt USB media förutom lösenord, plus att göra formatet mer otillgängligt över lag för att ytterligare försvåra oönskad tillgång til lde elektroniska ID handlingarna som certifikat+nycklar utgör. Mvh Henrik
