Also, here's a recording of the demo showing a successful #PQC signature: https://youtu.be/svtu1yJpfEg

#FOSDEM #fosdem2026 #distributions #RPM #Sequoia #SequoiaPGP #PKCS11

I was told that my idea already exists:

https://words.filippo.io/passage/

Same name, same approach by @filippo.

I should've done the research before developing an idea that already exists.

Well, it's too late, I've got the same thing, same name, but implemented in go. To be fair, my approach works with any hardware token that supports PKCS#11 and not only yubikey.

#age #pkcs11 #pass #passwordmanager

🤔 Laut Übersicht unterstützen sowohl #Nitrokey3 also auch #NitrokeyHSM2 #PKCS11. Auf denm verlinkten Datenblättern stehen auch vergleichbare Zeiten für Signaturen

Brauche ich nun für eine #homelab #stepca (smallstep-ca) den HSM key oder reicht der normale Key?

Has anyone managed to install and use #PKCS11 under #WaterFox ?

#Systemd #credentials system is relatively interesting thing. I lack some support for storing private keys in a format good for applications. Can it do #pkcs11 URI provider or #FIDO2 token authentication? It seems current implementation focuses on shared secrets - passwords. If we have integrated support with TPM2 chip, I think we should aim for #webauthn instead.

@iX_Magazin Gibt es eigentlich ein PDF-Tool mit dem man Formulare über #PKCS11 digital signieren kann? Dafür brauche ich bisher nämlich leider immer noch ein Windows mit Acrobat-Reader auf das ich per RDP zugreife.

Finally a calm weekend ahead...

Some well deserved rest and maybe scratch an itch:

- Add support for sbsign to use a #yubikey via #pkcs11
- Do a few of the #gnuradio challenges
- Fiddle around with my #ftx1f #ham and make some antennas next to the lake.
- PoC moving my homelab to #yggdrasil
- Move my homelab away from #NixOS containers
- Setting up #tollgate with a self-service mint as an educational tool.

#Ubuntu24 verweigerte heute nach einem Reboot die Nutzung meines #Yubikeys.
Ich konnte mich als mit #pkcs11 nicht mehr an meinen Servern per ssh anmelden.

Eine hängengebliebene Filesystem-Action eines Remote-Filesystems verhinderte offenbar, dass Linux meinen Laptop nicht schlafen schicken konnte... Totem ließ sich nicht beenden vom Kernel... aber das ist eine andere Geschichte. Jedenfalls schaltete sich mein Laptop nicht ab bis der Akku leer war.

In einem Anfall seniler Bettflucht hab ich meinen Laptop hergenommen und wollte checken, warum Friendica nur mehr blurred Vorschaubilder anzeigt (Spoiler, das Debuglog eines anderen Services füllte mir die Platte an...) und mein ssh-agent verweigerte das Hinzufügen des Yubikeys. Standhaft.

Ein Blick ins Journal ergab dann folgende Seltsamkeit:

Sep 12 04:34:02 AET-1931 pcscd[24807]: 99999999 auth.c:143:IsClientAuthorized() Process 36310 (user: 2000) is NOT authorized for action: access_pcsc
Sep 12 04:34:02 AET-1931 pcscd[24807]: 00000197 winscard_svc.c:355:ContextThread() Rejected unauthorized PC/SC client

Ein Restart von pcscd brachte keine Erlösung.
Ein Reboot übrigens auch nicht.

Also weitersuchen. Aufgrund der Recherchen einmal

opensc-tool --list-readers
No smart card readers found.

Shice... und was sagt gpg?

gpg --card-status
gpg: selecting card failed: Kein passendes Gerät gefunden
gpg: OpenPGP Karte ist nicht vorhanden: Kein passendes Gerät gefunden

Das Journal dazu befragt... scdaemon erkennt meine Smartcards, aber pcscd verweigert meinem User den Zugriff.

Also mal als Root... ja, da liefert opensc-tool meine Smartcards.

Dann eine noch seltsamere Erkenntnis...
In tmux ausgeführt, verweigert pcscd die Abfrage mit opensc-tool, in der normalen Bash gibts aber ein Ergebnis... meine Token sind da.

Dann hab ich meinen SafeNet eToken ausprobiert... der ließ sich wunderbar zum ssh-agent hinzufügen... gut, der nutzt aber auch den scdaemon bzw. pcscd nicht (extra Ausnahme in der Config).

Schließlich wurde ich auf bugs.debian.org/cgi-bin/bugrep… fündig. Offenbar wurden bei Polkit Rules entfernt, die es Usern erlauben, pcscd/Smartcards zu nutzen... am 8. September beim Update wurde /usr/share/polkit-1/rules.d/sssd-pcsc.rules so geändert, dass die Rule nur mehr für Root zieht. Da wurde das File zumindest aktualisert.
Und heut erst wurde die Änderung durch den Zwangsreboot schlagend...

Die Lösung war auf jeden Fall folgende:
Ich hab ein File /etc/polkit-1/rules.d/40-allow-pcscd.rules

# cat 40-allow-pcscd.rules 
polkit.addRule(function(action, subject) {
    if (
        subject.isInGroup("plugdev")
        && (
            action.id === "org.debian.pcsc-lite.access_pcsc"
            || action.id === "org.debian.pcsc-lite.access_card"
        )
    ) {
        return polkit.Result.YES;
    }

    return polkit.Result.NOT_HANDLED;
});

Aber warum gpg am Yubikey nicht mehr funktioniert... bleibt mir auch ein Rätsel.

Learning more than I ever wanted about pkcs#11

#pkcs11

Wow is the documentation for Smartcards shit. Like it impossible to even figure the basics out.

Like e.g. how do I delete the private key from this card? Why does "pkcs11-tool -b" not work? Why does it reply with a login error when I enter the correct pin and with an internal error if I enter an invalid one?
????

#smartcard #gpg #pkcs11 #opensc

Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema

Vediamo quanti anni devono passare ancora... Io sono senza parole 😞

Siamo nel #2025 e con #Firefox sulle *buntu #Opensc e tutti i certificati #PKCS11 (quindi anche robe come la #CNS) continuano a *NON* funzionare grazie al fantastico sistema #SNAP che qualcuno nello staff di #Ubuntu ha detto semplicemente "freghiamocene", nonostante sia stato segnalato da ANNI il problema

Vediamo quanti anni devono passare ancora... Io sono senza parole 😞

@jpmens Read that too and also had a look at #cznic #Knot for a #dnssec bump-in-the-wire signer.
Also seen that @nitrokey also has doc for #Knot: https://docs.nitrokey.com/nethsm/knotdns
One operational question I have is the the ability to pre-generate keys once on the HSM, lock the #pkcs11 interface and have #Knot use them for automatic roll-overs according to policy w/o creating new keys automatically.
My understanding of #Knot manual mode is that key timing has to be done… well, manually!

Are you using #SoftHSM? Join us on October 24th! Check the attachment for details.

#PKI #PKCS11 #SOFTHSM #OPENDNSSEC #OPENSOURCE

What could cause #Firefox (after opening a new tab) to try to unlock a #PKCS11 by asking for PIN? #security #infosec

Morgen, am 14.06.2024 um 18:30 gibt es wieder ein #VALUG-Treffen im Alten Schl8hof in #Wels. @hkrat wird diesmal Einblicke in die Thematik "#HSM (#TPM, #CAAM) & #PKCS11" gewähren. https://valug.at/events/2024-06-14-hsm/

I finally dusted off my #openssl to #pkcs11 conversion project to work with openssl3:

https://git.kernel.org/pub/scm/linux/kernel/git/jejb/openssl-pkcs11-export.git/

This all came about because I wanted a pkcs11 capability rooted in the #tpm2 so I can use #tpm based keys on #firefox . However, since I'd already written the engine for tpm2, it seemed somewhat parochial to limit this to tpm2 only and instead I wrote the above to export every possible key type (including engine keys and hence tpm2 keys) from openssl.

從一開始入手 … 閱讀全文 Fedora 上使用硬體加密的 SSH 與 PGP

https://kanru.info/fedora-pkcs11-ssh-and-pgp/

Dopo altri #mesi, questo è l'aggiornamento sulla vicenda 🤦 ...

#firefox #cns #snap #canonical #ubuntu #PKCS11