iKey 3000

• Paměť 32kB (20kB využitelných)
• HW podpora RSA (1024bit) a MD5
• Možnost generování klíče přímo v tokenu

1. Nainstalovat openct a opensc. Příkaz openct-tool list by měl vložený token vidět.
2. Smazat token příkazem pkcs15-init -E
3. Inicilizovat token: pkcs15-init -C. Během inicializace budete dotázáni na SO PIN a SO PUK. Obojí je volitelné, pokud je SO PIN zadán, je vyžadován při každé změně dat na tokenu. SO PUK se použije v případě zablokování SO PINu.
4. Vytvoření uživatelského PINu na tokenu: pkcs15-init -P --label Franta --auth-id 01.

PKCS11 knihovna, která je potřeba pro podporu tokenu v aplikacích, se instaluje spolu s opensc a jmenuje se opensc-pkcs11.so.

Sám výrobce snad dodává ovladače pro Linux přímo sám, ale nezkoušel jsem. Open-source alternativa opensc funguje s tokenem docela dobře a lze ji zprovoznit i na Windows (token se stejnými daty pak lze používat na obou systémech). Odblokování PINu (ať už SO nebo uživatelského) lze provést jen, když je PIN zablokovaný (zpravidla po 3. špatném zadání). Je to vlastnost chipu Starcos, ostatní se tak nechovají.

Pro vygenerování RSA klíče v tokenu lze použít příkaz pkcs15-init -G rsa/1024 --auth-id 01. OpenSSL umí používat PKCS11 knihovnu a tedy lze i k tomuto klíči vygenerovat CSR pro certifikát. Použití OpenSSL:
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/opensc/opensc-pkcs11.so
OpenSSL> req -engine pkcs11 -new -key id_45 -keyform engine -out cert.csr
-key id_45 musí korespondovat s ID klíče v tokenu (default je 45). Po vytvoření certifikátu ho lze přidat do tokenu: pkcs15-init -X cert.pem --auth-id 01 --id 45.

Příkaz pkcs15-tool -D vypíše přehledně obsah celého tokenu. Více informací o těchto nástrojích a případně o aplikacích, které dokážou spolupracovat, jsou na domovské stránce opensc.