Token GoTrust Idem Key (mojeID) nefunguje v Linux Mint 19

Ahoj,
resim tu problem s GoTrust Idem Key, ktery mi prisel od mojeID.
Ve windows 10 chodi skvele. Na notebooku a pc s linux mint 19.3 vsak nefunguje. Kdyz si na mintu dam win10 do virtualboxu a tam pripojim token, tak jde. Ale primo v linuxu ne.

System klic vidi:
Kód: [Vybrat]
[ 8345.063751] usb 1-3.4.4: new full-speed USB device number 17 using xhci_hcd
[ 8345.166279] usb 1-3.4.4: New USB device found, idVendor=32a3, idProduct=3201
[ 8345.166287] usb 1-3.4.4: New USB device strings: Mfr=1, Product=2, SerialNumber=5
[ 8345.166291] usb 1-3.4.4: Product: Idem Key
[ 8345.166295] usb 1-3.4.4: Manufacturer: GoTrust
[ 8345.166299] usb 1-3.4.4: SerialNumber: 203401000800
[ 8345.170900] hid-generic 0003:32A3:3201.0010: hiddev2,hidraw5: USB HID v1.00 Device [GoTrust Idem Key] on usb-0000:00:14.0-3.4.4/input1
[ 8345.172648] input: GoTrust Idem Key as /devices/pci0000:00/0000:00:14.0/usb1/1-3/1-3.4/1-3.4.4/1-3.4.4:1.2/0003:32A3:3201.0011/input/input26
[ 8345.233046] hid-generic 0003:32A3:3201.0011: input,hidraw6: USB HID v1.01 Keyboard [GoTrust Idem Key] on usb-0000:00:14.0-3.4.4/input2

Po pripojeni do USB se na tokenu rozsviti logo,ale tim to konci. Firefox i Chrome se zeptaji na pouziti tokenu, ale po vyzvani o prilozeni prstu se nic nestane. Token sviti dal a i kdyz na nej saham, tak se nic nestane. Po chvili mi Chrome napise hlasku o timeoutu.

Zkousel jsem i upravu udev, napr.:
- https://github.com/Yubico/libu2f-host/blob/master/70-u2f.rules
- https://www.root.cz/clanky/fido-u2f-by-plug-up-levny-prihlasovaci-token-nejen-ke-google/
ale nic z toho nejde (USB VID a PID jsem nahradil za ID sveho tokenu).

Podle https://webauthn.me/debugger (https://www.mojeid.cz/cs/podpora/statni-sprava/#problemy-s-bezpecnostnim-klicem) take nejde.

Dokazal by mi nekdo poradit, co delam spatne?
Co jsem token zkousel na Win10 pro mojeID a Gmail, tak se mi moc libil.
Doufal jsem, ze v linuxu bude fungovat na prvni zasunuti.
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."


Re:Token GoTrust Idem Key (mojeID) nefunguje v Linux Mint 19
« Odpověď #1 kdy: 20. 10. 2020, 21:16:16 »
a linux naprimo?

to bude nejake usb nastaveni pro virtual.

Re:Token GoTrust Idem Key (mojeID) nefunguje v Linux Mint 19
« Odpověď #2 kdy: 20. 10. 2020, 21:17:23 »
a linux naprimo?
to bude nejake usb nastaveni pro virtual.

No prave linux mint 19.3 naprimo nefunguje.
Kdyz vsak v tom mintu spustim win 10 ve virtualboxu a pripojim do toho virtualu usb token, funguje skvele.
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

Re:Token GoTrust Idem Key (mojeID) nefunguje v Linux Mint 19
« Odpověď #3 kdy: 20. 10. 2020, 21:44:07 »
Já jsem kvůli tomu svému musel do Debianu přidat pravidlo pro udev. Výrobce to má popsané na webu. Jen jsem narazil na to, že ID v tom pravidlu je citlivé na velikost znaků. V původní verzi návodu bylo 32A3, ale v lsusb hlásí 32a3. Pak to začalo fungovat normálně.

Bez úpravy se to chovalo přesně stejně, tedy to nereagovalo a tlačítko jen svítilo. Bez toho pravidla totiž k zařízení v /dev/ nemá přístup běžný uživatel. Přidáním tagu uaccess má možnost uživatel s tím USB zařízením pracovat a tím to jednoduše začne fungovat.

Re:Token GoTrust Idem Key (mojeID) nefunguje v Linux Mint 19
« Odpověď #4 kdy: 20. 10. 2020, 21:44:58 »
a linux naprimo?
to bude nejake usb nastaveni pro virtual.

No prave linux mint 19.3 naprimo nefunguje.
Kdyz vsak v tom mintu spustim win 10 ve virtualboxu a pripojim do toho virtualu usb token, funguje skvele.

tak jeste me napadaji prava k hw usb na zivem linuxu.
nebo v rozdilech v loadovani modulu s ovladaci v zivem a virtualnim linuxu.


Re:Token GoTrust Idem Key (mojeID) nefunguje v Linux Mint 19
« Odpověď #5 kdy: 20. 10. 2020, 22:40:44 »
Já jsem kvůli tomu svému musel do Debianu přidat pravidlo pro udev. Výrobce to má popsané na webu. Jen jsem narazil na to, že ID v tom pravidlu je citlivé na velikost znaků. V původní verzi návodu bylo 32A3, ale v lsusb hlásí 32a3. Pak to začalo fungovat normálně.

Bez úpravy se to chovalo přesně stejně, tedy to nereagovalo a tlačítko jen svítilo. Bez toho pravidla totiž k zařízení v /dev/ nemá přístup běžný uživatel. Přidáním tagu uaccess má možnost uživatel s tím USB zařízením pracovat a tím to jednoduše začne fungovat.

Tak me to nepomohlo :-(
Pridal jsem radek od vyrobce (+ pro jistotu jeste jednou s velkymi znaky), ale ani po rebootu se problem nevyresil.

Kód: [Vybrat]
# dmesg
[  156.308633] hid-generic 0003:32A3:3201.0008: hiddev1,hidraw1: USB HID v1.00 Device [GoTrust Idem Key] on usb-0000:00:14.0-3.4.4/input1
[  156.309929] input: GoTrust Idem Key as /devices/pci0000:00/0000:00:14.0/usb1/1-3/1-3.4/1-3.4.4/1-3.4.4:1.2/0003:32A3:3201.0009/input/input22
[  156.367306] hid-generic 0003:32A3:3201.0009: input,hidraw2: USB HID v1.01 Keyboard [GoTrust Idem Key] on usb-0000:00:14.0-3.4.4/input2

# lsusb
Bus 001 Device 013: ID 32a3:3201 

# cat /etc/udev/rules.d/70-token.conf
ACTION!="add|change", GOTO="u2f_end"
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1fc9|32a3", ATTRS{idProduct}=="f143|3201", TAG+="uaccess"
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1FC9|32A3", ATTRS{idProduct}=="F143|3201", TAG+="uaccess"
LABEL="u2f_end"

# uname -a
Linux martin 4.15.0-101-generic #102-Ubuntu SMP Mon May 11 10:07:26 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

Re:Token GoTrust Idem Key (mojeID) nefunguje v Linux Mint 19
« Odpověď #6 kdy: 21. 10. 2020, 07:40:27 »
V debianu 10 a ubuntu 16.04 mi to taky nefungovalo. Já jsem přidal toto:
Kód: [Vybrat]
$ cat /etc/udev/rules.d/70-u2f.rules

ACTION!="add|change", GOTO="u2f_end"

# Idem keys
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1fc9|32a3", ATTRS{idProduct}=="f143|3201", TAG+="uaccess", GROUP="plugdev", MODE="0660"

# .... zkraceno

LABEL="u2f_end"

S velkým 32A3 to nefungovalo. A ještě tam jsou práva, které tam vy nemáte. Zkontrolujte, že uživatel je ve skupině plugdev přes:
Kód: [Vybrat]
id <uživatel>

Ještě můžete zkontrolovat, že jsou správně práva v /dev:
Kód: [Vybrat]
$ ls -la /dev/hidraw*
crw-------  1 root root    246, 0 říj 16 15:30 /dev/hidraw0
crw-------  1 root root    246, 1 říj 16 15:30 /dev/hidraw1
crw-------  1 root root    246, 2 říj 16 15:30 /dev/hidraw2
crw-rw----+ 1 root plugdev 246, 3 říj 21 07:44 /dev/hidraw3
crw-rw----+ 1 root plugdev 246, 4 říj 21 07:44 /dev/hidraw4
« Poslední změna: 21. 10. 2020, 07:45:41 od Lukáš Hýbner »

Re:Token GoTrust Idem Key (mojeID) nefunguje v Linux Mint 19
« Odpověď #7 kdy: 21. 10. 2020, 17:11:15 »
Zkontrolujte, že uživatel je ve skupině plugdev přes:
Kód: [Vybrat]
id <uživatel>

To by nemělo být potřeba právě kvůli tomu + na konci práv, které značí, že tam udev přidělil práva pro aktuálního uživatele:

Ještě můžete zkontrolovat, že jsou správně práva v /dev:
Kód: [Vybrat]
$ ls -la /dev/hidraw*
crw-------  1 root root    246, 0 říj 16 15:30 /dev/hidraw0
crw-------  1 root root    246, 1 říj 16 15:30 /dev/hidraw1
crw-------  1 root root    246, 2 říj 16 15:30 /dev/hidraw2
crw-rw----+ 1 root plugdev 246, 3 říj 21 07:44 /dev/hidraw3
crw-rw----+ 1 root plugdev 246, 4 říj 21 07:44 /dev/hidraw4

Skutečně bych začal analýzou práv ke konkrétním souborům, to bude nejspíš příčina nefunkčnosti. Na mém Gentoo bylo potřeba překopírovat soubor /lib/udev/rules.d/70-u2f.rules do /etc/udev/rules.d/ a přidat do něj správné Vendor ID a Product ID. Ale ten původní soubor byl součástí balíčku app-crypt/libu2f-host-1.1.10, takže možná je potřeba mít i ten.

Re:Token GoTrust Idem Key (mojeID) nefunguje v Linux Mint 19
« Odpověď #8 kdy: 11. 01. 2021, 10:11:22 »
Pro uživatele Debian Buster, bych dodal, že když se soubor pojmenuje 70-u2f.rules a umístí do /etc/udev/rules.d/ tak koliduje se systémovým /lib/udev/rules.d/70-u2f.rules a rozbije podporu YubiKey který do tý doby fungoval úplně bez problémů. Po přejmenování na 71-GoTrustIdemKey.rules funguje jak tenhle token tak YubiKey.