У меня есть смарт-карта следующего образца: https://fsfe.org/fellowship/card.en.html (версия 2.0). Она предназначена для хранения PGP-ключей, чтобы ими можно было что-нибудь подписывать, шифровать или аутентифицировать на карте, где секретный ключ будет в безопасности.

У меня есть терминал модели Cherry SmartTerminal 2000U с клавиатурой для PIN-кода.

Так вот вопрос: как это использовать?

Я сначала взял GnuPG2, который якобы прекрасно умеет работать со смарткартами. В самом деле, после некоторых махинаций (устранить какой-то gpg-agent от Гнома, который только притворяется gpg-agent'ом) я смог заставить его прочитать статус карты (информация о владельце, наличие ключей и проч.). Но вот какое дело: я не могу заставить его читать PIN с клавиатуры терминала.

Под моим Mint 15 он требует ввести PIN на компьютере. Это в принципе работает, но я не для того покупал терминал с клавиатурой, чтобы PIN на компе вводить. На рядом собранной Генте более новая и по-другому собранная версия, она читает PIN с клавиатуры терминала, но всё время говорит «invalid value», и проверка PIN не срабатывает (но количество попыток ввода, что для простого PIN, что для AdminPIN не уменьшается, так что я заключаю, что проверка просто не происходит). Я даже пытался собирать версию из Git, но она работает так, что невозможно даже понять, успешно прошла операция или нет.

Я так понимаю, что у GnuPG есть два способа получить доступ к карте: встроенный CCID-драйвер или pcscd из пакета pcsc-lite с API PC/SC, и я предполагаю, что у меня на Mint встроенный драйвер почему-то просто не работает, так что он автоматически использует pcscd. Я в этих API доступа к смарт-картам, честно говоря, не разбираюсь, поэтому у меня проблемы с диагностикой. И вот, якобы через встроенный драйвер он умеет читать PIN с терминала, а через pcscd ­— нет (хотя вроде бы этому ничто не препятствует). С другой стороны, во всех руководствах предлагается именно установить pcscsd.

Кроме того, всё это дело выглядит как глюкодром на глюкодроме, смотанные изолентой. Гномовское поделие, прикидывающееся gpg-agent, но не полностью совместимое? Сообщение («Карта не найдена: неизвестная IPC-команда»), когда я в окне ввода PIN элементарно нажимаю «Отмена»? Два драйвера для одного и того же, и оба кривые? Это всё какие-то детские болезни, как их не вылечили до сих пор? Тем более, что терминалы Cherry числяться полностью поддерживаемыми всем, чем можно, не говоря уже о картах FSFE.

Поэтому прошу помощи. Кто знает, расскажите, какое есть решение, чтобы можно было пользоваться этой картой (поменять AdminPIN, PIN, загрузить ключи, подписать сообщение, зашифровать сообщение), причём так, чтобы PIN вводился исключительно на самом терминале.

P.S. К терминалу прилагался некий SCMCCID (библиотека CCID от фирмы SCM), но он проприетарный и работает поверх pcscd, так что я вообще не понимаю, чего он делает и зачем оно нужно.