Firma digitale e Portachiavi- PROBLEMA

[bonettis]

ho fatto come da te suggerito, ma all'interno della cartella Keychains ( non ho trovato Keychain )
non ho trovato il nome esatto del documento da eliminare.
Utilizzando il terminale ho pure reso visibili i files nascosti con il seguente comando:

defaults write com.apple.finder AppleShowAllFiles TRUE
seguito da
killall Finder

nella cartella ci sono 10 file
di cui ti allego alcuni nomi
.fl0D1D1BA9
.fl602C6C91
login.keychain-db
Microsoft_Intermediate_Certificates
ecc.


e una sottocartella (denominata 9B53D43E-D59A-548B-995B-BEF3C91188D5)
di cui ti allego alcuni nomi dei file contenuti
ckks_analytics_v2.db-wal
keychain-2.db-shm
keychain-2.db-wal
ecc.

ma come detto non compare il nome esatto del documento da eliminare.

Ciao

[faxus]

Mi spiace, non ho gli elementi per aiutarti.

Se ti viene in mente qualcosa...
Magari guarda in Time Machine cosa c'era prima e cosa c'è adesso in Keychains.

(per accedere ai backup nella libreria utente, devi GIA' essere nella libraria utente quando apri Time Machine)

[bonettis]

La stringa giusta che permette di vedere il portachiavi correttamente è la seguente:

sudo security unlock-keychain -u SmartCard\ 7000000823939769

ma dopo aver dato l'invio, nel finder appare una finestra analoga a quella che compare prima dell'invio delle mail
con la seguente richiesta:
security vuole utilizzare il portachiavi "SmartCard 7000000823939769".
inserisci la password del portachiavi.......
inserendo la password dell'amministratore ( in quanto quella del portachiavi non la conosco ) compare la seguente dicitura

security: SecKeychainUnlock SmartCard 7000000823939769: An internal error has occurred

dalla quale si evince che il portachiavi è riconosciuto ( penso!!! ) ma ancora necessita della SUA password.

Ciao

[faxus]

Probabilmente è stato inserito un ulteriore livello di sicurezza.

Quei comandi che ho dato li ho semplicemente costruiti leggendo il man, quindi non so.
Purtroppo non c'è molta documentazione.
E la pagine dei Developer Apple non spiegano tutte le innovazioni aggiunte, quando si tratta di sicurezza...

Ulteriori ricerche non contemplano casi particolari di portachiavi protetti.

In conclusione, hai due alternative:

1) distruggi tutto il portachiavi con tutti i dati
https://support.apple.com/kb/PH20123?vi ... cale=it_IT" onclick="window.open(this.href);return false;
Conservandone una copia o recuperando da Time Machine potresti recuperare gli altri portachiavi, escluso quello smartcard.

2) reinstalla integralmente (tutto il sistema) da Time Machine a una situazione precedente al pasticcio.
Se avrai registrato a parte i dati recenti elaborati dovrai solo aggiornare sistema e applicazioni.
Poi naturalmente creare il nuovo portachiavi smartcard

[bonettis]

ok grazie mille, provo e ti faccio sapere come sarà andata.

Ciao

[bonettis]

Mi sembra impossibile ma è successo questo.....

Ho ripristinato tutto il sistema da TimeMachine facendo riferimento alla data del 15 ottobre,
tenuto conto che il problema è sorto il 22 novembre data in cui ho aggiornato i certificati per
la firma digitale.

Il risultato è che tutto ( file di lavoro, note, ecc. che ho comunque salvato aggiornate ad oggi su altro mac )
risale effettivamente al 15 ottobre, ma il portachiavi SmartCard xxxxxx è incredibilmente ancora quello
ultimo pertanto contenente certificati del 22 novembre ed ovviamente password sconosciuta!!!!!!

A questo punto non so proprio più cosa fare....che ne pensi?

Grazie

[faxus]

Prova la soluzione 1...

[bonettis]

Non funziona neppure la soluzione uno.
Il link che mi hai segnalato così indica:

Eliminare un portachiavi
1.Se i portachiavi sono nascosti, scegli Vista > Mostra portachiavi.
2.Seleziona un portachiavi dall'elenco Portachiavi.
3.Scegli File > Elimina portachiavi [nome portachiavi].
4.Fai clic su “Elimina riferimenti”.

ma il punto 3. non è eseguibile in quanto il comando nel menu non è attivo
e quindi non posso eliminarlo....

Se cancellassi tutte le cartelle all'interno del disco TimeMachine posteriori al pasticcio
e ripristinassi il tutto forse eviterei, come ho fatto ieri, di ritrovarmi nel portachiavi ancora
il portachiavi SmartCard xxxxxx....che ne pensi? mi resta un dubbio: dovrei cancellare anche la cartella "Latest"
oppure cancellandola sorgerebbero dei problemi? E' forse il contenuto di questa cartella che mi ripresenta,
nonostante il ripristino, il portachiavi SmartCard xxxxxx....?

Grazie Silvano

[faxus]

Distruggilo significa che se hai un buon backup, prendi tutto il portachiavi e lo butti, cancelli o distruggi con Terminale o EasyFind.
Se non ti fidi, o per sicurezza, esporti in un'altra cartella i portachiavi validi.
Cancella anche l'applicazione e qualsiasi connesso..

Poi applichi l'aggiornamento combinato o reinstalli il solo sistema da Recovery.
Quindi ricostruisci il portachiavi valido con Time Machine o i file esportati.

Poi, infine, ricostruisci quello col problema.
Senza fare stranezze

[bonettis]

Qui si fa rischiosa anche se qualche copia soprattutto dei lavori l'ho archiviata.
Andiamo per passi...
1. Nel disco Time Machine cancello la cartella Latest e tutte le cartelle più recenti rispetto all'aggiornamento della firma digitale.
L'aggiornamento risale al 22 novembre, diciamo che cancello tutti i backup da oggi al 20 novembre......ok?

2. A questo punto mi dici di cancellare con il terminale tutto il portachiavi...qual'è la procedura esatta?

3. Dopo di che ripristino tutto da TimeMachine facciamo conto come detto dal 20 novembre....OK

da qui in poi non mi è chiaro che fare...


grazie.....se risolvo come minimo ti offro una pizza

[faxus]

Ommadonna... Ma perché complichi le cose semplici?
Chi ha mai parlato di cancellare le cose da Time Machine?

Opera solo ed esclusivamente su disco.

Distruggi e ricostruisci il portachiavi, col Finder, se non sai come fare con Terminale.
Le istruzioni dettagliate le ho date prima, leggile bene

Distruggilo significa che se hai un buon backup, prendi tutto il portachiavi e lo butti, cancelli o distruggi con Terminale o EasyFind.
Se non ti fidi, o per sicurezza, esporti in un'altra cartella i portachiavi validi.
Cancella anche l'applicazione e qualsiasi connesso..

Poi applichi l'aggiornamento combinato o reinstalli il solo sistema da Recovery.
Quindi ricostruisci il portachiavi valido con Time Machine o i file esportati.

Poi, infine, ricostruisci quello col problema.
Senza fare stranezze

[bonettis]

Ovviamente se fosse così semplice da poter inizializzare il portachiavi dal finder l'avrei fatto da tempo.
Come verificato non è possibile cancellare neppure da Terminale nonostante abbia seguito le tue, peraltro preziose, indicazioni,
e addirittura il ripristino da Time Machine, che notoriamente prevede l'inizializzazione del disco, è risultato vano.

Ho contattato Applecare e dopo un paio di pomeriggi al telefono sono riuscito ad eliminare il blocco sull'invio delle mail,
ma è rimasto aperto il problema della cancellazione del portachiavi creato a seguito dell'aggiornamento
delle firme digitali di Aruba.

I tecnici Apple mi hanno comunicato che si interfacceranno con Aruba per risolvere un blocco che neppure loro riescono
(almeno finora) a bypassare.

Grazie a tutti in particolare a faxus, se avrò delucidazioni da Apple vi informerò.

[faxus]

Non ci sono limiti alla cancellazione col Finder e Terminale.

Nelle cartelle di /System, /usr, /bin e /sbin non puoi fare cancellazioni e modifiche.
Per farlo devi disabilitare il SIP.

Suppongo che il certificato abbia inserito una sorta di clausola di immutabilità in /usr/local.
Lì oppure nel documento.

Puoi provare a disabilitare SIP ne cambiare i permessi in /usr/local:

Disabilitare System Integrity Protection (rootless):

Per disabilitarlo, accedere a Recovery e riavviare:

Codice: Seleziona tutto

csrutil disable; reboot

Operare la cancellazione, ripristino ecc.

Poi di nuovo accedere a Recovery per abilitarlo e riavviare:

Codice: Seleziona tutto

csrutil enable; reboot

Si verifica con

Codice: Seleziona tutto

csrutil status

Cambiarei permessi che impediscono cambiamenti in /usr/local:
A SIP disabilitato

Codice: Seleziona tutto

sudo chflags norestricted /usr/local

Codice: Seleziona tutto

chown /usr/local/bin/root