<html dir="ltr"><head></head><body style="text-align:left; direction:ltr;"><div>Thanks Paul,</div><div><br></div><div>I will have a look at the impact of removing this file. </div><div><br></div><div>On a somewhat related note, is it reasonable and possible to do something like the following</div><div><br></div><div>Store IPSEC host keys in TPM and allowing the IPSEC link to be made live on system startup so that the system can participate on a private network and access non-public resources. </div><div><br></div><div>Regards</div><div>Ian</div><div><br></div><div>-----Original Message-----</div><div><b>From</b>: Paul Wouters <<a href="mailto:Paul%20Wouters%20%3cpaul@nohats.ca%3e">paul@nohats.ca</a>></div><div><b>To</b>: Ian Willis <<a href="mailto:Ian%20Willis%20%3cian@checksum.net.au%3e">ian@checksum.net.au</a>></div><div><b>Cc</b>: <a href="mailto:Swan@lists.libreswan.org">Swan@lists.libreswan.org</a></div><div><b>Subject</b>: Re: [Swan] libreswan smartcards unexpected side effects</div><div><b>Date</b>: Mon, 2 May 2022 15:22:52 -0400 (EDT)</div><div><br></div><pre>On Fri, 29 Apr 2022, Ian Willis wrote:</pre><pre><br></pre><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>So far it appears to just be the card reader itself which causes the issue.</pre><pre>It also appears to cause issues with Firefox which becomes unresponsive even</pre><pre>after the card reader is removed.</pre></blockquote><pre><br></pre><pre>See  /etc/crypto-policies/local.d/nss-p11-kit.config</pre><pre><br></pre><pre>name=p11-kit-proxy</pre><pre>library=p11-kit-proxy.so</pre><pre><br></pre><pre>It is p11-kit-proxy that pulls in the "system defaults" I believe.</pre><pre>My guess is if you delete/rename that file, it should no longer try</pre><pre>to any hardware within libreswan (or other nss apps!)</pre><pre><br></pre><pre>Paul</pre><pre><br></pre><pre><br></pre><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>[34032.370329] usb 1-2.1.3: new full-speed USB device number 17 using</pre><pre>xhci_hcd</pre><pre>[34032.631033] usb 1-2.1.3: New USB device found, idVendor=096e,</pre><pre>idProduct=060d, bcdDevice= 3.52</pre><pre>[34032.631036] usb 1-2.1.3: New USB device strings: Mfr=1, Product=2,</pre><pre>SerialNumber=3</pre><pre>[34032.631038] usb 1-2.1.3: Product: R502</pre><pre>[34032.631039] usb 1-2.1.3: Manufacturer: Feitian</pre><pre>[34032.631040] usb 1-2.1.3: SerialNumber: F6325B88290000F5</pre><pre>[34066.200951] usb 1-2.1.3: USB disconnect, device number 17</pre><pre><br></pre><pre>Currently looking through </pre><a href="https://access.redhat.com/articles/4253861"><pre>https://access.redhat.com/articles/4253861</pre></a><pre> to gain</pre><pre>a bit more insight on this and will probably just use an alternative reader.</pre><pre><br></pre><pre><br></pre><pre><br></pre><pre>Kind Regards</pre><pre><br></pre><pre>-----Original Message-----</pre><pre>From: Paul Wouters <</pre><a href="mailto:paul@nohats.ca"><pre>paul@nohats.ca</pre></a><pre>></pre><pre>To: Ian Willis <</pre><a href="mailto:ian@checksum.net.au"><pre>ian@checksum.net.au</pre></a><pre>></pre><pre>Cc: </pre><a href="mailto:Swan@lists.libreswan.org"><pre>Swan@lists.libreswan.org</pre></a><pre><br></pre><pre>Subject: Re: [Swan] libreswan smartcards unexpected side effects</pre><pre>Date: Thu, 28 Apr 2022 22:37:27 +0200</pre><pre><br></pre><pre>There is an nss automatic hardware module loader config that makes system wi</pre><pre>de hooks available in nss that can be disabled in /etc with some option but </pre><pre>I don’t remember exactly which one and a quick google didn’t help me. I ran </pre><pre>into it when I installed open dnssec that installed softhsm and then Pluto’s</pre><pre> nss also read it the softhsm stored as part of nss.</pre><pre><br></pre><pre>Sent using a virtual keyboard on a phone</pre><pre><br></pre><pre>On Apr 28, 2022, at 16:34, Ian Willis <</pre><pre><br></pre><a href="mailto:ian@checksum.net.au"><pre>ian@checksum.net.au</pre></a><pre><br></pre><pre><br></pre><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>wrote:</pre></blockquote><pre><br></pre><pre><br></pre><pre><br></pre></blockquote></body></html>