<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Like installing things on Mac OS X: You get a "system prompt" telling<br>


you that something somewhere is asking for your password/PIN. Or when<br>
installing some wrapped MSI on Windows and UAC steps in.<br>
<br>
In practice, the command line tool (if used interactively) can be<br>
helpful and say "you get prompted now to make change X to the system".</blockquote><div><br></div><div style>I was meaning more how this might work in a headless environment.  I'm guessing we wouldd have to fall back to the app providing the pin itself in if there was no GUI available? </div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
</div>For PKCS#11 (the API) it is still a "simple" implementation detail:<br>
take HSM-s, which store their key blobs the same way and work (almost)<br>
flawlessly. PKCS#11, by the nature of it, will anyway require a "fixed<br>
location" somewhere in the filesystem with a fixed module to be loaded<br>
by the application, which needs installation (and possible a question<br>
or two answered to configure it).</blockquote><div> </div><div style>I'm not sure what you mean by PKCS#11 requiring a fixed location on the filesystem.  Sure, it requires the app to load the correct module (which I hope p11-kit can help), but once you have the slots, you access them based on their attributes, not any fixed location AFAICT.  Am I misunderstanding something?</div>

</div></div></div>