<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 22 February 2016 at 11:16, Nikos Mavrogiannopoulos <span dir="ltr"><<a href="mailto:nmav@redhat.com" target="_blank">nmav@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">
</span>That's an implementation detail. As far as I know engine_pkcs11 does<br>
not require re-authentication after fork. It handles the pkcs11<br>
peculiarities internally.<br></blockquote><div><br></div><div>AFAIK this works by caching the PIN in engine_pkcs11 internally and is OK for most of the  use cases with smartcards. However HSMs usually use more complex authentication schemes where this approach does not work i.e. in order to login there must be N of M physical tokens/cards with passwords presented in a sequence (requires vendor specific extensions when used via PKCS#11). CHIL engine already handles such schemes very well and does not need to reauthenticate after fork.<br></div><div><br></div><div>Regards, Jaroslav<br></div></div></div></div>