Carta Nazionale dei Servizi e Firma Digitale

2012-11-22T09:30:26Z

Remix tj: /* Programmi Open Source di firma digitale */

Questa pagina è un maldestro tentativo di fare chiarezza sul "mondo" delle '''smartcard''' con microchip crittografico, delle funzioni che tramite esse vengono veicolate e del loro utilizzo con Linux.
Per accedere in modifica al wiki devi chiedere per email scrivendo a hal(at)linux.it.
Per discussioni tecniche utilizziamo la lista di discussione [http://lists.linux.it/listinfo/golem-hack GOLEM-hack]. Puoi iscriverti.

Magari dai anche un'occhiata a '''[[Discussione:Carta_Nazionale_dei_Servizi_e_Firma_Digitale|cosa manca]]'''. Potresti essere utile...

=CNS-FD=

La funzionalità più diffusa è quella di [http://www.digitpa.gov.it/carta-nazionale-dei-servizi Carta Nazionale dei Servizi - '''CNS''']. Le tessere sanitarie '''TS''' di molte Regioni e le carte regionali dei servizi sono comunque carte nazionali dei servizi CNS.

Una seconda funzionalità molto importante è quella di [http://www.digitpa.gov.it/firme-elettroniche-certificatori Firma Digitale - '''FD'''].

La CNS è uno strumento di autenticazione, di riconoscimento online ('''identità'''). La FD è uno strumento di approvazione, di sottoscrizione ('''volontà''').

La smartcard è l'oggetto fisico. Può contenere o '''soltanto''' la funzionalità CNS, o '''soltanto''' la funzionalità FD, o '''entrambe''', oppure '''nessuna''' (come nel caso delle tessere sanitarie con microchip appena giunte al cittadino e non ancora "attivate").

Tessera Sanitaria TS, oppure Carta Regionale dei Servizi CRS, Carta Provinciale o Comunale o qualcosa di qualche pubblica amministrazione, per quanto riguarda la nostra problematica tecnica, sono tutte Carta Nazionale dei Servizi CNS, perché devono adattarsi a questo standard.

=Produttori di smartcard=

I produttori di smartcard (o meglio di microchip) dovrebbero rispettare lo standard [http://www.rsa.com/rsalabs/node.asp?id=2141 pkcs#15], ma non sempre lo fanno. Per questo abbiamo bisogno di driver specifici (spesso binari e non-Liberi).

==Incard==

Molte smartcard utilizzate in Italia (Camere di Commercio, sia le vecchie fornite da Infocert, sia molte delle nuove fornite da ArubaPEC) sono del produttore [http://www.incard.it/ Incard]. I driver di queste smartcard sembrano essere sviluppati da Bit4id e sono rilasciati gratuitamente, ma non-Liberi, in formato binario da [http://www.pec.it/Download.aspx ArubaPEC]. ('''da pacchettizzare''' .deb e/o .rpm)

==Athena==

Altre smartcard molto diffuse (alcune CRS Lombardia, TS Toscana, alcune TS Sardegna) sono del produttore [http://www.athena-scs.com/ Athena] che lascia scaricare i driver dal sito [http://www.pec.it/Download.aspx ArubaPEC], non-Liberi, in formato binario. ('''da pacchettizzare''' .deb e/o .rpm)

==Siemens==

Siemens: su queste smartcard abbiamo poche notizie ma buone. Molto usate in passato dalle Camere di Commercio e adesso dalla [http://www.regione.liguria.it/argomenti/diritti-e-doveri-del-cittadino/carta-regionale-dei-servizi.html CRS ligure], le smartcard Siemens richiedono il software CardOS. Stranamente CardOS non si riesce a trovarlo sul sito [http://www.siemens.com Siemens] perché ogni vecchio collegamento viene adesso reindirizzato verso [http://atos.net/en-us/about_us/Company_Profile/company-history/default.htm Atos], da cui non si ricava niente. La [http://www.regione.liguria.it/archivi/archivio-allegati/doc_download/8139-manuale-di-gestione.html buona notizia] è che tali carte funzionano perfettamente con i driver Liberi [http://www.opensc-project.org/ OpenSC]. Comunque ci sono anche [http://www.regione.liguria.it/archivi/archivio-allegati/cat_view/40-diritti-e-doveri-del-cittadino/2300-carta-nazionale-dei-servizi-tessera-sanitaria/2303-software/2430-software-per-linux.html questi driver] da testare. (Non abbiamo a disposizione smartcard Siemens, che qualche ligure verifichi...)

Dal sito della Provincia di Bolzano si possono scaricare driver e interfaccia grafica per CardOS: [http://www.provincia.bz.it/cartaservizi/downloads/linux/cardos.tar.gz a 32 bit] e [http://www.provincia.bz.it/cartaservizi/downloads/linux/cardos64.tar.gz a 64 bit].

==Oberthur==

Le smartcard [http://www.oberthur.com/ Oberthur] sono utilizzate per la firma digitale da [https://www.pec.it ArubaPEC], molti ordini professionali emettono per i loro associati smartcard di questo produttore. I [http://www.pec.it/Download.aspx driver per Oberthur] sembrano essere sviluppati da Bit4id e sono distribuiti, non-Liberi ma gratuiti, in formato binario da ArubaPEC. ('''da pacchettizzare''' .deb e/o .rpm)

==Vecchie smartcard==

Un bell'elenco, storico, molto dettagliato, di microchip e dei relativi produttori si trova nella [https://www.firma.infocert.it/pdf/CARD_1.pdf documentazione Infocert]. Sysgillo, InCrypto, Siemens... le vecchie firme digitali delle Camere di Commercio.

=Lettori di smartcard=

Chi produce i lettori spesso rispetta lo standard [http://www.rsa.com/rsalabs/node.asp?id=2133 pkcs#11], quindi i lettori più nuovi dovrebbero risultare compatibili con Linux.

I seguenti lettori di smartcard sono stati testati e funzionano con Linux

==Bit4id==
[http://www.bit4id.com/it/index.php?option=com_content&view=article&id=93&Itemid=507&lang=it miniLector Piano] di Bit4id: funziona.

==Manhattan==
[http://www.manhattan-products.com/en-US/products/5605-smart-card-reader Manhattan]

Lo vende (per esempio) [http://www.icintracom.biz/lettore-di-smart-card-usb-esterno-1822.html icintracom]: funziona.

Sembra lo stesso lettore che vende anche [http://www.digicom.it/digisit/prodotti.nsf/ITProdottiIDX/SmartCardReader Digicom]. Visto da Trony a 17,99 euro (settembre 2012). Logo Linux sull'esterno della scatola.

==Hamlet==
[http://www.hamletcom.com/products/huscr2.aspx Hamlet]: funziona.

==Gemalto==

Lettori di smartcard [http://www.gemalto.com/products/pc_link_readers/ IDBridge CT family]. Secondo [http://www.programmiamoinsieme.eu/blog/2012/02/11/firma-digitale-con-smart-card-cns-su-linux/ Ludo] funzionano.

Dal [http://support.gemalto.com/index.php?id=download_driver_pc-link_readers sito web] di Gemalto, sia per i lettori [http://support.gemalto.com/index.php?id=pc_usb_sl PC USB SL], sia per quelli [http://support.gemalto.com/index.php?id=pc_usb_tr_and_pc_twin PC USB TR e PC TWIN] si hanno buone notizie per quanto riguarda Linux:

''«This USB CCID device is supported by the '''libccid''' library. This library provides a PC/SC IFD handler implementation for the USB smart card interface devices compliant to the CCID protocol. Gemalto '''is actively involved''' in the development and improvement of this library. This library is packaged and distributed by most of the Linux distributions. TIPS: Use the package manager from your specific Linux distribution to search for the libccid library and install it. The libccid source code is available on the following web site: [http://pcsclite.alioth.debian.org/ccid.html Alioth].»''

==ASEDrive - Athena==

Athena produce non soltanto le smartcard, ma anche i lettori [http://www.athena-scs.com/support/software-driver-downloads ASEDrive]: dovrebbero funzionare.

==Altri?==

Aggiungi pure se hai fatto prove positive di riconoscimento lettori

=Firma digitale FD=

Supponendo di avere fatto bene tutte le configurazioni utili per i lettori e anche per la smartcard in nostro possesso, possiamo provare a firmare con un software di firma. Ce ne sono pochi di Liberi (o Open Source), molti sono a pagamento, alcuni sono non-Liberi ma gratuiti.

==File Protector==

Il miglior software non-Libero ma gratuito che ho trovato è [http://www.card.infocamere.it/infocamere/pub/download-sw-firma_3177 File Protector], sviluppato da [http://actalis.it/ Actalis] e distribuito gratuitamente da [http://www.infocamere.it/ Infocamere], azienda informatica delle [http://www.camcom.gov.it/ Camere di Commercio d'Italia]. Purtroppo funziona soltanto per le architetture a 32 bit.

[http://www.libersoft.it/firma-digitale LiberSoft] distribuisce un pacchetto .deb (Debian/Ubuntu) per facilitare l'installazione di File Protector.

Su [https://github.com/libersoft/fp-installer github] puoi vedere com'è fatto il pacchetto deb. Lo ha fatto [http://www.dnax.it/ Dnax].

Ancora '''non c'è il pacchetto rpm''' (potresti farlo tu...)

Ci sono guide interessanti per installare File Protector su [http://blog.it-opensuse.org/2012/01/15/guida-per-lutilizzo-della-cns-carta-nazionale-servizi/ OpenSuSeLinux] e su Ubuntu ma [http://www.programmiamoinsieme.eu/blog/2012/02/11/firma-digitale-con-smart-card-cns-su-linux/ con il lettore Gemplus] di Gemalto.

==Firma digitale con LibreOffice e OpenOffice==

Nel menù '''File --> Firme digitali...''' di LibreOffice si apre una parentesi di cui qua non sappiamo molto. LibreOffice può firmare un documento senza bisogno di un software di firma separato'''?''' Possiamo firmare un documento di LibreOffice senza utilizzare File Protector'''?''' Come interagisce con il lettore'''?''' Quali formati di documento riesce a firmare'''?''' Soltanto il formato OpenDocument'''?''' Facci sapere...

==Marcatura temporale - Timestamp==

Una marcatura temporale si può apporre con File Protector. Quello di marcatura temporale è un servizio che viene fornito, tramite un server, da una [http://en.wikipedia.org/wiki/Trusted_timestamping#Trusted_.28digital.29_timestamping TSA] Time Stamping Authority (per dirla in modo grossolano un server terzo firma col suo certificato l'[http://it.wikipedia.org/wiki/Secure_Hash_Algorithm impronta] del nostro file dopo averci aggiunto data e ora).

Le marcature devono essere acquistate (per esempio su [http://www.pec.it/MarcheTemporali.aspx pec.it]).

==Programmi Open Source di firma digitale==

Abbiamo trovato [http://j4sign.sourceforge.net/ j4sign], [http://opensignature.sourceforge.net/ OpenSignature] e [http://javasign.sourceforge.net/ JavaSign].

Non sono aggiornati da diversi anni. Non ho trovato pacchetti pronti, né deb né rpm. Hai notizie precise sul loro funzionamento? Vuoi farne i pacchetti di installazione?

=== FreeSigner ===

Basato su [http://j4sign.sourceforge.net/ j4sign], è un programma che permette di effettuare e verificare firme digitali. E' multipiattaforma ed è possibile scaricarlo dalla [http://sourceforge.net/projects/j4sign/files/freesigner/freesigner-0.1.0/ pagina sourceforge di j4sign]. Supporta i più recenti standard normativi di firma CADeS e qualsiasi smartcard compatibile con lo standard PKCS#11 e linux.

==Firma digitale e Thunderbird==

Ecco una [http://eppesuigoccas.homedns.org/~giuseppe/pppblog/index.php?entry=entry111029-170334 buona risorsa], da verificare. Sembra che Thunderbird abbia [https://bugzilla.mozilla.org/show_bug.cgi?id=243833 problemi] nel mostrare allegati firmati .p7m, per la precisione allegati di tipo ''application/pkcs7-mime'' o ''application/'''x-'''pkcs7-mime''. Una buona soluzione sembra essere [http://nic-nac-project.org/~kaosmos/p7mHandler.html SmartP7M].

Thunderbird gestisce anche messaggi di posta elettronica certificata PEC. Quando un messaggio PEC ha allegati firmati (.p7m) se la verifica della firma fallisce, il documento allegato sembra che non venga mostrato. [https://addons.mozilla.org/it/thunderbird/addon/thunderpec/ ThunderPEC] dice di aiutarci in questo ma è ancora tutto da verificare (vuoi farlo tu?).

=Autenticazione utente=

==SSH==

Estrarre la chiave pubblica (il percorso della libreria dipende dalla distribuzione):
ssh-keygen -D /usr/lib/i386-linux-gnu/opensc-pkcs11.so

Dopo aver copiato la chiave pubblica sul sistema remoto (ad es. in ~/.ssh/authorized_keys), è possibile collegarsi fornendo il PIN quando richiesto:
ssh -I /usr/lib/i386linuxgnu/opensc-pkcs11.so indirizzo-del-server

=Carta Nazionale dei Servizi CNS=

Una smartcard si dice «Carta Nazionale dei Servizi» quando ha a bordo nel microchip un certificato utile per l'autenticazione online, strutturato secondo quanto richiesto [http://www.digitpa.gov.it/node/689 dalla legge italiana].

Seguono alcuni esempi di soggetti che utilizzano smartcard e danno '''supporto a Linux'''.

==Tessera Sanitaria e Carta dei Servizi==

La cosiddetta [http://www.sistemats.it/ Tessera Sanitaria] non è altro che una Carta Nazionale dei Servizi. Le prime tessere sanitarie non hanno il microchip, servono soltanto perché funzionano da codice fiscale (che può essere letto in automatico dal codice a barre stampato su esse).

Da Novembre 2012 anche ArubaPEC può emettere Carte Nazionali dei Servizi grazie all'[http://www.unical.it/portale/portaltemplates/view/view.cfm?29910 accordo] con l'Università della Calabria.

===Regione Friuli Venezia Giulia===

La [http://cartaservizi.regione.fvg.it/ Carta dei Servizi] del Friuli Venezia Giulia. Non conosciamo il produttore della smartcard.

Eccone [http://forums.opensuse.org/english/get-technical-help-here/how-faq-forums/unreviewed-how-faq/471405-set-up-use-italian-regione-friuli-venezia-giulia-healthcare-smart-card-crs.html il funzionamento su OpenSuSE Linux] (in inglese).

===Regione Liguria===

[http://www.regione.liguria.it/argomenti/diritti-e-doveri-del-cittadino/carta-regionale-dei-servizi.html Carta regionale] Liguria. Smartcard Siemens - software CardOS e forse basta il solo OpenSC.

===Regione Lombardia===

Anche in Lombardia l'hanno chiamata [http://www.crs.regione.lombardia.it/ Carta Regionale dei Servizi]. Utilizzano smartcard Athena oppure Siemens.

===Regione Toscana===

[http://www.regione.toscana.it/cartasanitaria Carta Sanitaria] della Regione Toscana. Sono smartcard [http://www.regione.toscana.it/web/guest/guida_1_linux Athena].

Novità: dalla seconda metà del 2012 ci sono novità: emettono [http://www.regione.toscana.it/web/guest/guida carte Siemens] riconoscibili dalla [http://www.regione.toscana.it/web/guest/guida_2_linux sigla AT2012].

La Regione Toscana dà ai cittadini un lettore Bit4id miniLector Piano per 4,20 euro.

===Regione Calabria===

La [http://www.regione.calabria.it/sanita/index.php?option=com_content&task=view&id=405&Itemid=100 Regione Calabria] utilizza smartcard Siemens - software CardOS

===Regione Sardegna===

A fine 2012 inizia l'attivazione delle Tessere Saitarie nella Regione Sardegna. Saranno in gran parte smartcard Athena. Alcuni lotti di carte sono forniti da Siemens (speriamo utilizzabili con CardOS e quindi funzionanti con OpenSC).

Intanto si trova il software «sardo» per le [http://www.regione.sardegna.it/index.php?xsl=509&s=1&v=9&c=9576&na=1&n=10&tb=9327&st=19 smartcard Athena].

Ben fatto anche l'elenco delle [http://www.regione.sardegna.it/index.php?xsl=509&s=1&v=9&c=9368&tb=9327&st=19 domande frequenti].

===Provincia di Bolzano===

[http://www.provincia.bz.it/cartaservizi/ Tessera Sanitaria e Carta Provinciale dei Servizi] della Provincia Autonoma di Bolzano.

Il progetto [https://fscrs.digital.tis.bz.it/ FSCRS] Free Software Client Reference System.

===Provincia di Trento===

[http://www.cartaservizi.provincia.tn.it/ Tessera Sanitaria e Carta Provinciale dei Servizi] della Provincia Autonoma di Trento.

=Carta d'Identità Elettronica - CIE=

Non conosco la CIE però dovrebbe essere una CNS identica alle altre.

[[Category:Howto]]

GolemWiki - Contributi utente [it]

Carta Nazionale dei Servizi e Firma Digitale