Differenze tra le versioni di "Carta Nazionale dei Servizi e Firma Digitale"
Riga 149: | Riga 149: | ||
La Regione Toscana dà ai cittadini un lettore Bit4id miniLector Piano per 4,20 euro. | La Regione Toscana dà ai cittadini un lettore Bit4id miniLector Piano per 4,20 euro. | ||
− | [ | + | [https://golem.linux.it/cloud/index.php/s/fCLGQzyRBpKfN45 Presentazione PDF] a cura di Giulia del GOLEM su Strumenti di Cittadinanza digitale per cittadini toscani. |
===Regione Calabria=== | ===Regione Calabria=== |
Versione delle 11:53, 12 ago 2019
Questa pagina è un maldestro tentativo di fare chiarezza sul "mondo" delle smartcard con microchip crittografico, delle funzioni che tramite esse vengono veicolate e del loro utilizzo con Linux.
CNS-FD
La funzionalità più diffusa è quella di Carta Nazionale dei Servizi - CNS. Le tessere sanitarie TS di molte Regioni e le carte regionali dei servizi sono comunque carte nazionali dei servizi CNS.
Una seconda funzionalità molto importante è quella di Firma Digitale - FD.
La CNS è uno strumento di autenticazione, di riconoscimento online (identità). La FD è uno strumento di approvazione, di sottoscrizione (volontà).
La smartcard è l'oggetto fisico. Può contenere o soltanto la funzionalità CNS, o soltanto la funzionalità FD, o entrambe, oppure nessuna (come nel caso delle tessere sanitarie con microchip appena giunte al cittadino e non ancora "attivate").
Tessera Sanitaria TS, oppure Carta Regionale dei Servizi CRS, Carta Provinciale o Comunale o qualcosa di qualche pubblica amministrazione, per quanto riguarda la nostra problematica tecnica, sono tutte Carta Nazionale dei Servizi CNS, perché devono adattarsi a questo standard.
Produttori di smartcard
I produttori di smartcard (o meglio di microchip) dovrebbero rispettare lo standard pkcs#15, ma non sempre lo fanno. Per questo abbiamo bisogno di driver specifici (spesso binari e non-Liberi).
Incard
Molte smartcard utilizzate in Italia (Camere di Commercio, sia le vecchie fornite da Infocert, sia molte delle nuove fornite da ArubaPEC) sono del produttore Incard. I driver di queste smartcard sembrano essere sviluppati da Bit4id e sono rilasciati gratuitamente, ma non-Liberi, in formato binario da ArubaPEC.
Pacchetto Debian/Ubuntu/Mint per smartcard Incard
ArubaPEC distribuisce il pacchetto Debian/Ubuntu/Mint funzionante sia per le smartcard con microchip Incard sia per quelle con microchip del produttore Oberthur.
Nota tecnica: il driver per incard si chiamava libbit4ipki.so; quello per oberthur si chiamava libbit4opki.so. Adesso quello valido per entrambe le carte si chiama libbit4xpki.so
Oberthur
Le smartcard Oberthur sono utilizzate per la firma digitale da ArubaPEC, molti ordini professionali emettono per i loro associati smartcard di questo produttore. I driver per Oberthur sembrano essere sviluppati da Bit4id e sono distribuiti, non-Liberi ma gratuiti, in formato binario da ArubaPEC. Per queste smartcard vengono distribuiti i driver anche in forma di pacchetto Debian/Ubuntu/Mint.
Athena
Altre smartcard molto diffuse (alcune CRS Lombardia, TS Toscana, alcune TS Sardegna) sono del produttore Athena che lascia scaricare i driver dal sito ArubaPEC, non-Liberi, in formato binario. (da pacchettizzare .deb e/o .rpm)
Siemens
Siemens: su queste smartcard abbiamo poche notizie ma buone. Molto usate in passato dalle Camere di Commercio e adesso dalla CRS ligure, le smartcard Siemens richiedono il software CardOS. Stranamente CardOS non si riesce a trovarlo sul sito Siemens perché ogni vecchio collegamento viene adesso reindirizzato verso Atos, da cui non si ricava niente. La buona notizia è che tali carte funzionano perfettamente con i driver Liberi OpenSC. Comunque ci sono anche questi driver da testare. (Non abbiamo a disposizione smartcard Siemens, che qualche ligure verifichi...)
Dal sito della Provincia di Bolzano si possono scaricare driver e interfaccia grafica per CardOS: a 32 bit e a 64 bit.
Vecchie smartcard
Un bell'elenco, storico, molto dettagliato, di microchip e dei relativi produttori si trova nella documentazione Infocert. Sysgillo, InCrypto, Siemens... le vecchie firme digitali delle Camere di Commercio.
Lettori di smartcard
Chi produce i lettori spesso rispetta lo standard pkcs#11, quindi i lettori più nuovi dovrebbero risultare compatibili con Linux.
I seguenti lettori di smartcard sono stati testati e funzionano con Linux
Bit4id
miniLector Piano di Bit4id: funziona.
Manhattan
Lo vende (per esempio) icintracom: funziona.
Sembra lo stesso lettore che vende anche Digicom. Visto da Trony a 17,99 euro (settembre 2012). Logo Linux sull'esterno della scatola.
Hamlet
Hamlet: funziona.
Gemalto
Lettori di smartcard IDBridge CT family. Secondo Ludo funzionano.
Dal sito web di Gemalto, sia per i lettori PC USB SL, sia per quelli PC USB TR e PC TWIN si hanno buone notizie per quanto riguarda Linux:
«This USB CCID device is supported by the libccid library. This library provides a PC/SC IFD handler implementation for the USB smart card interface devices compliant to the CCID protocol. Gemalto is actively involved in the development and improvement of this library. This library is packaged and distributed by most of the Linux distributions. TIPS: Use the package manager from your specific Linux distribution to search for the libccid library and install it. The libccid source code is available on the following web site: Alioth.»
ASEDrive - Athena
Athena produce non soltanto le smartcard, ma anche i lettori ASEDrive: dovrebbero funzionare.
Firma digitale FD
Supponendo di avere fatto bene tutte le configurazioni utili per i lettori e anche per la smartcard in nostro possesso, possiamo provare a firmare con un software di firma. Ce ne sono pochi di Liberi (o Open Source), molti sono a pagamento, alcuni sono non-Liberi ma gratuiti.
Aruba Sign
Il miglio software multi-piattaforma disponibile è probabilmente Aruba Sign. Prodotto da Aruba, gratuito ma non libero, è scritto in Java e disponibile per Windows, MacOS X e Linux. Permette di firmare documenti, apporre marcature temporali ed ulteriori operazioni come la modifica del PIN di una CNS. Affinché riconosca correttamente il proprio lettore è necessario inserire il percorso del driver nella sezione Opzioni e Parametri, es. su Arch Linux con lettore Bit4id: /usr/lib/bit4id/libbit4xpki.so
Marcatura temporale - Timestamp
Una marcatura temporale si può apporre con File Protector. Quello di marcatura temporale è un servizio che viene fornito, tramite un server, da una TSA Time Stamping Authority (per dirla in modo grossolano un server terzo firma col suo certificato l'impronta del nostro file dopo averci aggiunto data e ora).
Le marcature devono essere acquistate (per esempio su pec.it).
FreeSigner
Basato su j4sign, è un programma che permette di effettuare e verificare firme digitali. E' multipiattaforma ed è possibile scaricarlo dalla pagina sourceforge di j4sign. Supporta i più recenti standard normativi di firma CADeS e qualsiasi smartcard compatibile con lo standard PKCS#11 e linux.
Manca l'elenco delle "qualsiasi" smartcard compatibili con lo standard pkcs#11 (ma forse sarebbe più corretto dire pkcs#15). Seppur senza una verifica precisa, sembra che le carte più diffuse in Italia (Athena, Incard, Oberthur) NON siano pienamente compatibili con lo standard pkcs quindi richiedono driver proprietari.
Firma digitale e Thunderbird
Ecco una buona risorsa, da verificare. Sembra che Thunderbird abbia problemi nel mostrare allegati firmati .p7m, per la precisione allegati di tipo application/pkcs7-mime o application/x-pkcs7-mime. Una buona soluzione sembra essere SmartP7M.
Thunderbird gestisce anche messaggi di posta elettronica certificata PEC. Quando un messaggio PEC ha allegati firmati (.p7m) se la verifica della firma fallisce, il documento allegato sembra che non venga mostrato. ThunderPEC dice di aiutarci in questo ma è ancora tutto da verificare (vuoi farlo tu?).
Autenticazione utente
SSH
Estrarre la chiave pubblica (il percorso della libreria dipende dalla distribuzione):
ssh-keygen -D /usr/lib/i386-linux-gnu/opensc-pkcs11.so
Dopo aver copiato la chiave pubblica sul sistema remoto (ad es. in ~/.ssh/authorized_keys), è possibile collegarsi fornendo il PIN quando richiesto:
ssh -I /usr/lib/i386linuxgnu/opensc-pkcs11.so indirizzo-del-server
Carta Nazionale dei Servizi CNS
Una smartcard si dice «Carta Nazionale dei Servizi» quando ha a bordo nel microchip un certificato utile per l'autenticazione online, strutturato secondo quanto richiesto dalla legge italiana.
Seguono alcuni esempi di soggetti che utilizzano smartcard e danno supporto a Linux.
Tessera Sanitaria e Carta dei Servizi
La cosiddetta Tessera Sanitaria non è altro che una Carta Nazionale dei Servizi. Le prime tessere sanitarie non hanno il microchip, servono soltanto perché funzionano da codice fiscale (che può essere letto in automatico dal codice a barre stampato su esse).
Da Novembre 2012 anche ArubaPEC può emettere Carte Nazionali dei Servizi grazie all'accordo con l'Università della Calabria.
Regione Friuli Venezia Giulia
La Carta dei Servizi del Friuli Venezia Giulia. Non conosciamo il produttore della smartcard.
Eccone il funzionamento su OpenSuSE Linux (in inglese).
Regione Liguria
Carta regionale Liguria. Smartcard Siemens - software CardOS e forse basta il solo OpenSC.
Regione Lombardia
Anche in Lombardia l'hanno chiamata Carta Regionale dei Servizi. Utilizzano smartcard Athena oppure Siemens.
Regione Toscana
Carta Sanitaria della Regione Toscana. Sono smartcard Athena.
Novità: dalla seconda metà del 2012 ci sono novità: emettono carte Siemens riconoscibili dalla sigla AT2012.
La Regione Toscana dà ai cittadini un lettore Bit4id miniLector Piano per 4,20 euro.
Presentazione PDF a cura di Giulia del GOLEM su Strumenti di Cittadinanza digitale per cittadini toscani.
Regione Calabria
La Regione Calabria utilizza smartcard Siemens - software CardOS
Regione Sardegna
A fine 2012 inizia l'attivazione delle Tessere Saitarie nella Regione Sardegna. Saranno in gran parte smartcard Athena. Alcuni lotti di carte sono forniti da Siemens (speriamo utilizzabili con CardOS e quindi funzionanti con OpenSC).
Intanto si trova il software «sardo» per le smartcard Athena.
Ben fatto anche l'elenco delle domande frequenti.
Provincia di Bolzano
Tessera Sanitaria e Carta Provinciale dei Servizi della Provincia Autonoma di Bolzano.
Il progetto FSCRS Free Software Client Reference System.
Provincia di Trento
Tessera Sanitaria e Carta Provinciale dei Servizi della Provincia Autonoma di Trento.
Carta d'Identità Elettronica - CIE
Non conosco la CIE però dovrebbe essere una CNS identica alle altre.
Configurazione della Tessera Sanitaria su Linux
Ubuntu/Mint/debian
Installare i seguenti pacchetti
# apt install pcsc-tools pcscd opensc opensc-pkcs11
Il demone pcscd
si avvierà automaticamente.
La libreria da comunicare al browser, come indicato nella successiva sezione Configurare il browser, è situata nella cartella /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so.
Arch Linux
Installare i seguenti pacchetti, utili solo per smartcard del produttore Athena (libaseCnsP11)
# pacman -Sy ccid pcsclite pcsc-tools opensc
Abilitare e avviare pcscd
# systemctl enable pcscd.socket # systemctl start pcscd.socket
Testare il funzionamento della carta
# pcsc_scan
Dovrebbe produrre un output di questo genere
PC/SC device scanner V 1.4.22 (c) 2001-2011, Ludovic Rousseau <ludovic.rousseau@free.fr> Compiled with PC/SC lite version: 1.8.10 Using reader plug'n play mechanism Scanning present readers... 0: ACS ACR38U-CCID 00 00 Mon May 5 22:52:40 2014 Reader 0: ACS ACR38U-CCID 00 00 Card state: Card inserted, ATR: 3B DF 18 00 81 31 FE 7D 00 6B 15 0C 01 81 01 11 01 43 4E 53 10 31 80 E8
La libreria da comunicare al browser, come indicato nella successiva sezione Configurare il browser, è situata nella cartella /usr/lib/opensc-pkcs11.so.
Configurare il browser
Seguire le istruzioni specifiche per il proprio browser, al termine è possibile verificare il buon esito collegandosi alla pagina test di Aruba ed inserendo il PIN. Il lettore deve essere collegato prima di aprire il browser.
Firefox
Collegare il lettore al PC ed inserire la tessera sanitaria.
Avviare Firefox e selezionare: Preferenze -> Avanzate -> Certificati -> Dispositivi di sicurezza
Cliccare su Carica, inserire una descrizione (es.: TesseraSanitaria) ed il percorso corretto del file opensc-pkcs11.so
.
Chrome/Chromium
Chiudere il browser, quindi aprire un terminale e lanciare i seguenti comandi, modificando opportunamente il percorso del file opensc-pkcs11.so
:
$ cd $ modutil -dbdir sql:.pki/nssdb/ -add "OpenSC" -libfile /usr/lib/opensc-pkcs11.so