Apri il menu principale

GolemWiki β

Modifiche

Carta Nazionale dei Servizi e Firma Digitale

2 617 byte aggiunti, 14:32, 13 ago 2019
Piccole sistemazioni qua e là
Questa pagina è un maldestro tentativo di fare chiarezza sul "mondo" delle '''smartcard''' con microchip crittografico, delle funzioni che tramite esse vengono veicolate e del loro utilizzo con Linux.
Per accedere in modifica al wiki devi chiedere per email scrivendo a hal(at)linux.it.
Per discussioni tecniche utilizziamo la lista di discussione [http://lists.linux.it/listinfo/golem-hack GOLEM-hack]. Puoi iscriverti.
Magari dai anche un'occhiata a '''[[Discussionehttps:Carta_Nazionale_dei_Servizi_e_Firma_Digitale|cosa manca]]'''//golem. Potresti essere utilelinux.it/cloud/index.php/s/fCLGQzyRBpKfN45 Strumenti di Cittadinanza digitale] a cura di Giulia del GOLEM.
=CNS-FD=
La funzionalità più diffusa è quella di [http://www.digitpa.gov.it/carta-nazionale-dei-servizi Carta Nazionale dei Servizi - '''CNS''']. Le tessere sanitarie '''TS''' di molte Regioni e le carte regionali dei servizi sono comunque carte nazionali dei servizi CNS.
==Incard==
Molte smartcard utilizzate in Italia (Camere di Commercio, sia le vecchie fornite da Infocert, sia molte delle nuove fornite da ArubaPEC) sono del produttore [http://www.incard.it/ Incard]. I driver di queste smartcard sembrano essere sviluppati da Bit4id e sono rilasciati gratuitamente, ma non-Liberi, in formato binario da [http://www.pec.it/Download.aspx ArubaPEC]. ( ===Pacchetto Debian/Ubuntu/Mint per smartcard Incard=== [http://www.pec.it/Download.aspx ArubaPEC] distribuisce il [http://www.pec.it/Download/Software/FirmaDigitale/MU_INCARD_LINUX.zip pacchetto] Debian/Ubuntu/Mint funzionante sia per le smartcard con microchip Incard sia per quelle con microchip del produttore Oberthur.  Nota tecnica: il driver per incard si chiamava libbit4'''i'''pki.so; quello per oberthur si chiamava libbit4'''o'''pki.so. Adesso quello valido per entrambe le carte si chiama libbit4'''da pacchettizzarex''' pki.so ==Oberthur== Le smartcard [http://www.oberthur.com/ Oberthur] sono utilizzate per la firma digitale da [https://www.pec.it ArubaPEC], molti ordini professionali emettono per i loro associati smartcard di questo produttore. I [http://www.pec.deb it/Download.aspx driver per Oberthur] sembrano essere sviluppati da Bit4id esono distribuiti, non-Liberi ma gratuiti, in formato binario da ArubaPEC. Per queste smartcard vengono distribuiti i driver anche in forma di [http://o www.pec.it/Download/Software/FirmaDigitale/MU_OBERTHUR_LINUX.zip pacchetto] Debian/Ubuntu/Mint.rpm)
==Athena==
Dal sito della Provincia di Bolzano si possono scaricare driver e interfaccia grafica per CardOS: [http://www.provincia.bz.it/cartaservizi/downloads/linux/cardos.tar.gz a 32 bit] e [http://www.provincia.bz.it/cartaservizi/downloads/linux/cardos64.tar.gz a 64 bit].
 
==Oberthur==
 
Le smartcard [http://www.oberthur.com/ Oberthur] sono utilizzate per la firma digitale da [https://www.pec.it ArubaPEC], molti ordini professionali emettono per i loro associati smartcard di questo produttore. I [http://www.pec.it/Download.aspx driver per Oberthur] sembrano essere sviluppati da Bit4id e sono distribuiti, non-Liberi ma gratuiti, in formato binario da ArubaPEC. ('''da pacchettizzare''' .deb e/o .rpm)
==Vecchie smartcard==
Athena produce non soltanto le smartcard, ma anche i lettori [http://www.athena-scs.com/support/software-driver-downloads ASEDrive]: dovrebbero funzionare.
 
==Altri?==
 
Aggiungi pure se hai fatto prove positive di riconoscimento lettori
=Firma digitale FD=
Supponendo di avere fatto bene tutte le configurazioni utili per i lettori e anche per la smartcard in nostro possesso, possiamo provare a firmare con un software di firma. Ce ne sono pochi di Liberi (o Open Source), molti sono a pagamento, alcuni sono non-Liberi ma gratuiti.
==File ProtectorAruba Sign== Il miglior software nonmulti-Libero ma gratuito che ho trovato piattaforma disponibile è probabilmente [httphttps://www.card.infocamerepec.it/infocamere/pub/download-swsoftware-firma_3177 File Protectordriver.aspx Aruba Sign], sviluppato da [http://actalis.it/ Actalis] e distribuito gratuitamente Prodotto da [http://www.infocamere.it/ Infocamere]Aruba, gratuito ma non libero, azienda informatica delle [http://www.camcom.gov.it/ Camere di Commercio d'Italia]. Purtroppo funziona soltanto è scritto in Java e disponibile per le architetture a 32 bitWindows, MacOS X e Linux[http://www.libersoft.it/firma-digitale LiberSoft] distribuisce un pacchetto .deb (Debian/Ubuntu) per facilitare l'installazione Permette di firmare documenti, apporre marcature temporali ed ulteriori operazioni come la modifica del PIN di File Protectoruna CNSSu [https://github.com/libersoft/fp-installer github] puoi vedere com'è fatto Affinché riconosca correttamente il pacchetto deb. Lo ha fatto [http://www.dnax.it/ Dnax]. Ancora '''non c'proprio lettore è necessario inserire il pacchetto rpm''' (potresti farlo tu.percorso del driver nella sezione Opzioni e Parametri, es..) Ci sono guide interessanti per installare File Protector su [http://blog.it-opensuse.org/2012/01/15/guida-per-lutilizzo-della-cns-carta-nazionale-servizi/ OpenSuSeLinux] e su Ubuntu ma [httpArch Linux con lettore Bit4id:/usr/www.programmiamoinsieme.eu/blog/2012/02lib/11bit4id/firma-digitale-con-smart-card-cns-su-linux/ con il lettore Gemplus] di Gemalto. ==Firma digitale con LibreOffice e OpenOffice== Nel menù '''File --> Firme digitali...''' di LibreOffice si apre una parentesi di cui qua non sappiamo molto. LibreOffice può firmare un documento senza bisogno di un software di firma separato'''?''' Possiamo firmare un documento di LibreOffice senza utilizzare File Protector'''?''' Come interagisce con il lettore'''?''' Quali formati di documento riesce a firmare'''?''' Soltanto il formato OpenDocument'''?''' Facci sapere..libbit4xpki.so
==Marcatura temporale - Timestamp==
Le marcature devono essere acquistate (per esempio su [http://www.pec.it/MarcheTemporali.aspx pec.it]).
==Programmi Open Source di firma digitale= FreeSigner ===
Abbiamo trovato Basato su [http://j4sign.sourceforge.net/ j4sign], è un programma che permette di effettuare e verificare firme digitali. E' multipiattaforma ed è possibile scaricarlo dalla [http://opensignature.sourceforge.net/ OpenSignature] e [http:projects/j4sign/files/freesigner/javasign.pagina sourceforgedi j4sign].net/ JavaSign]Supporta i più recenti standard normativi di firma CADeS e qualsiasi smartcard compatibile con lo standard PKCS#11 e linux.
Non sono aggiornati da diversi anniManca l'elenco delle "qualsiasi" smartcard compatibili con lo standard pkcs#11 (ma forse sarebbe più corretto dire [http://www. Non ho trovato pacchetti prontiemc.com/emc-plus/rsa-labs/standards-initiatives/about-pkcs-15.htm pkcs#15]). Seppur senza una verifica precisa, sembra che le carte più diffuse in Italia (Athena, Incard, né deb né rpmOberthur) NON siano pienamente compatibili con lo standard pkcs quindi richiedono driver proprietari. Hai notizie precise sul loro funzionamento? Vuoi farne i pacchetti di installazione?
==Firma digitale e Thunderbird==
Una smartcard si dice «Carta Nazionale dei Servizi» quando ha a bordo nel microchip un certificato utile per l'autenticazione online, strutturato secondo quanto richiesto [http://www.digitpa.gov.it/node/689 dalla legge italiana].
Seguono alcuni esempi di soggetti che utilizzano smartcard e danno '''supporto a Linux'''La cosiddetta [http://www.sistemats==it/ Tessera Sanitaria e ] non è altro che una Carta Nazionale dei Servizi==.
La cosiddetta [http://www.sistemats.it/ Tessera Sanitaria] non è altro che una Carta Nazionale dei Servizi. Le prime tessere sanitarie non hanno avevano il microchip, servono servivano soltanto perché funzionano funzionavano da codice fiscale (che può poteva essere letto in automatico dal codice a barre stampato su di esse).
Da Novembre 2012 anche ArubaPEC può emettere Carte Nazionali dei Servizi grazie all'[http://www.unical.it/portale/portaltemplates/view/view.cfm?29910 accordo] con l'Università della Calabria.
===Regione Friuli Venezia Giulia===
La [http://cartaservizi.regione.fvg.it/ Carta dei Servizi] del Friuli Venezia Giulia. Non conosciamo il produttore della smartcard.
Eccone [http://forums.opensuse.org/english/get-technical-help-here/how-faq-forums/unreviewed-how-faq/471405-set-up-use-italian-regione-friuli-venezia-giulia-healthcare-smart-card-crs.html il funzionamento su OpenSuSE Linux] (in inglese).
===Regione Liguria===
[http://www.regione.liguria.it/argomenti/diritti-e-doveri-del-cittadino/carta-regionale-dei-servizi.html Carta regionale] Liguria. Smartcard Siemens - software CardOS e forse basta il solo OpenSC.
===Regione Lombardia===
Anche in Lombardia l'hanno chiamata [http://www.crs.regione.lombardia.it/ Carta Regionale dei Servizi]. Utilizzano smartcard Athena oppure Siemens.
===Regione Toscana=== [http://www.regione.toscana.it/cartasanitaria Carta Sanitaria] della Regione Toscana. Sono smartcard [http://www.regione.toscana.it/web/guest/guida_1_linux Athena]La Regione dà ai cittadini un lettore Bit4id miniLector Piano per 4,20 €.
Novità: dalla seconda metà del 2012 ci sono novità: emettono * [http://www.regione.toscana.it/webservizi-online/guestservizi-sicuri/carta-sanitaria-elettronica/guida carte Siemens] riconoscibili dalla [http://www.regione.toscana.it/web/guest/guida_2_linux sigla AT2012-all-uso Guida all'uso]sul sito della Regione.
La Regione Toscana dà ai cittadini un lettore Bit4id miniLector Piano per 4,20 euro.=== Tipologie ==={| class="wikitable"| Sigla| Descrizione| Linux|-| AT2012| carte Siemens / ATOS| OK|-| AC2014| carte Actalis| OK|}
===Regione Calabria===
La [http://www.regione.calabria.it/sanita/index.php?option=com_content&task=view&id=405&Itemid=100 Regione Calabria] utilizza smartcard Siemens - software CardOS
===Regione Sardegna===
A fine 2012 inizia l'attivazione delle Tessere Saitarie nella Regione Sardegna. Saranno in gran parte smartcard Athena. Alcuni lotti di carte sono forniti da Siemens (speriamo utilizzabili con CardOS e quindi funzionanti con OpenSC).
Ben fatto anche l'elenco delle [http://www.regione.sardegna.it/index.php?xsl=509&s=1&v=9&c=9368&tb=9327&st=19 domande frequenti].
===Provincia di Bolzano===
[http://www.provincia.bz.it/cartaservizi/ Tessera Sanitaria e Carta Provinciale dei Servizi] della Provincia Autonoma di Bolzano.
===Provincia di Trento===
[http://www.cartaservizi.provincia.tn.it/ Tessera Sanitaria e Carta Provinciale dei Servizi] della Provincia Autonoma di Trento.
=Carta d'Identità Elettronica = La CIE. Dovrebbe essere una CNS identica alle altre. = Installazione SmartCard su Linux ='''Attenzione:''' al termine dell'installazione, è necessario individuare la libreria <code>opensc- CIEpkcs11.so</code>, che generalmente può essere trovata in uno dei seguenti percorsi:* ''/usr/lib/opensc-pkcs11.so''.* ''/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so'' Se non si riesce a localizzarla, si può provare a cercarla col seguente comando: $ find / -name "opensc-pkcs11.so" 2> /dev/null == Debian/Ubuntu/Mint ==Installare i seguenti pacchetti # apt install pcsc-tools pcscd opensc opensc-pkcs11 Il demone <code>pcscd</code> si avvierà automaticamente. == Arch Linux ==Installare i seguenti pacchetti, utili solo per smartcard del produttore Athena (libaseCnsP11) # pacman -Sy ccid pcsclite pcsc-tools opensc # yay -S [https://aur.archlinux.org/packages/libasecnsp11/ libasecnsp11]<!-- # yaourt -Sy --aur libminilector38u-bit4id --> Abilitare e avviare pcscd # systemctl enable pcscd.socket # systemctl start pcscd.socket == Testare il funzionamento della carta == # pcsc_scan Dovrebbe produrre un output di questo genere, contenente alcune informazioni sulla CNS:  PC/SC device scanner V 1.4.22 (c) 2001-2011, Ludovic Rousseau <ludovic.rousseau@free.fr> Compiled with PC/SC lite version: 1.8.10 Using reader plug'n play mechanism Scanning present readers... 0: ACS ACR38U-CCID 00 00 Mon May 5 22:52:40 2014 Reader 0: ACS ACR38U-CCID 00 00 Card state: Card inserted, ATR: 3B DF 18 00 81 31 FE 7D 00 6B 15 0C 01 81 01 11 01 43 4E 53 10 31 80 E8 = Applicazioni === Configurare il browser =='''Attenzione:''' collegare sempre il lettore '''prima''' di aprire il browser! [https://ca.arubapec.it/crtest/showcert.php Pagina test di Aruba]: dopo la configurazione, è possibile verificare il buon esito collegandosi alla pagina ed inserendo il PIN. === Firefox ===# Collegare il lettore di smartcard# Avviare Firefox# Inserire la tessera sanitaria nel lettore# In Firefox, selezionare ''Modifica'' &rarr; ''Preferenze'' &rarr; ''Avanzate'' &rarr; ''Certificati'' &rarr; ''Dispositivi di sicurezza''# Cliccare su ''Carica'', inserire una descrizione (es: ''TesseraSanitaria'') ed il percorso corretto del file <code>opensc-pkcs11.so</code>, come individuato precedentemente.<!--'''/usr/lib/libaseCnsP11.so'''--> === Chrome/Chromium ===Chiudere il browser, quindi aprire un terminale e lanciare i seguenti comandi, modificando opportunamente il percorso del file <code>opensc-pkcs11.so</code>, come individuato precedentemente.  $ cd ~ $ modutil -dbdir sql:.pki/nssdb/ -add "OpenSC" -libfile /usr/lib/opensc-pkcs11.so === SSH ==Estrarre la chiave pubblica (il percorso della libreria dipende dalla distribuzione): ssh-keygen -D /usr/lib/i386-linux-gnu/opensc-pkcs11.so Dopo aver copiato la chiave pubblica sul sistema remoto (ad es. in ~/.ssh/authorized_keys), è possibile collegarsi fornendo il PIN quando richiesto: ssh ­-I /usr/lib/i386­linux­gnu/opensc­-pkcs11.so indirizzo-del-server
Non conosco la CIE però dovrebbe essere una CNS identica alle altre.= Utilità === Modificare PIN == $ pkcs15-tool --change-pin
[[Category:Howto]]