menu di navigazione del network

Certificato Cades per firma fatture xml


(AndreaV) #40

Ok grazie, mi interessava solo leggere cosa diceva la normativa a riguardo della firma automatica… perché per quel che sono riuscito a leggere io, non si “obbliga” all’uso di un HSM.

Diciamo anche che per i fornitori di questo genere di servizi, queste fatture elettroniche sono state un bel modo di raccogliere nuovi clienti e quindi in quanto a trasparenza penso che molti ci abbiano un pochino “marciato sopra”; non dico che abbiano dato informazioni errate, ma che abbiano detto il minimo indispensabile o comunque omesso alcune possibilità penso sia un dato di fatto.

Per esempio i nostri certificati sono certificati con restrizione (articolo 28 del codice di amministrazione digitale) e quindi limitati allo scopo di firma automatica di fatturazione elettronica e conservazione sostitutiva. Abbiamo dovuto penare parecchio per trovare un fornitore che ci fornisse tali certificati… Questo perché tutti gli altri spingevano verso prodotti HSM.

Avendo certificati con restrizione, il fatto di avere una smart card conservata in un luogo non sicuro (e anche su questo ci sarebbe da discutere) è molto meno grave e sicuramente non porta rischi per l’intestatario della smart card stessa.


(AndreaV) #41

Ah io non cercavo ‘ragione’ volevo solo leggere altre informazioni che magari io non avevo trovato… :slight_smile:

Quali sono le differenze tra lettori classe 1 e 2 ? e in che senso è richiesto un HSM per avere la firma “unmanned” ? In fin dei conti un HSM altro non è (passatemi la semplificazione) che un grosso contenitore di smart card, con un certo grado di sicurezza implicita nel caso di manomissione… Per poter firmare devo comunque autenticarmi con l’HSM e quindi è vero che non digito il PIN di una smart card, ma è vero anche che chi riesce a venire in possesso delle credenziali di autenticazione per l’HSM, in realtà è come se avesse il PIN della relativa smart card… D’altra parte se non si vuole intervento umano, da qualche parte bisogna scendere a compromessi… anche il servizio di firma via internet tramite HSM, per quanto possa porre delle limitazioni sull’ip chiamante, per quanto abbia dei sistemi di autenticazione ecc… alla fine se qualcuno dovesse riuscire a fare le stesse cose che fa il titolare ufficiale del servizio, lo userebbe a suo nome senza alcun problema.

Naturalmente nessuno ha estorto nulla :smiley:
E i certificati hanno restrizione secondo art.28 del codice di amministrazione digitale e quindi sono usabili solo allo scopo di firma automatica di fatture e conservazione sostitutiva, quindi sono del tutto privi di rischi per il titolare del certificato nel senso che non potranno essere utilizzati per scopi diversi.


(Diego Scaravaggi) #42

Ciao,

con questa frase intendi che ti sei fatto rilasciare un certificato di firma automatica senza PIN su smart card ?
se esiste vorrei sapere quale provider lo ha emesso, ma chiaramente non sei tenuto a rivelarlo.

Ciao


(AndreaV) #43

No, la smart card HA il pin. Il certificato che essa contiene pero’ ha una limitazione d’uso (secondo art.28 già citato) e quindi quel certificato è usabile, o meglio, ha valore, solamente se si firmano fatture a scopo fatturazione elettronica oppure conservazione.

Il nostro sistema, una volta inizializzato, memorizza il pin e lo usa automaticamente per firmare i documenti tramite smart card.


(Diego Scaravaggi) #44

Ciao

Alla fine siamo arrivati al punto spiegato nel mio post ieri sera.
Il padrone del certificato e’ consapevole che il PIN viene copiato ?
E’ stato correttamente informato ?

Ora io non sono la persona più adatta per entrare nei meandri giuridici/normativi di questo utilizzo, però almeno siamo sul forum giusto.
Sicuramente il moderatore se non addirittura Stefano Quintarelli ci risponderà.

Nella attesa un saluto di Buon Natale e Buone Feste :santa:


(AndreaV) #45

Certo che il padrone del certificato ne è informato… Sottolineo inoltre che il ‘certificato’ ha uno scopo (una limitazione) e pertanto questa “memorizzazione” non costituisce problema alcuno per la persona intestataria del certificato perché non è un certificato normale (col quale posso firmare un atto di vendita per esempio) ma un certificato finalizzato alla firma di fatture elettroniche e null’altro.

D’altra parte come detto un po’ sopra la domanda che sorge spontanea è: che differenza c’e’ tra questo sistema (usare un certificato con limitazione e memorizzare il pin per usarlo automaticamente) e un HSM che localizzato in un luogo sicuro accessibile via internet, viene contattato da un certo ip e con certi parametri di autenticazione (memorizzati quindi pure loro!) per ottenere una firma automatica?


(Diego Scaravaggi) #46

Ciao,

sul memorizzare il PIN (che e’ strettamente personale) non mi esprimo, lascio che sia gente più autorevole di me a rispondere. (aggiungo solo che i lettori class 2 e superiori, non consentono di salvare il pin che viene digitato sulla pinpad, da cui si intuisce che stai usando un Class 1)
Sugli HSM la differenza e’ che gli HSM venduti in Italia sono autorizzati a farlo secondo la normativa vigente.


(AndreaV) #47

Quindi class1 e class2 differiscono per questo ? Io sto usando il classico lettore usb che ha solo lo slot per la smart card… mi piacerebbe capire di più su queste ‘classi’, hai qualche riferimento ? Online non ho avuto fortuna.

Peraltro, ho anche usato molte volte chiavette usb (quindi con smart card in formato “sim card”) e con il software di infocert (ma perso che anche altri software siano analoghi) è consentito digitare il pin una sola volta e poi firmare molti file. E’ anche una ‘feature’ che pubblicizzano sulla versione ‘pro’ (quindi a pagamento).

Qui torniamo al mio primo post, vero motivo per cui mi sono “inserito” in questa discussione… per favore hai un link dove leggere queste norme ? Non sono riuscito a trovare nulla…
Grazie


(Diego Scaravaggi) #48

Ciao,

… ma veramente … :thinking: stiamo parlando di una materia arcinota e documentata da centinaia di documenti oramai storia a partire dalla metà degli anni '80

a me non piace postare link (perchè non è mio costume sponsorizzare i vendor)

ma Ingenico e Gemalto li devi conoscere per forza (avrai in tasca almeno 2 loro carte e prima di natale li usarei alemno 3 volte le loro pinpad)

cosi’ vedi le certificazioni

https://www.thalesesecurity.com/products/general-purpose-hsms/nshield-connect

requisisti hsm https://www.iso.org/standard/52906.html


(Diego Scaravaggi) #49

Ciao

certamente, non è questo il punto, un individuo ha facoltà di esprimere il consenso a firmare più file digitando una sola volta il PIN

tutt’altro scenario e’ quello prefigurato in cui il consenso dell’individuo viene a mancare.


(Diego Scaravaggi) #50

eccoti accontentato:
Lista HSM certificati in Italia


(AndreaV) #51

Scusami forse non mi sono espresso in maniera corretta.
Se li hai, avrei piacere di visionare un documento che spieghi la differenza tra lettore smart card class1 e class2 che hai citato prima (dicevi che io probabilmente sto usando un class1).
E la normativa italiana che dice che per la firma automatica massiva bisogna usare un HSM.

Grazie e scusami l’insistenza… I doc che hai linkato sono comunque interessanti e me li guardo senz’altro.


(Diego Scaravaggi) #52

I link li puoi trovare anche tu cercando su google “smartcard reader class2”
ad ogni modo ti cito il

“Gemalto CT700/710 reader provides a highly secure way to enhance your smart card-based application, by protecting the smart card PIN code from unauthorized access. The PIN code is entered locally and safely on the reader, and is thus never transmitted to the PC.”

Poi non esiste un obbligo di utilizzo degli HSM io ho solamente scritto che gli HSM sono autorizzati a quello scopo, poi vai a sapere, ci saranno altre modalità possibili che io non conosco.


(Diego Scaravaggi) #53

Ciao @avb2b,

ora che mi ricordo , ti avevo già messo un link ieri sera ad un class 2

In pratica a partire dal class 2 in su’ il PIN rimane nello smartcard evitando attacchi di tipo “man in the middle”

probabilmente non l’hai nemmeno aperto:
“Identiv’s SPR332 v2.0 Secure Class 2 PIN Pad Reader allows securely executed authentication processes within the device, protecting the entered data from various attacks”


(AndreaV) #54

Ok grazie per la discussione


(AndreaV) #55

No no lo avevo visto questo, pensavo ci fosse una qualche descrizione di cosa sono le varie classi… avevo cercato su google senza trovare nulla.
Grazie per i vari link


(Diego Scaravaggi) #56

Grazie a te lo scambio di opinioni comunque interessante, anche se il forum e’ piu’ incentrato sulla fatturazione Elettronica.

Come cittadino Italiano mi dispiace un po’ che il mercato alla fine si e’ ridotto a 1 / 2 fornitori francesi dove Gemalto e Ingenico (Thales) dettano i prezzi per tutti.


(Paolo) #57

A quanto mi risulta, OO99999999999 solo per Extra CEE.
Per discorso firma fatture estere, mi sembra assurdo ma temo sia proprio così…


(Marco Marsala) #58

È possibile firmare i file anche con il certificato rilasciato dall’Agenzia delle Entrate per il servizio Entratel, o con quelli rilasciati durante l’accredito Del canale SDIFTP (si può essere accreditati sia su SDICOOP che SDIFTP), come spiegano qui: Firma automatica File PA : Apache


(Romolo Manfredini) #59

No non è possibile firmare con quei certificati, perlomeno non è possibile usare quei certificati per le fatture PA.
Dato che le B2B e le B2C non è necessario firmarle, perché usare quei certificati ?