Certificato Cades per firma fatture xml

Ah io non cercavo ‘ragione’ volevo solo leggere altre informazioni che magari io non avevo trovato… :slight_smile:

Quali sono le differenze tra lettori classe 1 e 2 ? e in che senso è richiesto un HSM per avere la firma “unmanned” ? In fin dei conti un HSM altro non è (passatemi la semplificazione) che un grosso contenitore di smart card, con un certo grado di sicurezza implicita nel caso di manomissione… Per poter firmare devo comunque autenticarmi con l’HSM e quindi è vero che non digito il PIN di una smart card, ma è vero anche che chi riesce a venire in possesso delle credenziali di autenticazione per l’HSM, in realtà è come se avesse il PIN della relativa smart card… D’altra parte se non si vuole intervento umano, da qualche parte bisogna scendere a compromessi… anche il servizio di firma via internet tramite HSM, per quanto possa porre delle limitazioni sull’ip chiamante, per quanto abbia dei sistemi di autenticazione ecc… alla fine se qualcuno dovesse riuscire a fare le stesse cose che fa il titolare ufficiale del servizio, lo userebbe a suo nome senza alcun problema.

Naturalmente nessuno ha estorto nulla :smiley:
E i certificati hanno restrizione secondo art.28 del codice di amministrazione digitale e quindi sono usabili solo allo scopo di firma automatica di fatture e conservazione sostitutiva, quindi sono del tutto privi di rischi per il titolare del certificato nel senso che non potranno essere utilizzati per scopi diversi.

Ciao,

con questa frase intendi che ti sei fatto rilasciare un certificato di firma automatica senza PIN su smart card ?
se esiste vorrei sapere quale provider lo ha emesso, ma chiaramente non sei tenuto a rivelarlo.

Ciao

No, la smart card HA il pin. Il certificato che essa contiene pero’ ha una limitazione d’uso (secondo art.28 già citato) e quindi quel certificato è usabile, o meglio, ha valore, solamente se si firmano fatture a scopo fatturazione elettronica oppure conservazione.

Il nostro sistema, una volta inizializzato, memorizza il pin e lo usa automaticamente per firmare i documenti tramite smart card.

Ciao

Alla fine siamo arrivati al punto spiegato nel mio post ieri sera.
Il padrone del certificato e’ consapevole che il PIN viene copiato ?
E’ stato correttamente informato ?

Ora io non sono la persona più adatta per entrare nei meandri giuridici/normativi di questo utilizzo, però almeno siamo sul forum giusto.
Sicuramente il moderatore se non addirittura Stefano Quintarelli ci risponderà.

Nella attesa un saluto di Buon Natale e Buone Feste :santa:

Certo che il padrone del certificato ne è informato… Sottolineo inoltre che il ‘certificato’ ha uno scopo (una limitazione) e pertanto questa “memorizzazione” non costituisce problema alcuno per la persona intestataria del certificato perché non è un certificato normale (col quale posso firmare un atto di vendita per esempio) ma un certificato finalizzato alla firma di fatture elettroniche e null’altro.

D’altra parte come detto un po’ sopra la domanda che sorge spontanea è: che differenza c’e’ tra questo sistema (usare un certificato con limitazione e memorizzare il pin per usarlo automaticamente) e un HSM che localizzato in un luogo sicuro accessibile via internet, viene contattato da un certo ip e con certi parametri di autenticazione (memorizzati quindi pure loro!) per ottenere una firma automatica?

Ciao,

sul memorizzare il PIN (che e’ strettamente personale) non mi esprimo, lascio che sia gente più autorevole di me a rispondere. (aggiungo solo che i lettori class 2 e superiori, non consentono di salvare il pin che viene digitato sulla pinpad, da cui si intuisce che stai usando un Class 1)
Sugli HSM la differenza e’ che gli HSM venduti in Italia sono autorizzati a farlo secondo la normativa vigente.

Quindi class1 e class2 differiscono per questo ? Io sto usando il classico lettore usb che ha solo lo slot per la smart card… mi piacerebbe capire di più su queste ‘classi’, hai qualche riferimento ? Online non ho avuto fortuna.

Peraltro, ho anche usato molte volte chiavette usb (quindi con smart card in formato “sim card”) e con il software di infocert (ma perso che anche altri software siano analoghi) è consentito digitare il pin una sola volta e poi firmare molti file. E’ anche una ‘feature’ che pubblicizzano sulla versione ‘pro’ (quindi a pagamento).

Qui torniamo al mio primo post, vero motivo per cui mi sono “inserito” in questa discussione… per favore hai un link dove leggere queste norme ? Non sono riuscito a trovare nulla…
Grazie

Ciao,

… ma veramente … :thinking: stiamo parlando di una materia arcinota e documentata da centinaia di documenti oramai storia a partire dalla metà degli anni '80

a me non piace postare link (perchè non è mio costume sponsorizzare i vendor)

ma Ingenico e Gemalto li devi conoscere per forza (avrai in tasca almeno 2 loro carte e prima di natale li usarei alemno 3 volte le loro pinpad)

cosi’ vedi le certificazioni

https://www.thalesesecurity.com/products/general-purpose-hsms/nshield-connect

requisisti hsm https://www.iso.org/standard/52906.html

Ciao

certamente, non è questo il punto, un individuo ha facoltà di esprimere il consenso a firmare più file digitando una sola volta il PIN

tutt’altro scenario e’ quello prefigurato in cui il consenso dell’individuo viene a mancare.

eccoti accontentato:
Lista HSM certificati in Italia

Scusami forse non mi sono espresso in maniera corretta.
Se li hai, avrei piacere di visionare un documento che spieghi la differenza tra lettore smart card class1 e class2 che hai citato prima (dicevi che io probabilmente sto usando un class1).
E la normativa italiana che dice che per la firma automatica massiva bisogna usare un HSM.

Grazie e scusami l’insistenza… I doc che hai linkato sono comunque interessanti e me li guardo senz’altro.

I link li puoi trovare anche tu cercando su google “smartcard reader class2”
ad ogni modo ti cito il

“Gemalto CT700/710 reader provides a highly secure way to enhance your smart card-based application, by protecting the smart card PIN code from unauthorized access. The PIN code is entered locally and safely on the reader, and is thus never transmitted to the PC.”

Poi non esiste un obbligo di utilizzo degli HSM io ho solamente scritto che gli HSM sono autorizzati a quello scopo, poi vai a sapere, ci saranno altre modalità possibili che io non conosco.

Ciao @avb2b,

ora che mi ricordo , ti avevo già messo un link ieri sera ad un class 2

In pratica a partire dal class 2 in su’ il PIN rimane nello smartcard evitando attacchi di tipo “man in the middle”

probabilmente non l’hai nemmeno aperto:
“Identiv’s SPR332 v2.0 Secure Class 2 PIN Pad Reader allows securely executed authentication processes within the device, protecting the entered data from various attacks”

Ok grazie per la discussione

No no lo avevo visto questo, pensavo ci fosse una qualche descrizione di cosa sono le varie classi… avevo cercato su google senza trovare nulla.
Grazie per i vari link

Grazie a te lo scambio di opinioni comunque interessante, anche se il forum e’ piu’ incentrato sulla fatturazione Elettronica.

Come cittadino Italiano mi dispiace un po’ che il mercato alla fine si e’ ridotto a 1 / 2 fornitori francesi dove Gemalto e Ingenico (Thales) dettano i prezzi per tutti.

A quanto mi risulta, OO99999999999 solo per Extra CEE.
Per discorso firma fatture estere, mi sembra assurdo ma temo sia proprio così…

No non è possibile firmare con quei certificati, perlomeno non è possibile usare quei certificati per le fatture PA.
Dato che le B2B e le B2C non è necessario firmarle, perché usare quei certificati ?

Scusami Giuseppe, ho letto per caso questo post di 3 mesi fa e quindi sicuramente avrai risolto…come hai fatto? Ho lo stesso probelma…ho la smartcard di Aruba ma ma vorrei firmare gli xml in automatico dal nostro software per inviare direttamente allo SDI…mi occorrerebbe un certificato ma so che non si può esportare quello della smart…grazie

Salve, approfitto della discussione per chiedervi se esiste un software di riferimento per il controllo delle firme elettroniche apposte sulle pec.
Molti utilizzano software di terze parti (mail,Thunderbird, outlook) che implementano la libreria openssl ma spesso errori e bug di tali software hanno dato falsi positivi. Considerando l’importanza di tale controllo potete indicare un software od un sito indicato da Agid cui poter fare riferimento?