CIE e art. 64 del CAD

Vogliamo consentire l’accesso ai servizi telematici anche tramite la carta d’identità elettronica, così come previsto dall’articolo 64, c. 2-nonies del CAD utilizzandola anche quale soluzione di firma elettronica avanzata, come previsto dall’ art. 61 del DPCM 22/02/2013.

Ci è quindi necessario accedere al certificato di autenticazione presente sulla CIE, così come descritto nella sezione “Il microprocessore” del sito www.cartaidentita.interno.gov.it e nel documento di specifica del microprocessore e del file system della CIE.

Vorremmo avere informazioni in merito ai seguenti punti:

  1. la procedura necessaria alla lettura del certificato presente sulla carta con i più comuni browser
  2. l’eventuale necessità di installazione di driver software per la gestione del dispositivo RFC
  3. la disponibilità dei servizi applicativi su SPC previsti al paragrafo 6.11 del documento di specifica
1 Mi Piace

Per semplificare l’utilizzo del microprocessore della CIE per l’accesso ai servizi delle PP.AA. come previsto dal CAD è in completamento un middleware compatibile con le interfacce crittografiche PKCS#11 e (solo in ambiente Windows) CSP. Tale middleware rende possibile anche effettuare una firma elettronica avanzata, mediante l’ausilio di un qualunque tool di firma digitale che adotti l’interfacciamento di un token crittografico mediante specifica PKCS#11. Se si vuole accedere al processore senza l’utilizzo di un middleware come quello precedentemente descritto suggeriamo di consultare il documento indicato al riferimento [31] delle specifiche del microprocessore della CIE: GIXEL - IAS ECC - Identification Authentication Signature. Technical Specifications Revision: 1.0.1, consultabile all’indirizzo https://eevertti.vrk.fi/documents/2634109/2858578/GIXEL+244+IAS+ECC+v1+0+1UK.pdf. Tale documento compendia le specifiche del microprocessore CIE fornendo il dettaglio dei comandi da inviare alla carta per l’accesso ai vari oggetti memorizzati nel microprocessore. Quanto ai punti riportati, nel seguito le risposte di dettaglio:

1. la procedura necessaria alla lettura del certificato presente sulla carta con i più comuni browser

Il middleware CIE in corso di rilascio consente di propagare all’interno dello store dei certificati dei più comuni browser il certificato presente sulla carta, ad un primo utilizzo della medesima. Assieme al middleware verrà rilasciato un manuale utente che spiegherà i dettagli della procedura, con i vari browser (Internet Explorer, Chrome, Opera, Firefox, Safari)

2. l’eventuale necessità di installazione di driver software per la gestione del dispositivo RFC

Dipende dal lettore di smart card adoperato. Se si adotta un lettore che implementa il protocollo CCID (Chip Card Interface Device) non è necessario alcun driver aggiuntivo. Altrimenti è necessario far riferimento al produttore del lettore per ottenere il driver aggiornato per la propria postazione di lavoro.

3. la disponibilità dei servizi applicativi su SPC previsti al paragrafo 6.11 del documento di specifica

Il paragrafo 6.11 delle specifiche del processore fa riferimento ad un servizio WEB fruibile su SPC che, in sicurezza, consenta di prelevare il codice fiscale associato ad una CIE identificata mediante l’informazione NUMERO IDENTIFICATIVO SERVIZI presente sul microprocessore e passata in ingresso. Tale servizio, che consente anche l’operazione inversa (da CF a NIS) è attualmente in corso di allestimento. È previsto il rilascio entro il mese di luglio 2017.

Grazie per l’esauriente risposta.
Per quando è previsto il rilascio del middleware?

Non sono riuscito ad accedere all’applicazione IAS ECC. In particolare l’ATR e EF.ATR nel root non rispettano le specifiche menzionate, e non esiste un EF.DIR. Presumo che bisogna accedere ad un ADF con Application ID (AID) non documentato.

Inoltre, il documento di specifiche chip CIE 3.0 (v1.0) usa il riferimento n. [23] per le specifiche IAS ECC. Forse esiste una versione più recente che contiene queste informazioni mancanti?

Stiamo lavorando alacremente. Presto potremo essere più precisi sui tempi di rilascio.

Effettivamente è necessaria una chiarificazione.
Il file system in specifica è quello della componente IAS.
Una possibile implementazione è mediante due applicazioni separate. In questo caso, l’applicazione IAS va selezionata esplicitamente con un AID specifico, che attualmente è A0000000308000000009816001. Una volta effettuata la selezione il File System che si vede è quello in specifica.
Un’ implementazione altrettanto valida è quella per cui le due componenti applicative non vengono implementate con due applicazioni differenti, ma da una sola. In questo caso non è necessario selezionare l’applicazione IAS, e gli oggetti sono visibili direttamente in root.
Alcune carte in campo potranno essere implementate nel primo modo, altre nel secondo. Le si può distinguere dall’ATS.
Il tutto verrà chiarito da una nota pubblicata sul sito dell’ AgID. Verranno anche pubblicati i dettagli sugli ATS.

Sono ormai passati tre mesi dall’ultima comunicazione riguardo allo stato del rilascio delle librerie crittografiche della CIE.
Dal momento che l’articolo 64 del CAD prevede il diritto dei cittadini in possesso di CIE di utilizzarla per accedere ai servizi della PA, le PA che erogano servizi in rete ricevono frequentemente sollecitazioni in tal senso.
Io credo che contestualmente al rilascio delle CIE si sarebbe dovuto rendere disponibili le librerie e che ogni ulteriore ritardo sia un danno di immagine per il processo di digitalizzazione della PA.

La medesima richiesta si trova anche nel post di @Daniele_Crespi:

3 Mi Piace

Ciao, la versione beta del middleware è appena stata rilasciata.

E’ previsto un rilascio delle librerie PKCS#11 in ambiente MAC e Linux? Se si, che tempi si prevedono?
Grazie

Sì è previsto per entrambe le piattaforme. Lato Mac gli sviluppi sono iniziati ma non ho una ETA da condividere in questo momento, lato Linux siamo ancora fermi.

Stiamo però lavorando alla roadmap pubblica del progetto CIE che conterrà tutti gli sviluppi previsti e le ipotetiche date di completamento, così da dare evidenza dei progetti in corso, che essendo comunque tutti in open-source possono essere prioritizzati anche tramite contribuzioni esterne.