Come fa un’azienda privata (https://firmoconcie.it/) ad aver sviluppato un sdk per la firma con CIE visto che le specifiche tecniche di basso livello per comandare il microchip della CIE, accedere alla chiave privata di firma in esso contenuta e generare crittograficamente la firma non sono pubblicate come documentazione aperta per sviluppatori di terze parti?
1 Mi Piace
Forse un po’ di reverse engineering?
Il loro sito ha alcuni elementi sospetti. L’italiano non e’ perfetto, alcuni punti richiamano terminologia ed espressioni inglesi. Mancano riferimenti di contatto effettivi, propongono solo una finestra per messaggi. Non sarebbe obbligatorio pubblicare sul sito tutti i riferimenti aziendali, a iniziare dall’indirizzo della sede legale? Chiedono 8 cifre di PIN, cosa che non darei MAI dato che si tratta delle informazioni iniziali di base per attivare la carta. In confronto, la firma con il SW del ministero funziona con 4 cifre. Poi sempre sul sito spiegano in piu’ punti che la firma qualificata e’ una firma dal pieno valore legale. Se non viene riconosciuta da un SW, secondo loro e’ perche’ questo SW non e’ aggiornato. Come sappiamo, i motivi sono altri. Infine, in diversi punti indicano che e’ possibile usare anche il passaporto al posto della CIE. A che titolo? Non abbiamo PIN legati al passaporto. Forse funziona in qualche altro paese dove questa azienda effettivamente opera, probabilmente con altro nome.
Non si capisce la copertura dei costi e quale societa’ certificata faccia da garante per la firma.
Qualcuno ha voglia di provare a firmare con loro e poi verificare la firma con un prodotto ufficiale online, ad es. quello della Commissione Europea?
Qui ci sono le risposte alla maggior parte delle domande appena fatte
Resta allora un’altra domanda. Se il Ministero / Poligrafico dello Stato acquista una soluzione, non avrebbe senso che anche la adottasse in pieno (leggi: sistema pubblico di firma digitale Qualificata) piuttosto che lasciarla a meta’ e fare gestire questo settore da aziende private?
L’articolo è illuminante.
Alla luce di questo proviamo a fare un’ipotesi?
Mettiamo caso che lo Stato (tramite IPZS) abbia sì pagato per lo sviluppo della tecnologia di firma, come è ovvio. Ma cosa ha comprato esattamente con i nostri soldi?
Se avesse comprato la proprietà intellettuale (il codice sorgente) del “motore” che fa firmare la CIE, perché non lo ha reso open source? Se le specifiche fossero pubbliche chiunque potrebbe costruire un SDK e ci sarebbe un mercato competitivo.
Invece, guarda caso, ci ritroviamo con un’app gratuita dello Stato (CieSign) che fa il minimo indispensabile e un’unica azienda privata (quella che, guarda caso, ha sviluppato la tecnologia per IPZS) che è l’unica in grado di vendere un SDK mobile commerciale.
Questa situazione puzza terribilmente di vendor lock-in.
Non è che per caso, con soldi pubblici, abbiamo finanziato lo sviluppo di una tecnologia strategica… per poi permettere al fornitore (pagato da noi) di tenersi l’esclusiva sulla proprietà intellettuale e crearsi un monopolio di fatto?
Se questa ipotesi fosse corretta lo Stato ha “regalato” al suo stesso fornitore un intero mercato.
Riguardo il fatto che la firma non sia qualificata, anche quello sembra un altro “regalo” fatto ai soliti noti.
3 Mi Piace