Ciao.
Sperando di essere nella sezione giusta, sono un privato che vorrebbe fare delle firme digitali, sia PAdES che CAdES ma sto avendo difficoltà a causa dell’entropia che c’è nel settore. Non ho ancora capito:
Quali sono i fornitori accreditati, quali sono le differenze tra di loro e a quale fornitore rivolgermi.
Quali sono le modalità di firma e cosa serve? Serve necessariamente una smartcard?
Se PAdES e CAdES sono standard europei o solo standard italiani.
In particolare vorrei poter fare sia le firme CAdES che PAdES, e i miei requisiti per le soluzioni sono:
Sull’utilizzo della firma digitale in ambienti GLU/Linux non ci sono mai stati problemi.
Se vuoi evitare la smartcard devi ricorrere al token usb oppure alle soluzioni delle firme remote.
Se vuoi utilizzare software non proprietario c’è un vecchio progetto curato da Antonino Iacono che poi è confluito in OpenSSL : https://opensignature.sourceforge.net/ https://www.blia.it/firmadigitale/
Fornitori accreditati agid
Esistono 3 modalità di firma:
Pades - per i PDF;
Xades - per XML (tipo fatture)
Cades - per qualunque tipo di file
Oltre alla Smart Card+lettore, esistono i token USB e la firma remota (ma non firmi strettamente sul PC)
I formati di firma sono validi a livello UE
Se non vuoi utilizzare SW proprietario, neanche gratuito, la faccenda si complica un pò. Normalmente i GPL open source hanno problemi di manutenzione nel tempo, poi dipende dal tuo orizzonte temporale. Funzionava discretamente @Firma ma è in spagnolo, per la firma PDF su Linux esiste Okular.
Ricorda che Linux è un mondo variegato ed una soluzione che va su Debian non è che vada anche su RH o Arch a meno di un bel pò di lavoro.
Buongiorno amreo,
i formati che hai indicato sono definiti e validi in EU ma accettati di fatto globalmente. Puoi firmare PAdES direttamente da LibreOffice, ma ti serve il driver del dispositivo che normalmente è software proprietario gratuito. Se non vuoi utilizzare il dispositivo devi utilizzare la firma remota, esiste un protocollo open (CSC https://cloudsignatureconsortium.org/) ma non ci sono al momento implementazioni open source. Se ti interessa firmare PAdES su Linux noi abbiamo un driver CSC che funziona anche con LibreOffice, però è proprietario a pagamento.
Salve,
sono dipendente del Ministero dell’Interno. Mi interessa molto approfondire la soluzione con Libreoffice. Potreste indicarmi delle istruzioni per firmare digitalmente i documenti con smartcard da Libreoffice? Come faccio a selezionare il certificato da LO sulla smartcard?
Grazie mille e cordiali saluti,
Emanuele Gissi
a distanza di quasi due anni, posso dire che @firma è un’ottima soluzione (seppur in spagnolo).
Lo uso quotidianamente per apporre le firme digitali, per verificare i documenti firmati, e se correttamente impostato la firma soddisfa anche i requisiti del Processo Civile Telematico (e probabilmente anche del PAT, ma non ho mai testato).
Sarebbe fantastico poter disporre di una versione italiana, o di un sw derivato, a disposizione di tutti…
(2024) Quindi mi confermate che una persona non può fare una firma digitale in Italia usando software libero - come da richiesta iniziale?
Mi sono registrato per esempio sulle Poste, per necessità di fare una “firma digitale remota” nel mio paese. Per questo processo sembra necessario scaricare ed eseguire 288 Megabyte di software a codice sorgente chiuso e la società che lo produce (“BIT4ID”) mi vieta espressamente di ispezionare il suo funzionamento (??). Cosa che mi sembra un po’ surreale, siccome è dagli anni '80 che l’umanità produce ampia letteratura su come fare una firma digitale a livello militare con protocolli totalmente aperti - ma siamo riusciti probabilmente a inventarci qualcosa di nuovo e… proprietario;
Grazie per le vostre testimonianze.
Nel frattempo mi creo una macchina virtuale totalmente isolata dal mio computer, e vedo se riesco a far funzionare il software proprietario “FirmaOK” - pur tenendolo distante dai miei dati personali e di lavoro (computer che non ho voglia di compromettere installando software scaricato dal web ).
Il software CIE ha la funzione di firma e puo’ venire installato in ambiente Debian/Ubuntu. Il problema - totalmente assurdo - e’ che il ministero non certifica la firma, mentre ci sarebbero tutti i presupposti tecnici per farlo. Mancano quelli politici-amministrativi. Dal punto di vista della sicurezza la CIE e’ almeno altrettanto sicura della CNS, se non di piu’.
Arrivo in ritardo, ma guarda se ti pare accettabile questa soluzione per firma CAdES, testata funzionante sul forum di ubuntu-it.org
Si basa su OpenSSL come aveva già accennato @Paolo_Del_Romano
Anche se è tutto basato su software libero, richiede comunque il possesso di una smartcard da cui estrarre il certificato di firma.
Che modi ci sono per estrarre il certificato dalla smart card ? Si può usare l’NFC di uno smartphone per leggere i dati ? Ci sono software liberi per Android che possono aiutare in questa procedura ?
Dalla CIE o CNS con funzione di firma digitale qualificata? In ogni caso non puoi estrarre il certificato privato (per quanto ne so). Invece per estrarre il certificato pubblico puoi seguire più o meno questa procedura, però nel caso delle CNS è necessario bit4id, invece nel caso CIE ti serve il middleware menzionato sopra(che quantomeno è software libero).
Secondo me sì, non so esattamente come. Forse con termux e seguendo la procedura menzionata sopra(però potrebbe comunque essere necessario bit4id…
Android appartiene a Google che e’ una delle maggior imprese private al mondo e protegge le sue soluzioni con tutti i metodi possibili tecnici, legali, commerciali ecc.
Il software libero, se si applicano i quattro principi originali di Stallman, e’ altra cosa.
La mia affermazione puo’ essere confutata in modo molto semplice. Con un esempio di “software libero CIE” per android. Che se funziona anche su f-droid o altri sistemi alternativi, allora sarebbe veramente libero.
Android puro (AOSP) è software libero, però spesso sopra vengono preinstallate le schifezze di google (google mobile services, play store,…). Non è detto che l’utente abbia una rom android del produttore con software proprietario. Può essere che abbia /e/os o lineageos (o una qualunque distribuzione basata su Android) senza avere le app di google.
Non esiste un middleware/app cie per android che sia libera. Per questo ho proposto a @strk di usare termux sebbene non sapessi se avrebbe funzionato.
Comunque per massimizzare la libertà con CIE suggerisco cie-middleware-linux+openssl+pkcs11+lettore nfc.
Non sono qualificato a entrare nei dettagli perche’ non ho smartphone e nemmeno un abbonamento mobile e ho impostato la mia esistenza digitale nell’eluderli e usare altre soluzioni. Ma a quanto ho capito, se un servizio, diciamo una app e-banking, e’ resa disponibile per un f-droid o altro sistema aperto, Google non la accetta sul suo Play Store e quindi taglia fuori di fatto l’intera utenza.
Chissa’ se, quando la UE avra’ IA (scusate le abbreviazioni), IA suggerira’ a UE di provare a fare da soli. Sarebbe sufficiente aggiungere poche righe nei Regolamenti per i servizi bancari e sull’autenticazione forte. Al momento la nostra classe dirigente non ci arriva.
).