Come fare firme digitali con software libero e GNU/Linux?

GiP · 7 Marzo 2025, 11:54am

Che come e’ formulato adesso il regolamento sull’autenticazione forte di fatto spinge all’uso di smartphone con app, anche per chi ne farebbe molto volentieri a meno.
Proposta di modifica al Regolamento

Le identita’ digitali UE compatibili con il sistema eIDAS DEVONO venire accettate da tutti i fornitori di servizio pubblico o commerciale come almeno equivalenti alle proprie. In chiaro: un login, ad es. a un sito bancario, e-commerce, vendita biglietti ecc. non dovrebbe richiedere una app senza alternative ma proporre ad es. anche il login con CIE o SPID.
Nel caso di TOTP il fornitore di servizi su richiesta deve potere fornire il seed iniziale direttamente all’utente finale. Esempio: la mia banca mi dice che seed = “ab96-432d-55ce-af28-01a3-db59”. Mi da’ una bustina chiusa, o un gratta-e-vinci allo sportello dopo che mi sono identificato con un documento valido. A quel punto sono affari miei il come implemento TOTP. La banca non deve impormi la sua app. Deve solo verificare se il codice e’ quello giusto oppure no.

Lo so che a pensare male ecc. ecc. ma continuo a credere che le direttive e i regolamenti europei siano stati scritti da Big Tech e Big Com senza coinvolgere altri specialisti, associazioni consumatori e cosi’ via.

strk · 8 Marzo 2025, 6:10am

Si parlava di firme digitali quindi io mi riferivo alla CNS con funzione di firma digitale qualificata. Fatemi sapere se si può invece anche firmare con la CIE: avrei buttato 70 euro (costo chiavetta bit4id presa da infocamere) ma sarei più contento.

strk · 8 Marzo 2025, 6:58am

Sei poi riuscito a far funzionare il software proprietario “FirmaOK” di “BIT4ID” in una macchina virtuale ? Io ci sto provando ora, sono partito da un Containerfile - magari possiamo condividere lo sforzo e pubblicare qualcosa ?

Per contesto: ho appena preso una chiavetta USB dalla camera di commercio, perchè come fornitore PA sono COSTRETTO a firmare digitalmente dei documenti e ad oggi l’unico modo sembra essere l’uso di questi software proprietari. Nel mio caso sulla chiavetta c’è un installer che ad oggi scarica un software chiamato “Firma4NG_1.6.15” ma credo che la versione possa cambiare se lancio l’installer in futuro, perchè lo va a prendere dalla rete

GiP · 8 Marzo 2025, 7:07am

Tecnicamente puoi. Ma la firma non e’ “qualificata” perche’ non lo prevede il Ministero. La differenza sta in scelte del Ministero degli Interni, non nella tecnologia, nel software, o in chi firma.
Il principio che si applica e’ che la firma vale se chi riceve il documento la riconosce come valida.
La firma con CNS che prendi con la CIE piu’ 70 EUR che vanno a un privato e’ “qualificata” e quindi valida in ogni caso.

Una volta ci raccontavano che la digitalizzazione avrebbe portato semplificazioni… e risparmi…

strk · 8 Marzo 2025, 10:01am

Hai un link in cui trovare le informazioni sul progetto “@firma” ?

strk · 8 Marzo 2025, 10:04am

Hai mica una ricetta per farla usare anche ad altri ?
Io nel tentativo di non sprecare il tempo che dedico a combattere contro questi mostri burocratici sto pubblicando come work-in-progress quello che faccio qui: strk/DigitalDNA_container: Open container per isolare il software proprietario necessario d utilizzare la CNS fornita dalle camere di commercio italiane nel 2025 - Codeberg.org

Francesco_Rigoli · 8 Marzo 2025, 10:30am

certo, lo scarico da qui:

questo il link al progetto su github:

GiP · 8 Marzo 2025, 12:10pm

AutoFirma sembra una soluzione interessante, a occhio dovrebbe funzionare con la nostra Tessera Sanitaria

Per il certificato e’ richiesto il contatto con un’autorita’ di certificazione. Ce ne sono che rilasciano il certificato in formato libero, come file? O e’ sufficiente copiarlo dalla loro chiavetta?

Paso 1: Obtén tu Certificado Digital

Primero, necesitas obtener un certificado digital. Puedes obtener un certificado digital de una Autoridad de Certificación (CA). La CA verificará tu identidad y luego te emitirá un certificado digital.

Francesco_Rigoli · 8 Marzo 2025, 12:27pm

Non ho mai provato con la TS, ma solo con diverse smart card (aruba, infocamere, ad es.) e la firma digitale funziona bene (verificata con diversi software).

Anche se è in spagnolo si capisce benissimo.

Mi era quasi venuto in mente di chiedere se si può tradurre in italiano

DevPGS · 10 Marzo 2025, 11:12am

Dovrebbe essere disponibile “a breve” :

Mejora: Otros idiomas. · Issue #438 · ctt-gob-es/clienteafirma

amreo · 10 Marzo 2025, 3:23pm

Non è necessario: una volta che sei riuscito a configurare correttamente il middleware e openssl, puoi usare un qualunque software che fa firme digitali usando moduli pkcs11 (come è bit4id), ad esempio okular o il semplice openssl

Mhm copia questo script:

#!/bin/sh
OPENSSL_CONF=~/.config/openssl-pkcs11/openssl-pkcs11.conf
export OPENSSL_CONF 
openssl cms -nosmimecap -md sha256 -nodetach -binary -cades -stream -outform DER -sign -signer ~/.config/openssl-pkcs11/certificato.pem -inkey "pkcs11:id=DS3;type=private" -keyform engine -in $1 -out $1.p7m -engine pkcs11

e file di conf openssl (~/.config/openssl-pkcs11/openssl-pkcs11.conf):

openssl_conf = openssl_init
[openssl_init]
engines = engine_section

[engine_section]
pkcs11 = pkcs11_section

[pkcs11_section]
engine_id = pkcs11
dynamic_path = /usr/lib/engines-3/libpkcs11.so
MODULE_PATH = /usr/lib/bit4id/libbit4xpki.so #/usr/lib/opensc-pkcs11.so
init = 0

Non mi ricordo come ho tirato fuori il certificato, però avrò copiato da qui.

bit4id sì, firma4ng (e simili proprietari) no.

Non credo, perché ha una serie di implicazioni, tipo come fai ad essere sicuro che il fornitore del certificato si tenga anche una copia della chiave privata?