Firma PAdES con CIE ancora incompatibile

L’altro giorno sono incappato in una raccolta di firme, dove diligentemente verificano l’indirizzo email e, in seguito, chiedono di firmare un documento PDF e ricaricarlo sul loro server. Il documento firmato con l’app CIEid viene rifiutato col messaggio Errore: 010 -Authentication failed: raccoltafirme-spid.appl.

Ho caricato il file firmato sul verificatore dell’ European Telecommunications Standards Institute, (ETSI). Il verificatore (richiede registrazione) non ha rilevato errori formali. Allora perché non viene accettato?

L’ipotesi più probabile mi sembra quella che l’authority non sia riconosciuta. (Ancora?)

Un altro dubbio però mi viene considerando il suggerimento di usare Acrobat. Come si vede in un filmato agid, questo permette di disegnare un riquadro dove apporre la firma. L’app invece, richiede di posizionare il cursore a mano, se si vuole aggiungere una forma grafica che testimoni la firma digitale. C’è un incompatibilità con Acrobat?

Nelle istruzioni del servizio di firma e’ indicato che la CIE non e’ ancora accettata. Solo SPID.

Considerato il tipo di quesiti sottoposti a referendum, tendenzialmente orientati a coinvolgere larga parte della popolazione e non solo la piu’ ricca o culturalmente preparata, richiedere la firma qualificata mi sembra una contraddizione in termini. Avrebbero dovuto considerare metodi di piu’ ampio accesso e materialmente riconducibili alla persona quali CIE, Tessera Sanitaria attivata, passaporto.

Questo non l’avevo visto. D’altra parte, il link stesso mi porta a una pagina di errore INVALID_REQUEST Parametri non validi.

Non ho ancora mai visto siti privati, p.es. banche, usare la CIE per l’autenticazione.

Questa e’ una mancanza che riguarda quasi tutta Europa. E buona parte della colpa l’ha la Commissione UE nel non richiedere questa funzionalita’ nelle sue lunghissime direttive o nei suoi altrettanto prolissi regolamenti. Piu’ o meno in contemporanea la UE ha legiferato su (1) formati dei documenti nazionali di identita’ con i relativi aspetti IT, (2) sulla loro compatibilita’ nella UE “eIDAS”, (3) su sistemi di firma digitale accettati in tutta UE, (4) sull’autenticazione sicura per i servizi bancari e (5) con il sottofondo di GDPR. Tutto scollegato l’uno dall’altro e mutualmente incompatibile. Cosa che spinge un convinto europeista come il sottoscritto a volere prendere la Commissione a cannonate (nota: METAFORA).
Il risultato e’ che le carte d’identita’ usano standard diversi, software diversi e driver diversi per l’autenticazione remota da PC, sono un po’ meno di 27 standard perche’ qualche paese ha copiato la soluzione estone. La firma elettronica varia di paese in paese: in Estonia e’ di massimo livello, in Italia di livello intermedio, in Germania occorre acquistare un servizio accessibile con la C.I. elettronica nazionale. Ogni banca fa per conto suo con l’identificazione, chi ha’ piu’ conti ha piu’ app, o generatori TOTP o simili. L’unico risultato tangibile di GDPR e’ la continua richiesta di accettazione dei cookie durante la navigazione in rete. Ripeto, da europeista convinto, che se la UE si dovesse occupare anche di questioni inerenti la difesa i russi avrebbero gia’ raggiunto Madrid.
Definire un formato unico di Carta d’Identita’ pan-europeo legato a una firma digitale qualificata lasciando agli Stati Membri solo di metterci la propria bandierina e richiedere che questo standard venga sempre e comunque accettato da ogni servizio online, magari in parallelo ad altre soluzioni, ai burocrati brussellesi non viene proprio in mente. Oppure, molto peggio, a qualcuno viene in mente ma le lobby dei mega provider Software, quasi tutti USA, fanno sbarramento e la Commissione sa quale strada deve prendere.

In Svezia e’ poco usata la Carta d’Identita’ nazionale, il servizio di identificazione primario e’ offerto dalle banche. Il sistema, che si basa sulla tessera di identificazione/ Bancomat ed e’ gestito in modo simile a SPID, ha alcuni vantaggi, la capillarita’ degli sportelli, ma suona strano che la verifica materiale di identita’ sia lasciata a privati. La tessera Bancomat ha la funzione sia di C.I., sia di identita’ per l’accesso ai servizi online. Oppure via app su smartphone.
A tutt’oggi negli USA il principale documento di identita’ e’ la patente di guida.

@GiP
so di scrivere 3 righe offtopic ma per qualche verso parallelo.
Recentemente (novembre 2022) ho saputo direttamente da 3 ragazze di Berlino, che lavorano in diversi uffici dell’Amministrazione comunale berlinese, che non hanno un sistema di identità digitale in Germania. Quando ho mostrato loro la CIE e su PC il sistema SPID per accedere ai servizi digitali della PA italiana, queste ragazze mi hanno guardato con gli occhi sgranati dicendomi che su questo aspetto in Italia siamo molto avanti rispetto al loro paese.
Stentavo a crederci, pensavo si fossero messe d’accordo per uno scherzo, ma erano 3 ragazze di Berlino che si erano conosciute solo a Palermo per uno stage al comune di Palermo.

@cirospat
Grazie per il commento! E’ proprio cosi’.
La Germania ha la carta d’identita’ elettronica dal 2010 (digitaler Personalausweis) ma finora hanno messo online pochissimi servizi. La maggior parte della popolazione non li conosce e continua ad andare agli sportelli. In compenso i caratteri sulla loro CIE sono meglio leggibili rispetto alla nostra e l’usabilita “analogica” del documento e’ maggiore.

Al di là delle polemiche EU, credo di aver capito che la firma CIE non va perché l’emittente della carta non è tra gli emittenti fidati in Europa. Ho fatto una verifica su ec.europa.eu: non rileva la CA — la differenza tra Advanced e Qualified Electronic Signature (AES vs QES) . Questo è lo screenshot:

Screenshot730×573 65.2 KB

Che significa CA/QC? (Gli altri sono warnings.) Ho trovato una spiegazione che collega il termine a una Trust List. Nota bene: nella spiegazione il link porta al 18 marzo 2017 sulla wayback machine, come qui. Tuttavia, nella wayback machine ho trovato questo link:

https://ec.europa.eu/tools/lotl/eu-lotl.xml

Ora, sul mio certificato CIE, come nella certificate chain qui sopra, trovo scritto:

Issued by: C=IT,O=Ministero dell'Interno,OU=Direz. Centr. per i Servizi Demografici - CNSD,CN=Issuing sub CA for the Italian Electronic Identity Card - SUBCA1

Nella lista di certificati presenti sulla List Of Trusted Lists questo non c’è:

ale@pcale:~/tmp$ curl -s -O https://ec.europa.eu/tools/lotl/eu-lotl.xml
ale@pcale:~/tmp$ xml_grep --text_only X509Certificate eu-lotl.xml| (while read line; do printf -- '-----BEGIN CERTIFICATE-----\n%s\n-----END CERTIFICATE\n' "$line" >foo; certtool -i --infile foo| sed -rn 's/^.((Issuer|Subject):.*)/\1/p'; done)| grep Italian
Subject: EMAIL=it_tsl@agid.gov.it,CN=AgID,serialNumber=#0c1156415449542d3937373335303230353834,OU=Italian Trusted List Management Office,O=Agenzia per l'Italia Digitale,C=IT
Subject: EMAIL=it_tsl@agid.gov.it,CN=AgID,serialNumber=#0c1156415449542d3937373335303230353834,OU=Italian Trusted List Management Office,O=Agenzia per l'Italia Digitale,C=IT
Subject: EMAIL=it_tsl@agid.gov.it,CN=AgID,serialNumber=#0c1056415449542d39373733353032303538,OU=Italian Trusted List Management Office,O=Agenzia per l'Italia Digitale,C=IT
Subject: EMAIL=it_tsl@agid.gov.it,CN=AgID,serialNumber=#0c1156415449542d3937373335303230353834,OU=Italian Trusted List Management Office,O=Agenzia per l'Italia Digitale,C=IT

Le mie nozioni di protocolli di sicurezza sono molto deboli, ma ho l’impressione che il problema e’ proprio come l’hai descritto.
Se ho capito bene - e avrei piacere a essere corretto se le cose non stanno cosi’ - il Ministero dell’Interno garantisce la CIE, ma nessuno garantisce il Ministero dell’Interno. Quindi il processo di verifica garantisce che la catena dal Ministero alla CIE all’utente e’ corretta, ma non puo’ garantire che il Ministero non sia in ultima analisi un hacker chissadove.
CA e’ Certification Authority, QC e’ Qualified Certification
Guardando la List Of Trusted Lists DSS Demonstration WebApp sotto Italy e’ presente il Ministero dell’Interno riconosciuto come Identity Verification Service e abilitato alla generazione AdES (Advanced Electronic Signature). Ma se scegli, ad esempio, Actalis, vedi che e’ Certification Authority.
Probabilmente dovrebbe essere sufficiente per il Ministero farsi certificare, ad esempio, da Actalis o un’altra CA nazionale. Non so se la questione sia cosi’ semplice, perche’ non l’abbiano fatto, o quali siano i motivi.
Se in confronto guardi sotto Estonia vedi che ci sono due Autorita’ di certificazione in tutto, delle quali SK ID Solutions AS e’ quella che emette le carte d’identita’ con funzione di firma. E infatti un documento con firma estone alla verifica e’ green.

Per quel che vale, posso confermare. Noi offriamo la possibilità di pagare tramite PagoPA anche a cittadini stranieri, con possibilità di accesso SPID o EIDAS, e sistematicamente i cittadini tedeschi chiedono di poter pagare in modo alternativo perchè non hanno un’identità digitale EIDAS, non sanno cosa sia, non sanno come ottenerla, ce l’hanno ma non sanno dove han messo le credenziali che non l’hanno mai usata in concreto… Sistematicamente.

Sul sito europeo hanno aggiornato la webapp e ora la lista dettagliata perde il record “Qualification”, se vedi il dettaglio base vedrai che è una FEA/AES valevola anche se fatta via CIE.

Quale?

-----------------------------------------------
il messaggio deve contenere almeno 20 caratteri
----------------------------------------------

Quello che hai usato per far le prove, DSS Demonstration WebApp

Sarò tardo, ma non capisco cosa intendi. Qual è la lista dettagliata? I termini AES e QES non compaiono prima della verifica. Dopo la verifica compare un box che recita:

Nel seguito, il non essere qualificata viene segnato come errore della firma.