Nuova TS-CNS con NFC

Salve
Scrivo nello spazio CIE perchè è quello che si avvicina di più al mio quesito.
Ho ricevuto da pochi giorni la nuova TS-CNS da Regione Puglia e ho visto il simboletto del wireless.
Ho visto che in qualche modo interagisce con il mio lettore NFC, ma non sono riuscito a capire che middleware gestisce la transazione pkcs11 in questo caso.
Non sono inoltre riuscito a trovare documentazione ufficiale in merito.
Avete news aggiornate?
grazie
Marcello

1 Mi Piace

Occorre scaricare un driver da questo sito
https://sistemats4.sanita.finanze.it/CardDriverDownloaderWeb/pages/home.xhtml
un sito alternativo per i driver e’
https://sistemats1.sanita.finanze.it/portale/elenco-driver-cittadini-modalita-accesso
Su sistemi Linux una volta spacchettato la cartella del driver si installa un programma da 200MB che serve solo a cambiare o resettare il PIN. Molto piu’ importante, con il driver (che e’ una collezione di utility) viene installata la cartella /usr/lib/bit4id/outerlibs. Questa cartella contiene 5 moduli, vanno conservati tutti. In Firefox occorre poi installare il modulo di sicurezza libstpkcs11.so puntando a questa cartella. Fatto tutto, dovrebbe andare.
Ho fatto diverse reinstallazioni di prova. Non scarico piu’ il programma di gestione (200MB risparmiati) e mi limito a ricopiare la cartella outerlibs. Con il mio lettore NFC e’ necessario un driver dedicato ma sono solo 100kB, nessun problema.

Grazie
non avevo notato l’aggiornamento della lista dei driver.
Quei driver che mi ha indicato sono valide tramite PC con l’utilizzo di un lettore nfc.
Esiste una modalità ibrida come per la CIE?
grazie
M

Cosa significa “modalita’ ibrida”? La CIE non ha il contatto elettrico e funziona solo con NFC.
Per quanto ne so ogni lettore ha il suo driver dedicato, oppure non ha bisogno di driver perche’ segue specifiche ben definite ed e’ visto direttamente dal sistema operativo.
Per fare funzionare sia la CNS nuovo modello sia CIE ho avuto bisogno di parecchi tentativi.

la modalità ibrida significa che si utilizza un telefonino android come lettore della CIE utilizzando un’app del poligrafico.
qui può trovare un pdf esplicativo di questo scenario
M

1 Mi Piace

Molto interessante, non conoscevo questa tecnologia, pensavo sempre in termini di smartphone come lettore NFC equivalente al lettore fisso via USB.
Se in alternativa o in aggiunta al codice QR venisse inviato direttamente un link (che e’ la stessa cosa) e l’algoritmo per la generazione di OTP fosse disponibile per piattaforme fisse ci si potrebbe risparmiare lo smartphone senza intaccare la sicurezza. E’ una discussione molto sentita in numerosi thread di questo forum.

Ha quanto ne so io no, però visto che le nuove Tessere Sanitarie - CNS hanno anche NFC sarebbe una cosa interessante, permetterebbe di autenticarti con la TS-CNS senza bisogno di un lettore desktop, cosa utile in molti scenari.

Per quanto riguarda quei driver permettono di autenticarsi con la TS anche usandola con un lettore NFC, Provato personalmente su MacOS X + Firefox + lettore NFC Tedesco

E come faresti senza il chip della tessera sanitaria - carta nazionale dei servizi ?
Perché parte del processo di autenticazione avviene li, vedi il passo 4 della guida per l’autenticazione tramite CIE che ha postato Marcello

Hai ragione, avevo considerato solo la parte OTP. Se viene generato sulla CIE e’ diverso da un algoritmo separato.
Resto fedele a desktop con lettore e carta fisica. Un processo ibrido che necessita di desktop, smartphone, lettore QR, interfaccia NFC e token fisico mi sembra un po’ troppo macchinoso.

appena provato anche io, stessi risultati.
M

Non so come venga generato OTP con l’autenticazione ibrida della CIE o anche quella normale con lettore desktop, però nel processo di autenticazione penso che c’entri per forza la chiave pubblica/privata presente sulla CIE.
Non ho idea se si possa duplicare il sistema anche per la TS-CNS.

Il lettore QR lo fa lo smartphone lo stesso per NFC, io l’ho usato diverse volte per autenticarmi da PC che non avevano il lettore NFC, e l’ho trovato assai comodo, sei hai uno smartphone con NFC ti risparmi i 50€ di spesa del lettore da attaccare al PC, se na fai un uso da utente privato quindi piuttosto sporadico è un ottima alternativa, ovvio che se lo usi 4 volte al giorno o più un lettore desktop diventa quasi obbligatorio.

I nuovi driver aggiornati non solo funzionano molto meglio di quelli vecchi, ma diminuiscono di molto la confusione su quali driver scaricare.

Buongiorno a tutti. Lasciando da parte il fatto che ho richiesto la nuova TS/CNS più di un mese fa e non è ancora arrivata, io uso sia il lettore NFC sia Android con risultati a dir poco disastrosi. Volevo usare la CIE come firma digitale su un documento dell’Agenzia delle entrate, firma che però non viene riconosciuta.
Ho letto che la nuova TS/NFC può essere utilizzata come firma digitale. Qualcuno ha esperienza su tale argomento? Grazie

1 Mi Piace

@wido
non ho esperienza diretta ma forse posso aggiungere qualche tassello. Per la firma occorre un software dedicato che prende un documento e aggiunge le informazioni di firma, producendo quindi un nuovo file in output, quello firmato. Le informazioni sulla firma sono lette dalla CIE o CNS.

Esistono tre tipi di firma: CAdES, XAdES e PAdES. L’ultimo e’ un pdf con aggiunte le informazioni di firma, gli altri due sono cartelle, CAdES e’ criptata e XAdES no. Quindi PAdES e XAdES sono gestibili anche senza software di firma, per CAdES il SW e’ obbligatorio per estrarre il file firmato e i certificati di garanzia sulla firma. In Italia si usano CAdES e PAdES.

Premesso questo, per quanto ne sono a conoscenza le Camere di Commercio tramite Infocamere offrono una CNS insieme al software di firma. Non so se le CNS Tessere Sanitarie siano compatibili con questo software. Il software Dike scaricabile dal sito sotto indicato e relativo alla TS/CNS ST2021 non ha funzione di firma, ma solo quella di modifica o riattivazione del PIN
https://sistemats1.sanita.finanze.it/portale/elenco-driver-cittadini-modalita-accesso

Apporre una firma digitale e’ pero’ solo meta’ del problema. L’altra meta’ e’ riconoscerne la validita’, e questo e’ un pasticcio totale in tutta Europa con incompatibilita’ quasi assolute. Ancor peggio, poi, se un documento firmato e’ in formato CAdES: senza un software dedicato il documento e’ illeggibile.

Prima di procedere con la firma e’ bene tenere in considerazione questi aspetti. Al momento ho l’impressione che sia utile solo per applicazioni molto particolari, in primo luogo per avvocati e commercialisti che ne facciano uso solo all’interno del loro “ecosistema”. Ma firmare un documento con la CNS a Milano sperando che lo accettino senza problemi a Copenhagen, malgrado la legge europea lo preveda, mi sembra ancora azzardato.

1 Mi Piace

Grazie per la risposta che conferma ciò che immaginavo.

per mia conoscenza, quale? sempre regolamento Eidas o non c’entra nulla?

grazie

@micanova
Si, eIDAS. E’ esplicito su questo punto. Interoperabilita’ di tutti i sistemi di firma.

Qualche mese fa ho scaricato alcune decisioni del governo tedesco dalla loro “Gazzetta Ufficiale” in formato pdf a firma Angela Merkel. Nessuno dei software italiani accessibili online l’ha riconosciuta. All’estero succede lo stesso con documenti di qui.

Mi sa che andremo avanti ancora a lungo con gli scan di firme autografe.

nella mia firma remota infocert posso aggiungere certificati di tutti i paesi membri ue ed altri.

Pensavo significasse che con quelli la firma era riconosciuta nei vari paesi, ma non ho mai avuto modo di provare.

Mi chiedo a cosa servano allora.

@micanova
Questa e’ un’informazione molto interessante. Non ho potuto richiedere Infocert per cui non ne conosco l’operativita’ di dettaglio.

Vuoi/ puoi fare un test con il tuo SW? Ho cercato in Internet un documento estero (UE) firmato digitalmente. Questa e’ una recente legge austriaca con un bel bollo di firma sull’ultima pagina
https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2021_I_197/BGBLA_2021_I_197.pdfsig

Il sito UE di verifica delle firme risponde

Qualification:
Indeterminate AdESig

Qualification Details :

    The certificate is not related to a CA/QC!
    The signature/seal is an INDETERMINATE AdES digital signature!
    The certificate is not qualified at (best) signing time!
    The certificate is not qualified at issuance time!
    The private key does not reside in a QSCD at (best) signing time!

Signature format:
PDF-NOT-ETSI

Signatures status:
0 valid signatures, out of 1

Per essere un documento di un governo di Stato membro UE, niente male.

a me da risultati simili mi pare:

Dati di dettaglio della verifica effettuata

Firmatario 1 :
Bundeskanzleramt
Firma verificata:
OK (Verifica effettuata alla data: 16/02/2022 09:17:18 UTC)

  • Firma non conforme alla delibera AgID 147/2019
  • Firma PAdES-Basic
  • Firma PAdES non conforme
  • Firma non conforme alla delibera AgID 147/2019
  • Certificato di firma NON residente su dispositivo sicuro
    Verifica di validità online:
    Effettuata con metodo CRL. Timestamp della risposta del servizio 16/02/2022 08:52:54 UTC
    Dati del certificato del firmatario :

Data di scadenza:
29/08/2023 05:49:33 UTC
Autorità di certificazione:
a-sign-corporate-light-02 , A-Trust Ges. f. Sicherheitssysteme im elektr. Datenverkehr GmbH ,
a-sign-corporate-light-02 ,
AT ,
Documentazione del certificato (CPS):

Identificativo del CPS:
OID 1.2.40.0.17.1.18

Infocert aggiorna spesso i vari certificati. Mah…