Re: TS-CNS Veneto

To: debian-italian@lists.debian.org
Subject: Re: TS-CNS Veneto
From: Roberto Resoli <roberto@resolutions.it>
Date: Fri, 14 Jan 2022 11:57:06 +0100
Message-id: <[🔎] 26076d6f-9ff2-a707-e009-492cb751ad18@resolutions.it>
In-reply-to: <[🔎] b62e7a19-914c-be0b-d7a8-beedba95fa9c@unibo.it>
References: <[🔎] ab416bea-f794-f8fb-1262-36c4116f5f1c@wifi.e4a.it> <[🔎] 01C56BB7-5E73-4AB9-8E13-A2707DB1537D@e.email> <[🔎] ea1a0631-4a19-e199-92f9-8e946424bb41@wifi.e4a.it> <[🔎] d74fd90e-3c26-154f-7c36-6c87a0db393b@resolutions.it> <[🔎] c61a3bb7-f1dd-dc53-c0ef-bda9ec8a816b@gmail.com> <[🔎] 3565ffaf-812a-605d-32c2-41114087cfcc@resolutions.it> <[🔎] 62d31c72-2734-b385-1dda-e852e410d7df@gmail.com> <[🔎] b62e7a19-914c-be0b-d7a8-beedba95fa9c@unibo.it>

Il 14/01/22 08:03, Diego Zuccato ha scritto:

Il 13/01/2022 20:36, Davide Prina ha scritto:

Nella ricerca ho trovato anche che la CNS in realtà contiene anche un chip NFC, anche se non indicato, nelle ultime versioni dovrebbe essere sempre indicato e ho trovato commenti di persone che li usano per autenticarsi.

Interessante. La TS mia in scadenza non ce l'ha, ma proverò con la nuova. Utile per autenticarsi dal cell senza passare da SPID.

Ma in questo caso il driver per utilizzarlo è quello della CIE?

Teoricamente si, ma come si è visto è un panorama molto frastagliato...


Bell'eufemismo :-)

In effetti è una cosa che mi stavo chiedendo, ma bisogna distinguere. Le CNS sono gestite dal Ministero delle Finanze, e le relative specifiche obbediscono a questo documento:

https://www.agid.gov.it/sites/default/files/repository_files/documentazione/filesystemcns_20160610.pdf

(non so se ci siano stati aggiornamenti dal 2016 in poi). Come detto da quella data i fornitori
hanno mano libera sul posizionamento degli oggetti sulle carte. Di qui i problemi del driver "itacns" di OpenSC.

Le CNS pre 2016 dovrebbero funzionare tutte. Se su qualche sito non funzionano probabilmente è perché
chi gestisce il server non ha inserito le root CA per la regione di interesse.

Se volte fare la prova del nove, contattatemi (anche in privato) e aggiungo a

https://www.resolutions.it:4443

la root CA per la vostra regione.

Dal 2016 in poi ogni fornitore è un caso a sé, e la patch di 3v1no presumibilmente sistemerà il problema solo per quella particolare tipologia.

1) A single citizen can own any number of CNS cards
forse questa qui sopra è spiegata subito sotto: la CNS è distribuita da diversi enti. Ad esempio le regioni danno la TS che è una CNS. Mentre le camere di commercio danno una loro CNS... Se non ho capito male.


Esatto.

E penso che queste non siano "compatibili" (cioè non posso usare la CNS che voglio per autenticarmi ai servizi della PA).


No, se sono CNS, (non le cosiddette "CNS like", come le chiama Infocert) puoi usarle su qualsiasi servizio, anche usando OpenSC, almeno fino con carte pre-2016.

Sempre teoricamente, ogni CNS dovrebbe essere equivalente alle altre. A meno che non offra servizi aggiuntivi. Per la semplice autenticazione dovrebbero funzionare tutte (p.e. dovresti poter accedere al Fascicolo Sanitario anche con la carta della Camera di Commercio), ma per i servizi avanzati potrebbero esserci differenze (p.e. la TS non mi pare offra la firma elettronica).


Esatto. La CNS nasce per autenticazione, ma la sua ragion d'essere era proprio per ospitare i servizi aggiuntivi, come appunto la firma qualificata.

Per la firma qualificata vengono usate coppie di chiavi separate, non utilizzabili con OpenSC standard per via del "Secure Messaging" (se a qualcuno interessa apriamo un thread separato)

2) CNS cannot be issued to a citizen who already owns a CIE
che sappia io chi ha la CIE non può usarla come tessera sanitaria... o sbaglio?


E' una vecchia norma, ma credo sia ormai disattesa da chiunque emetta CNS. All'epoca in cui è stata emessa la CIE era utilizzabile in teoria per autenticazione ovunque fosse prevista la CNS, ma nessuno lo faceva perchè (incredibile, ma vero) la CIE non aveva un servizio di revoca funzionante. Quindi nessuno sano di mente abilitava le root CIE per i propri servizi.

Questo mi pare proprio sbagliato. Non si può avere più di una CIE, ma puoi avere una CIE e tante CNS. La CIE dovrebbe essere una CNS speciale.


Viceversa. La CIE è nata molto prima della CNS. In ogni caso quei vincoli sono storia passata.

Poi mi sono un po' perso, anche perché molte pagine di documentazione di OpenSC non sono aggiornate da un po'


Vero, ci sono molti link morti, ma basta chiedere in opensc-devel in caso di dubbi.

IIRC il problema coi driver OpenSC era che non supportavano la cifratura del canale tra la card e l'applicativo, mentre l'applet sulla card lo richiede per gran parte delle operazioni.


E' appunto la questione del Secure Messaging (SM).

SM è usato sulle CNS solo per la coppia di chiavi di firma digitale. Per la coppia di autenticazione OpenSC è sempre funzionato egregiamente senza SM. (che invece è richiesto per CIEv3, quella attuale. Ma lì abbiamo almeno del codice sorgente funzionante:

https://github.com/italia/cie-middleware-linux

Anche se il progetto è in pessimo stato:

https://github.com/italia/cie-middleware-linux/issues/6#issuecomment-912856849

)

rob

Reply to:

References:
- TS-CNS Veneto
  - From: Giorgio Longo <lingiobis@gmail.com>
- Re: TS-CNS Veneto
  - From: ilario.quinson@e.email
- Re: TS-CNS Veneto
  - From: Giorgio Longo <lingiobis@gmail.com>
- Re: TS-CNS Veneto
  - From: Roberto Resoli <roberto@resolutions.it>
- Re: TS-CNS Veneto
  - From: Davide Prina <davide.prina@gmail.com>
- Re: TS-CNS Veneto
  - From: Roberto Resoli <roberto@resolutions.it>
- Re: TS-CNS Veneto
  - From: Davide Prina <davide.prina@gmail.com>
- Re: TS-CNS Veneto
  - From: Diego Zuccato <diego.zuccato@unibo.it>

Prev by Date: Re: TS-CNS Veneto
Next by Date: Re: TS-CNS Veneto
Previous by thread: Re: TS-CNS Veneto
Next by thread: Re: TS-CNS Veneto
Index(es):
- Date
- Thread