[P.A.] firma digitale nei documenti pubblici

Antonino Iacono aiacono a tiscalinet.it
Sab 21 Giu 2003 21:44:06 CEST 

On 14 Jun 2003 12:58:03 +0200
Giovanni Biscuolo <g a xelera.it> wrote:

[cut]
> 
> Le soluzioni sono 2, entrambe estremamente semplici ma nelle stesso
> tempo con un forte valore Politico (la P non è messa a caso), quindi non
> saranno mai adottate.
> 
> 1. le specifiche tecniche della smart card e della firma digitale (ed
> altre tecnologie analoghe di pubblica utilità) *devono* essere
> considerate pubbliche e qualsiasi cittadino italiano, a richiesta, deve
> poterne entrare in possesso senza indugio.
> 
> 2. la titolarità del diritto d'autore de software citato *deve* essere
> della Pubblica Amministrazione. [1]
> 
> In ogni caso, affinchè possa esistere una implementazione libera del
> software, la soluzione 1 è più che sufficiente; anche se credo proprio
> sia opportuno che la PA tuteli i propri investimenti e _soprattutto_ i
> cittadini adottando licenze libere per tutto il software da essa
> commissionato.


intervengo sull'argomento della firma digitale dopo esserne rimasto
fuori per qualche mese.
Speravo di trovare in giro novita' tecniche interessanti ma mi sono
imbattuto solamente in commenti trionfalistici da parte di politici
sul ruolo innovatore dell'Italia sulla materia.
Cerchero' di fare l'avvocato del diavolo.
E' vero che dal 1997 l'Italia ha avviato una serie di iniziative per
la predisposizione, prima, e la diffusione ora di smart card per
la firma digitale, la carta d'identita' elettronica e la carta dei
servizi ma lo sta facendo, a mio parere, nel modo peggiore o comunque
non ottimale.
Ai problemi segnalati da Patrizio Bruno ne voglio aggiungere qualcun 
altro, di carattere prettamente tecnico.
Le smart card contengono al suo interno una cpu e una eprom per
memorizzare i dati (1), quest'ultimi sono disposti su un file system
molto semplice con una root (MF), delle directory (DF) e dei file (EF).
Ognuno di questi file e/o directory e' identificato con un numero
esadecimale di 16 bit, ad esempio MF e' 3F00, DF e EF possono avere
qualsiasi valore compreso tra 0000 e FFFF.
Lo standard ISO7816 stabilisce i comandi principali per selezionare
creare e leggerne il contenuto, ma, e qua viene il bello, non tutti
i costruttori di carte hanno previsto il comando per il dir, gia'
il caro dir/ls.
Quindi per operare sui file bisogna conoscerne il numero identificativo,
veramente un modo per identificarlo c'e' ma e' abbastanza ostico
e sicuramente fa perdere tanto tempo.
Altre nazioni che (a dispetto di quanto dicono i nostri politici/tecnici)
sono altrettanto avanti nella sperimentazione di queste tecnologie 
hanno adottato in pieno le specifiche PKCS (2), e in particolare la
PKCS-15 che prevede tra le altre cose, un file EF conosciuto in cui
si trova l'elenco dei numeri identificativi dei file piu' importanti.
Ovviamente ho semplificato ma se avete voglia e tempo potete leggervi
i documenti in calce.
Veniamo in Italia, l'Aipa ha messo sul loro sito (4) le specifiche
della carta d'identita elettronica (CIE) e della carta dei servizi.
A parte che non capisco perche' il pdf pur essendo scritto da 
italiani e per italiani sia in inglese, esso contiene tutte le
caratteristiche della carta, eccedendo in descrizioni puramente
accademiche su RSA, DES, ecc. ma evitando di specificare la
compatibilita' al PKCS-15.
In poche parole se io programmatore di software libero o piccolo
Comune voglio fare un programma per poter gestire la smart card
trovo non poche difficolta' a selezionare i file della carta
e a reperirne il contenuto.
Stessi problemi ci sono per gestire le smart card con la firma
digitale emesse da PosteCom per conto del Centro Tecnico per la 
Rete unitaria della Pubblica Amministrazione.
In ultimo vorrei segnalare un sito (3) che presto mettera' gli
sviluppatori di software libero tedeschi in grado di scrivere
programmi che fanno uso della smart card e che ha gia' permesso
al client di posta Kmail di integrare S/MIME come plug-in
crittografico.

Ciao



Riferimenti
(1) http://www.dia.unisa.it/~luicat/seminars/Card.PDF
(2) http://www.cs.uku.fi/kurssit/ads/fineid.pdf
(3) http://www.gnupg.org/aegypten/index.html
(4) http://www.aipa.it/attivita%5B2/carta%5B16/Caratteristiche.asp

-- 
Antonino Iacono
---------------
http://opensignature.sourceforge.net
jabber://aiacono@amessage.de

Maggiori informazioni sulla lista PA