Indice articolo
- 1 Cosa serve
- 2 Cosa vogliamo fare
- 3 Scaricare ed installare il driver
- 4 Importare i certificati CNS e firma digitale in Firefox per Linux
- 5 Importare i certificati CNS e firma digitale in Chrome, Chromium, Brave per Linux
- 6 Installare Dike GoSign come software di firma digitale in Linux
- 7 Installa Firma4NG per la firma digitale con Ubuntu 22.04 e Linux Mint 21
- 8 Altri software di firma digitale gratuiti per Linux
- 9 Slpct in Linux
CNS,CRS, firma digitale e slpct con Linux? Autenticarsi con CNS nei portali online, firmare digitalmente documenti è tutt'altro che complicato. Smentendo chi sostenga che un desktop Linux non sia adatto per "cose importanti".
Vediamo alcuni lettori di smart card compatibili, istruzioni su come procedere e chiariamo alcuni meccanismi.
Creo questo tutorial non per promuovere i lettori USB tramite i link in affiliazione con Amazon. Ricevo l'1% del suo costo a parità di prezzo per te se ne acquisti uno dai miei link, e viste le percentuali in relazione ai lettori, per ora, non mi pare un grande investimento.
Lo faccio perché, una delle ragioni per cui ho finora mantenuto una partizione Windows, è quella di non aver avuto altra scelta che sfruttare la smart-card con Carta Nazionale dei Servizi e firma digitale, se non in una soluzione prevista assieme ad un lettore e software che funzionano a dovere solo con Windows.
Vorrei documentare una mia recente esperienza fatta per esigenze personali. Ho avuto conferma che basta usare la carta con un lettore USB compatibile con Linux! Ne ho cercato uno per usare CNS, CRS e firma digitale, con software differenti da quelli forniti con la mia soluzione. Ho spesso bisogno di accedere a portali telematici di giustizia ed effettuare operazioni con documenti firmati digitalmente.
Non parlo di CIE (Carta di Identità elettronica) con Linux ma sappi che i lettori USB per chip contactless, come quello che serve per autenticarsi tramite CIE, sono di solito differenti dai lettori di smart-card. Vedo su internet che in tanti comprano e restituiscono lettori commettendo questo errore. A meno che un lettore non preveda espressamente di farti inserire una smart-card CNS o CRS e avvicinare una CIE per autenticarti, compatibile con Linux, li troverai come lettori differenti. Nelle mie rapide ricerche non ne avevo notati, ma un amico del canale YouTube mi ha segnalato un lettore bit4id forse non più in commercio ma che ha un sostituto. Il lettore bit4id Minilector CIE Plus. Ma puoi fidarti dei marchi di lettori di smart card CNS e CRS che cito oltre e di cui ho trovato driver anche per i lettori senza contatto per la Carta di identità elettronica.
Cosa serve
Il primo requisito essenziale è il possesso di una CNS (Carta Nazionale dei Servizi) e/o CRS (Carta Regionale dei Servizi) contenente certificati per l'autenticazione e la firma, in corso di validità. Do per scontato che tu sia certo che essa funzioni e che tu sia in possesso del suo PIN.
Io ho una CNS fornita da Aruba con Aruba Key. La card è una sim, inserita in adattatore in formato smart-card. Si recidono le linguette che tengono la sim per inserirla nella Aruba Key. Ma la sim può essere riposta nell'adattatore con nastro adesivo sul lato opposto a quello del chip per essere usata di nuovo come card intera. Volevo mettere in un cassetto la Aruba Key, la cui soluzione software e supporto per Linux lascia a desiderare e usare Carta Nazionale dei Servizi e firma digitale con un lettore compatibile.
Il secondo requisito è infatti quello di un lettore di smart card compatibile con Linux. Per un lettore eventualmente già in tuo possesso non prometto niente. Ma potresti verificare il dischetto o comunque il driver che ti sia stato fornito per Windows. Nel caso in cui il programma di installazione mostri file o scritte che riportano bit4id, potresti avere fortuna anche installando il medesimo driver che uso più avanti con il lettore da me testato. O con uno scaricato dalla pagina di driver di bit4id o altro produttore. Altrimenti, con circa € 15 ti procuri un lettore nuovo come quelli che consiglio.
Giorni fa mi sono procurato, un lettore economico, riportato come certamente compatibile con Linux. Ho comprato e testato questo lettore LETTORE uTrust 2700 R, ben documentato e con un sito all'altezza delle aspettative. Confermo la presenza di informazioni e driver per Linux. Si installa da un solo file, senza necessità di configurazione alcuna. Lo suggerisco volentieri perché è l'unico che ho provato personalmente.
Ma ne suggerisco altri come alternativa, dopo attenta ricerca, lettore per lettore, nel sito del produttore. Per tutti ho verificato la presenza di driver per Linux e informazioni per installarli.
Al momento posso dire che, tutti quelli basati su soluzioni Internavigare, bit4id, Identiv, uTrust, sembrano compatibili con Linux e sono talvolta basati sui medesimi chip.
Confermo la presenza di driver in formato .deb per ambienti Debian, Ubuntu e Linux Mint, con cui ho fatto i miei test. I lettori bit4id prevedono un archivio che contiene pacchetto .deb, rpm e i file per l'installazione manuale del driver.
Mi sentirei di considerarli piuttosto sicuri per l'acquisto ed il funzionamento su Linux. Se scegli un altro lettore, prima dell'acquisto, verifica che sia chiaramente specificata la compatibilità con Linux o, anche se poi non lo compri lì, cerca tra le domande e risposte nella pagina Amazon del prodotto. Usa la parola chiave linux nel campo di ricerca e vedi cosa viene fuori. Oppure cerca su un motore "modello di lettore driver linux" o anche senza "linux" per vedere se trovi la pagina di supporto per il download di driver e accertare in anticipo la presenza di driver per Linux.
Cosa vogliamo fare
Quello che vogliamo fare è:
- Consentire al sistema di riconoscere il lettore smart card collegato, come dispositivo per la gestione di certificati di sicurezza; e ciò installando il giusto driver per Linux. Talvolta si installa separatamente anche il driver specifico per il tipo di microchip della card;
- Importare i certificati in Firefox, che è in grado di collegarsi al lettore. In questo modo, nei portali di servizi che richiedono l'autenticazione tramite CNS o CRS, accedendo con Firefox e il lettore installato e collegato, viene mostrata una piccola finestra in cui inserire il PIN della carta per l'identificazione;
- Installare il software di InfoCert per Linux: software che consente di firmare digitalmente in formato PDF o p7m (Pades e Cades), apporre eventuali marche oltre verificare e consultare file firmati digitalmente;
- Solo ed eventuale, per CTU o altri interessati al processo civile telematico: installare slpct in ambiente Linux.
Visto che parliamo di particolari esigenze di sicurezza, aggiorna Firefox e la tua distribuzione Linux quanto prima, appena sono rilasciati aggiornamenti. I difetti che l'ultima versione risolve, diventano di dominio pubblico e finché non aggiorni, la tua sicurezza potrebbe essere a rischio maggiore.
Scaricare ed installare il driver
Come indicato nella confezione e nel foglietto all'interno del lettore uTrust 2700 R, Linux è supportato. Trovi informazioni chiare ed un indirizzo web (https://www.internavigare.com/utrust2700r/). Qui si scarica un driver per il lettore in formato .deb (per Ubuntu, Mint, elementary, Zorin, Pop_OS!, Debian,...). Poi sono mostrati i vari tipi di chip presenti nelle smart card: differiscono per il particolare disegno dei contatti. Serve infatti anche il driver adeguato per la card. Nel caso della mia carta InCard, per Linux Mint, mi basta il primo file .deb scaricato. Se però usi una distribuzione linux che supporta pacchetti .rpm, nei link agli archivi con driver dei singoli chip, più in basso nella pagina, trovi anche quelli.
Scaricato il pacchetto .deb, basta fare doppio clic per avviare estrazione e installazione. Vengono segnalati eventuali pacchetti supplementari che potrebbero essere installati per il funzionamento del driver. Si tratta di c.d. librerie per la gestione di dispositivi e protocolli di sicurezza e cifratura, spesso coinvolte in questo genere di servizi in ambito Linux.
Al termine della installazione consigliata, riavvia il computer.
Adesso la prova del fuoco per capire se tutto è a posto. È molto semplice. Se hai prima bisogno di autenticarti in un portale con CNS, prosegui con l'importazione dei certificati in Firefox. Se devi firmare o verificare un documento con firma digitale, installa GoSign.
Importare i certificati CNS e firma digitale in Firefox per Linux
Il passo fondamentale per autenticarsi con CNS, CRS o Tessera Sanitaria nei portali di servizi online, è che il browser informi il sito web della disponibilità di certificati digitali per l'identificazione certa. In questo modo il portale richiederà l'identificazione tramite il PIN della carta. E questo darà accesso a tutti i servizi relativi.
Collega il lettore, inserisci la card dal lato corretto, con il chip in alto con il mio lettore uTrust e apri Firefox. Apri il menu Impostazioni e vai su Privacy e Sicurezza e in fondo alla pagina troverai Dispositivi di sicurezza.
Clicca su Carica e metti se vuoi un nome profilo personalizzato o lascia Nuovo modulo PKCS#11. Poi devi cliccare su Sfoglia per guidare Firefox fino al file principale del driver installato. Il percorso parte dalla radice del File system. È a partire dalla cartella / che si trova al di sopra di Home nella struttura Linux. Con il file manager, da Computer o con apposita vista File system, devi poi entrare su lib poi bit4id e selezionare il file libbit4xpki.so. Il percorso completo dalla radice del file system Linux è /lib/bit4id/libbit4xpki.so. Conferma e chiudi.
Da questo momento, per i portali web che richiedono l'autenticazione, Firefox mostra la finestra di inserimento del PIN nel momento in cui accedi al sito web e sei in grado di effettuare il login dopo essere stato già autenticato. Questo se il lettore è installato a dovere, i certificati validi, la card funzionante ed il PIN corretto 🙂
Importare i certificati CNS e firma digitale in Chrome, Chromium, Brave per Linux
Se non vuoi usare Firefox per autenticarti con CNS, CRS o Tessera Sanitaria nei portali di servizi online, ecco come fare in ambiente Linux, per usare browser differenti. Firefox dispone di un sistema proprio per la gestione di certificati ma altri browser si affidano alle informazioni che trovano nel sistema operativo.
Per autenticarsi con CNS con Linux tramite browser come Google Chrome, Chromium, Brave browser o altri, è necessaria l'installazione di due pacchetti supplementari: opensc e libnss3-tools. Puoi trovarli in Gestore Applicazioni, il centro software grafico di Linux Mint o nel gestore pacchetti Synaptic.
Ma è sufficiente digitare in una finestra di terminale il comando:
sudo apt install opensc libnss3-tools
Grazie a questi pacchetti è possibile lanciare nel terminale un ulteriore comando che consentirà a Chrome, Chromium, Brave di aggiungere al proprio database il dispositivo ed i relativi certificati. Come suggerito anche prima di confermare il comando, è raccomandabile chiudere ogni finestra di browser per evitare di corrompere i database di sicurezza mentre sono in uso. Ed ecco il comando da incollare in una finestra di terminale:
modutil -dbdir sql:.pki/nssdb/ -add "OpenSC" -libfile /usr/lib/$(uname -i)-*/opensc-pkcs11.so
Si conferma l'esecuzione premendo Invio sulla tastiera. Dopo pochi istanti si riceve conferma dell'aggiornamento del database e diviene possibile autenticarsi nei portali di servizi.
Installare Dike GoSign come software di firma digitale in Linux
La soluzione più diffusa per firmare, leggere e verificare documenti firmati digitalmente e altre operazioni come la gestione di certificati, e l'apposizione di marche temporali, è quella proprietaria ma gratuita di InfoCert. Giunto ad una ridefinizione con il nuovo nome GoSign Desktop che sostituisce il precedente Dike6.
Attenzione! Dike GoSign non è ancora compatibile con Ubuntu 22.04 e Linux Mint 21 e successivi aggiornamenti!
Vedi più avanti per soluzioni compatibili con Ubuntu 22.04, Linux Mint 21 e tutte le altre derivate su base Ubuntu 22.04
Il file per l'installazione in Linux si trova su https://www.firma.infocert.it/installazione/. Scaricato e fatto doppio clic, l'installazione si avvia.
Completata l'installazione, trovi il collegamento a GoSign nella categoria Accessori del menu programmi.
Collega prima il lettore poi inserisci la scheda prima di avviare GoSign. Avviato il programma, dalla barra a comparsa sulla sinistra, entra su Elenco certificati. Se il lettore è installato, la card funzionante e i certificati attivi, dovresti trovare sia quello per la firma digitale che per l'autenticazione con codice fiscale.
Non spiego come usare GoSign perché sarebbe fuori tema ed è comunque un programma dall'uso molto intuitivo e ben documentato.
Installa Firma4NG per la firma digitale con Ubuntu 22.04 e Linux Mint 21
La migliore soluzione gratuita alternativa a GoSign, se il tuo sistema operativo, come Linux Mint 21.x è basato su Ubuntu 22.04, è Firma4NG. Si scarica da https://id.infocamere.it/download_software.html. Un clic sul bottone per il download avvia automaticamente lo scaricamento. Scaricando da Linux Mint con browser Chrome, Chromium, Brave o altri basati su Chromium, viene scaricato il file compresso in formato tar.gz per Linux.
Stranamente però, mentre scrivo, se si tenta di scaricare da Linux con Firefox, il file scaricato è quello per Windows. Ecco un link diretto per la versione Linux che spero possa funzionare anche in futuro: https://card.infocamere.it/infocard/FileDocManager/download?file=/firma4ng/Firma4NG_linux.tar.gz.
In gennaio/febbraio 2024, la versione 1.6.8 di FirmaNG, malgrado si installi e si avvii correttamente, non consente di firmare documenti. Avevo tenuto da parte Firma4NG 1.6.1 che ti invito a scaricare se incontri problemi. In attesa di soluzioni da Infocamere.
Scaricato il file da circa 100MB, estrai il contenuto anche sul desktop. Entra nella cartella e troverai vari file tra cui README.txt con semplicissime istruzioni in italiano per l'installazione e setup.run. Per installare Firma4NG in Linux, clicca con il pulsante destro del mouse in uno spazio vuoto della cartella e dal menu contestuale seleziona Apri nel terminale.
Digita ./setup.run -i e indica la password. In pochi istanti Firma4NG risulterà installato e lo troverai nel menu programmi alla categoria Altro.
Altri software di firma digitale gratuiti per Linux
Oltre a Gosign di Infocert e Firma4NG di Infocamere, ci sono altri software di firma digitale gratuiti per Linux.
Si tratta di FileProtector di Actalis e FirmaOK! di Poste Italiane. Non li ho provati ma la documentazione e le istruzioni per l'installazione sono integrate nei file compressi.
Slpct in Linux
Avvocati, magistrati e consulenti si cimentano quotidianamente con una amministrazione della giustizia sempre più digitalizzata. A loro rivolgo questa parte finale del tutorial per mostrare quanto la gestione da una postazione Linux di questi servizi non richieda operazioni complesse e possa contribuire a liberarsi da Windows senza ansie. E lo dico da CTU insoddisfatto dalla Aruba Key che, in prossimità degli impegni giudiziari, mi rendeva necessario operare con Windows.
Slpct per Linux si scarica dal sito ufficiale. E consente la redazione di atti e buste telematiche nel formato richiesto dal Processo Telematico. Scaricato il file SLpct_linux.tar.gz, scompattalo e con il clic del pulsante destro su slpctinstall apri le Proprietà. Poi in Permessi, Consenti l'esecuzione come programma.
Adesso, dovrebbe bastare il doppio clic sul file slpctinstall per avviare l'installazione. Se invece il file si apre con un editor di testo, nel file manager, nella stessa cartella, clicca con il pulsante destro in un punto qualunque (non un file specifico). Scegli l'opzione Apri nel terminale. Digita il comando sudo sh slpctinstall e indica la password amministrativa. Stai dicendo al computer che vuoi installare il programma tramite la shell di Linux, con privilegi di amministrazione del sistema.
Indicata la password, in un istante, troverai sul desktop l'icona per l'avvio di Slpct che scaricherà certificati e uffici aggiornati. E adesso puoi eliminare la cartella di installazione e tutto il suo contenuto.
Questo non è un manuale sull'utilizzo di slpct. Ma ecco l'indirizzo per scaricare la corposa guida ufficiale a Slpct in PDF.
Un generoso lettore mi suggerisce di mettere in guardia utenti su eventuali errori in fase di redazione di buste. Si tratterebbe di un problema di permessi: Slpct vorrebbe venire eseguito con privilegi di amministrazione per entrare nella cartella (protetta) del driver del lettore. Per limitare i rischi derivanti dall'utilizzo di comandi amministrativi, si può continuare ad eseguire Slpct senza permessi di root. Il trucco consiste nel copiare il file del driver (nel caso di questo tutorial libbit4xpki.so), in un percorso accessibile senza permessi di root, magari all'interno della propria cartella utente. Per poi modificare, nelle impostazioni di Slpct, il percorso del driver per il lettore.
Da CTU, in bocca al lupo!
Il tuo argomento è molto importante perchè quello che tu hai elencato era uno dei problemi basilari per chi utilizza le smart card per l’autenticazione, e tanti non utilizzano Linux poichè lo considerano poco standardizzato, rispetto a Windows, per questi aspetti. Io accedo ai servizi regionali, ma non tutti gli utenti utilizzano i lettori. Mi sorge spontanea una domanda: l’hai fatto solo per la recensione, l’hai fatto perchè utilizzi spesso questi servizi oppure te l’hanno chiesto degli utenti che vogliono abbandonare Windows?
Non ho alcun interesse relativo ad eventuale acquisto del lettore che ho acquistato io. Come scrivo, non ne potevo più della Aruba Key che per Linux ha problemi e volevo provare ad usare la sim con altro lettore, rinunciando al software integrato e ho documentato questa recente esperienza. Uso spesso questo genere di servizi
Grandissimo articolo.
Grazie, mi hai fatto imparare qualcosa.
Grazie,articolo interessante e soprattutto utilissimo!!
Gentilissimo Dario, innanzitutto grazie e complimenti per l’utilissimo articolo… che dopo giorni di ricerche mi ha finalmente consentito di andare avanti con l’installazione di Slpct su Ubuntu (vorrei gradualmente abbandonare Windows, ma devo farmi prima le ossa)…
Bastava infatti la semplice ma fondamentale indicazione – omessa sia sul sito di Slpct che su ogni altro forum – che in caso di apertura di “slpctinstall” come file di testo (ciò che appunto si verificava a me) era sufficiente fare click con il tasto destro sulla cartella per eseguirla in terminale!
Purtroppo anche seguendo le semplicissime indicazioni successive incontro però difficoltà… in quanto il terminale mi dice: “chmod: impossibile accedere a ‘/root/Desktop/slpctrun1.desktop’: Non è una directory”
Ho controllato e tutte le altre stringhe sono conformi a quelle pubblicate sul video youtube.
Sono disperato!! Cosa occorre fare ancora?
Grazie per le indicazioni che vorrai fornirmi.
Salve Carmine e grazie e per i tuoi apprezzamenti. Non conosco lo specifico errore ma pare cercare quel file .desktop che è presente nella cartella di slpct in un percorso preciso. Con il file manager prova ad aprire il percorso partendo da Filesystem, e arrivando nella cartella /root/Desktop. Prova a copiarci il file slpctrun1.desktop. Per entrare su /root viene chiesta la password. Fammi sapere
Grazie mille per le tue guide. Da avvocato, sono oramai decenni che ho lasciato Windows per abbracciare la libertà di Linux. Grazie a te, sono passato da Ubuntu a Mint. Un consiglio a chi utilizza SLPCT e, pur puntando bene il programma sulla libreria necessaria alla creazione della busta crittografata, ottiene sempre il medesimo errore: siccome in Linux SLPCT non viene eseguito da Amministratore (come invece in Windows), non sarà sufficiente individuare il file libreria corretto (/lib/bit4id/libbit4xpki.so), perché contenuto in una cartella protetta. Per aggirare il problema è sufficiente creare una copia del file in una cartella non protetta e puntare il programma SLPCT su quella cartella. Funzionerà alla perfezione.
Ciao Paolo, sono cresciuto tra avvocati, destinato ad esserlo ma cambiato percorso già in corsa… E ne sono ancora circondato ma non ne conosco tanto avanti da usare Linux!
Io non ricordo di aver avuto problemi di cui parli ma approfondirò e comunque integrerò certamente la tua preziosa segnalazione!
Grazie!
Effettivamente, a parte me, non conosco altri avvocati che usino Linux: cerco di convincere altri colleghi, ma l’errata convinzione che Windows sia più comodo e completo è assai difficile da sfatare.
Ma, come ho imparato usando Linux, non bisogna mai arrendersi 😉
Buon lavoro e buone “guide”!
Battaglia dura, comprendo. Visto che l’utilizzo che un avvocato non richiede neppure particolari requisiti hardware rispetto ad altre professioni tecniche. Ma io penso che sia l’autonomia a batteria con LibreOffice aperto in Mint, rispetto a Windows, può durarti il doppio e l’ho provato e documentato a distanza di tempo con notebook differenti.
Io ringrazio te perché ho già aggiornato il tutorial a beneficio di tutti con il tuo contributo. Ciao!
E’ un onore essere entrato nel tuo tutorial!
A presto.
Ciao Dario, ti ringrazio anch’io per i tuoi articoli e le tue guide, sempre molto interessanti e comprensibili. Sono passato a Linux a settembre 2020 con Elementary OS e da qualche mese, dopo aver provato per curiosità, sono passato a Mint perché l’ho trovata una distribuzione veramente avanti. Molto più, per la mia esperienza, di Elementary.
Ti scrivo perché ho un problema con un kit di firma digitale contenente anche la CNS. Si tratta di un token USB rilascito dalla Camera di Commercio. Per quanto riguarda le firme non ho alcun problema; Dike GoSign funziona benone. Ma il problema mi è sorto quando ho cercato di accedere alla piattaforma telematica “Impresa in un giorno”, la quale dà la possibilità di accedere con CIE, SPID e anche con CNS. Utilizzando la chiavetta con Windows funziona e accedo senza problemi, ma con Mint mi dà il messaggio “Non è possibile accedere al dispositivo CNS”. Ho provato tutte le porte USB, nonché sia Firefox che Chromium. Che tu sappia si può trovare una soluzione?
Grazie mille!
Ciao Marco. Mi fa piacere che ti ambienti sempre meglio in ambito Linux. Il dubbio che mi poni mi porta a chiederti se sei sicuro di aver installato (se esiste) il driver appropriato per far funzionare il token USB con Linux. La prova ce l’hai se ad altri servizi CNS ti consentono di accedere. Sul web esistono anche pagine test per la verifica. La frase di errore che mi riporti, cercata sul web, fornisce risultati di PDF proprio legati ad Impresa in un giorno” ma io credo si tratti proprio di installare un driver.
Ok, grazie mille. Proverò ad approfondire meglio e guardare se ci sono drivers presenti all’interno del token… anche se temo di no. Altrimenti non saprei neanche dove cercarli; magari posso provare a contattare direttamente il numero verde dell’ente. In caso ti aggiorno. Grazie ancora.
Ciao Dario, complimenti per il tuo articolo scritto con passione. Purtroppo per me, sono un avvocato che vuole usare la firma elettronica con la arubakey su Linux. Potresti fare uno sforzo e pubblicare una guida su questo argomento?
Grazie in anticipo per la risposta
Ciao Vito, ti ringrazio. Come spiego nell’articolo, la soluzione Linux per ArubaKey, non funziona più, da anni.. Il software linux da reinstallare non si aggiorna e il browser firefox integrato è una versione obsoleta e anche quello non si aggiorna facilmente. Ho aperto un paio di ticket ma non mi hanno trovato soluzione. E neppure sono riuscito a trovare un driver per usare la key come semplice lettore senza il software Aruba. Insomma, credo sia un vicolo cieco…
Buonasera. leggo l’articolo con grande interesse. non conosco la arubakey, ma ho la CNS., che era l’alternativa maggiormente diffusa per avere accesso a siti istituzionali, regionali e nazionali, prima della diffusione della CIE. la seconda ha semplificato le cose, ma par altre, compresa la firma digitale, resta la CNS. ho provato diverse distro, e diverse combinazioni di software per poter usare la firma digitale, ma a parte ubuntu e derivate il resto delle distro è davvero fuori supporto. per completezza segnalo anche i vari problemi ad usare la CNS per accedere ai siti istituzionali tramite linux, a meno di non seguire le indicazioni fornite nel solito wiki di ubuntu:
https://wiki.ubuntu-it.org/Hardware/Periferiche/CartaNazionaleServizi
Grazie Enrico per la tua testimonianza e l’apporto alla questione. In effetti si nota che in ambiente Debian e derivati il supporto sia superiore. Grazie per l’utilissimo link. Ciao
Buongiorno Dario, innanzitutto grazie per il lavoro che svolgi per divulgare l’uso di Linux,voglio chiederti se questi lettori di smart card secondo te vanno bene per essere usati con la cie2.0 cioè la versione precedente priva della funzionalità nfc in quanto non l’ho letto su nessuna descrizione. Ti ringrazio per l’eventuale risposta. Ciao
Ciao, ti ringrazio per gli apprezzamenti. Di solito se un lettore cita CIE ma non specifica 3.0, è proprio perché è compatibile con le versioni antecedenti il luglio 2016. Il mio 2700R è compatibile con CIE 1.0 e 2.0. Una ricerca su altri prodotti nelle domande e risposte della scheda Amazon con “CIE” ti può fornire indicazioni precise.
Ciao, sono del tutto incompetente e devo rivolgermi sempre ad un esperto. Ho un problema irrisolto nell’utilizzo di slpct, sia attualmente con mint, sia prima con ubuntu 64, 20.0 in poi. Il programma non mi consente di applicare la firma automaticamente e sono costretto alla “firma esterna”, con enorme perdita di tempo e frequenti errori. Poiché con le versioni di ubuntu 32 bit il problema non esisteva, abbiamo provato con mint 32 bit, ma niente da fare. Puoi darmi indicazioni?
Grazie
Ciao, il mio utilizzo di slpct è talmente sporadico che ho solo verificato che la più recente versione non è ancora compatibile con Ubuntu 22.04 e Mint 21.
Ma non ricordo se ho sempre importato istanze e relazioni CTU già firmati. Però io credo che il grosso problema di slcpt, in qualunque ambiente, sia la dipendenza da Java 32bit e dai suoi strumenti per la crittografia. E la guida di slpct sembra davvero datata su questo aspetto.
Penso potresti avere più fortuna chiedendo al supporto slpct o con questo link su Java a 32bit per Linux.
Ciao Dario,
vorrei porti una questione sull’argomento. Ho seguito le tue indicazioni per le installazioni dei drivers per l’accesso alle piattaforme della PA tramite CNS ed un lettore di smartcard bit4id e ti confermo che tutto mi funziona correttamente. Quello che mi ha stupito è che mi è sorto un problema con Dike per la firma digitale. Scaricato ed installato apparentemente senza problemi, all’avvio compare un cenno di schermata, ma rimane completamente grigia, con scritto solo il titolo in alto e dopo un secondo sparisce. Ho provato anche a riavviare e a ripetere l’installazione, ma nulla.
La cosa che più mi sorprende è che questi problemi li sto riscontrando ora con Mint 21.1, ma che con Mint 20.3 (che ho in un diverso SSD) funziona tutto correttamente fin dalla prima volta!
Hai per caso qualche indicazione da darmi?
Grazie mille.
Marco
Ciao Marco, Gosign risulta compatibile con Ubuntu 20.04 base di Mint 20.x ma non con Ubuntu 22.04, base di Mint 21.x. Sono indietro di anni e l’ho segnalato chiedendo novità senza ricevere risposta. Sapevo di firma4ng ed ora scopro FileProtector e FirmaOK, tutti per Linux che non ho provato. Aggiornerò l’articolo dopo adeguate prove ma credo ci troverai una soluzione gratuita. E se fai prove prima di me, se mi informi ti sono grato. Ciao
Provo e poi ti aggiorno.
Nel frattempo grazie mille!
Allora:
al link di firma4ng, pur essendo scritto che c’è anche per linux parte il download automatico esclusivamente del file .exe per Windows; per gli altri due, data la mia inesperienza, ho qualche difficoltà con i files tar.gz…
Però firmok sono riuscito a farlo partire (anche se non so di preciso come), ha fatto gli aggiornamenti ma non mi riconosce il dispositivo, sia se provo col token di aruba, sia se metto la SIM nel lettore bit4id…
Anzi… ancora peggio… ora il lettore di smartcard non me lo vedono più nemmeno le piattaforme della PA.
Ora, visto che è venerdì sera, getto la spugna…
Ci ripenserò la settimana prossima con calma..
Grazie ancora.
Io ho scaricato firna4ng per linux. Evidentemente lo hai scaricato da Windows. Tar.gz consideralo come zip. Apri, estrai e ci sono istruzoni. Ma sono con telefono e basta fino a lunedì. Poi ti aggiorno.
No no… non uso Windows da oltre due anni; il sito di firma4ng l’ho raggiunto, come sempre, da Firefox su Mint, ma il file in download nella barra di avanzamento era .exe.
Comunque riprovo, come riproverò anche a reinstallare i driver per l’accesso alle piattaforme tramile lettore, perché trovo proprio inspiegabile il fatto che mi ha funzionato subito per poi smettere poco dopo… forse ho pasticciato io con installazioni e disinstallazioni, anche se queste ultime hanno riguardato solo i softwares di firma e nient’altro…
Comunque super grazie!
Ciao. Ecco il link per Firma4NG per Linux. Ci sta che molteplici installazioni abbiano creato problemi. Puoi resettare il profilo di Firefox o creare un nuovo utente amministratore in Mint 21.1 e forse puoi
risolvere eventuali problemi di configurazione. Appena ho possibilità, provo e aggiorno il post e ti avviso.
Super!
Grazie ancora.
Ciao. Ho provato Firma4NG e verificato che in effetti anche da Mint con Firefox scarica il file per Windows! Però è stato semplicissimo e funziona. Ho aggiornato il post.
Bene! La settimana scorsa non sono riuscito a provare firma4ng col tuo link, ma ho visto che scarica il file giusto. Questa settimana provo!
Grazie mille e buona giornata!
RISOLTO – Aggiornamento:
Ho scaricato dal tuo link firma4ng e la procedura ha funzionato correttamente, così come funziona regolarmente il software. A quel punto ho rimosso da terminale gli altri pacchetti di firma che avevo provato. Ho riprovato quindi anche a ripetere le operazioni di accesso tramite CNS a due piattaforme della PA e al momento sembra funzionare tutto correttamente.
Grazie mille ancora,
Marco
P.S.: ti scrivo una domanda nell’articolo di Mint 21.1 perché ho riscontrato un picclo problema con Thunderbird… 😉
Ciao Dario!
Avrei bisogno di una nuova delucidazione per l’installazione dei drivers di un nuovo token di firma digitale. La chiavetta è sigillata, pertanto non mi è possibile estrarre la SIM per procedere come con gli altri dispositivi… I software e driver sono bit4id ed ho già provveduto ad attivarla con la loro procedura “prima emissione” indicata nelle istruzioni. Procedura, tra l’altro, possibile solo tramite Windows o Mac (grrrr…). Su Windows funziona già senza problemi, ma su Mint non riconosce ancora il token. All’interno della chiavetta c’è un file “launcher_linux.com” che fa partire firma4ng; la procedura ha aggiornato i certificati senza messaggi di errore ma al momento della firma mi dice che non c’è alcun dispositivo inserito.
Nel sito di bit4id, alla sezione “support” relativa al mio modello di token denominato “keyfour”, risulta scaricabile solo un flyer pubblicitario, ma la sezione drivers risulta vuota.
Nella chiavetta c’è anche una cartella utilities/linux64 che contiene i seguenti files:
libbit4xpki.so
libbit4xpki.so.conf
libsmmulti.so
libsmmulti.so.hid.so
libsmmulti.so.hid.so.svc
Ebbene, perdona la mia ignoranza, sono questi i drivers? Se si come posso installarli dal momento che non ho a disposizione (né dalla chiavetta, né dal sito) un file .deb?
Esistono eventualmente altre vie o devo contattare direttamente l’assistenza di bit4id?
Ancora grazie per la tua disponibilità e per tutti i tuoi preziosi contributi!
Marco
Ciao Marco, libbit4xpki.so è esattamente quello che il mio driver installa in /lib/bit4id per il mio lettore. Ma non so dirti se copiare tali file in quel percorso basti. Mi spiace, non ho idea
Grazie mille. Faccio delle prove ed eventualmente contatto l’assistenza. Se e quando avrò risolto pubblicherò qui un aggiornamento.
Ciao!
Buon giorno Marco
Possiedo un lettore di carte ewent EW1052, che funziona perfettamente.
Lo uso solo per accedere al sito del fascicolo sanitario e non uso la firma digitale.
Dopo l’ultimo aggiornamento a Linux Mint 21 Vanessa 64-bit Mate, ogni volta che devo usare il lettore,
devo reinstallare il pacchetto “libbit4xpki-idemia-amd64.1.4.10-622.deb”. Solo allora si illumina il led del lettore e tutto funzionziona fino allo spegnimento del PC.
Alla successiva riaccensione, il lettore non è riconosciuto dal sistema.
Grazie per l’attenzione e per i preziosi consigli.
Salve! Io sono Dario! Non conosco il suo lettore ma vedo che non è ufficialmente supportato un driver Linux nel sito ufficiale. Se le funziona con libbitxpki.so evidentemente potrebbe avere difficoltà ad essere riconosciuto come il suo driver. Ma siccome sento parlare di aggiornamento a Mint 21, mi viene il dubbio, se precedente funzionava bene, che l’aggiornamento da una versione di Mint 20 non sia la causa del problema. Perché dopo il semplice salvataggio delle cartelle documenti, e con due operazioni rapide su Strumento di Backup, reinstallando, ci si toglie il dubbio. Non è un’impresa. Ecco l’articolo sulla reinstallazione di Linux Mint eventualmente
Buongiorno Dario.
Segnalo che, con gli ultimi aggiornamenti, del sistema, ora tutto funziona perfettamente.
Per chi fosse interessato, ecco i dati del software funzionante:
Rilascio Linux Mint 21 Vanessa 64-bit
Kernel Linux 5.15.0-78-generic x86_64
115.0.2 Firefox Release July 11, 2023
Lettore di carte ewent EW1052
ID 0bda:0165 Realtek Semiconductor Corp. Smart Card Reader Interface
Grazie per l’interessamento.
Grazie mille! Un piacere leggere le tue informazioni. Io non ho ancora provato con Mint 21.2.
Grazie per la risposta.
Premetto che il lettore di carte ewent EW1052, ha sempre funzionato correttamente.
Questo è ciò che vedo con “lsusb”: ID 0bda:0165 Realtek Semiconductor Corp. Smart Card Reader Interface
Ho un altro PC con linux Mint 19.3. Lo stesso lettore è sempre riconosciuto.
Per togliermi ogni dubbio, proverò a rifare un’installazione “pulita” su un disco vuoto.
Buona giornata.
Ciao Dario, volevo chiederti un consiglio. Ho acquistato un lettore Bit4id air di v3 per utilizzarlo per la CIE e accedere alla PA come: INPS o Servizi Regionali. Su Windows funziona correttamente e viene regolarmente riconosciuta e il software Middleware CIE funziona. Non c’è nemmeno bisogno di installare il driver perchè è un dispositivo plug&play. Ma sull’ultima versione di LInux Mint viene riconosciuto il lettore dopo avere eseguito i seguenti comandi:
installando i pacchetti PCSC e avviato il servizio SystemD:
sudo apt install libpcsclite1 pcscd pcsc-tools opensc libnfc-bin
sudo systemctl start pcscd
Infatti, successivamente, da terminale, lanciando il comando: pcsc_scan il lettore smart-card rileva perfino quando avvicino e tolgo la tesserina CIE in modalità NFC. Il problema sta che quando cerco di abbinare il PIN con la tessera nel lettore NFC il software Middleware
installato si blocca e crea un conflitto con il pacchetto Java di Linux . Infatti dal file del “Log” si evidenzia questo
conflitto con un codice di errore. Non sapevo che il software Middleware CIE funzionava grazie a Java. O sbaglio? Ho reistallato perfino il pacchetto Java standard. In effetti sul forum esistono utenti che con una scheda Bit4id compatibile Linux non riescono ad abbinarla. In Firefox infatti, per tale motivo, non viene riconosciuto nemmeno il dispositivo pur avendo effettuato la procedura per rendere valida la certificazione. Sul sito Bit4id si informa che i driver il più delle volte devono essere utilizzati solo con i vecchi sistemi operativi e non è necessario installare alcun driver, nemmeno per Linux . Premetto che comunque da Linux riesco tranquillamente ad accedere alla PA però utilizzando il telefonino con la tessera CIE in modalità NFC, sempre con il software Middleware CIE Id . Quindi…..c’è qualcosa che in Linux Mint ho omesso?
Ciao Giovanni, ho aggiornato il tutorial proprio pochi giorni fa dopo aver provato ulteriori diversi lettori: nuovi o datati. Per tutti, anche con Mint 21 e 21.1 mi è bastato installare il driver suggerito e niente altro. Mai aperto il middleware PKI Manager. Ho installato opensc e modutil (libnss3-tools) solo per l’autenticazione con browser diversi da Firefox. Non so aiutarti purtroppo.
Ciao, sono Gennaro da Firenze, preso smartcard alla camera di commercio 25 € e lettore smartcard trust 23890. Monto Ubuntu 22.04.2 LTS 64bit Xfce 4.16 Xubuntu Firefox con snap
seguito le istruzioni, quando c’era da montare su firefox il modulo libbit4xpki.so in /lib/bit4id non me lo prendeva quindi ho letto in giro che e’ un problema di firefox con snap e di passare a firefox con deb PPA…
Fatto quindi passaggio a firefox deb e funziona, carica il modulo libbit4xpki.so e finalmente legge la smartcard…
UNICO DUBBIO e’ che quando inserivo o sfogliavo le cartelle con firefox snap per cercare libbit4xpki.so seguendo le tue istruzioni andavo a /lib/bit4id e li’ libbit4xpki.so e’ un collegamento a un modulo che in realta’ risiede in usr/lib/bit4id quindi non ho capito se il problema e’ stato il fatto che puntavo su un file link=collegamento a un’altra cartella o se era un problema di snap.
Comunque grazie della condivisione frate’, se applicassimo la condivisione su tutto saremmo a posto, e’ il futuro!
Ciao Gennaro, grazie mille! Io però in Mint ho i file e non solo i link, non so dirti anche perché ho esperienza limitata con snap
al comando: modutil -dbdir sql:.pki/nssdb/ -add “OpenSC” -libfile /usr/lib/$(uname -i)-*/opensc-pkcs11.so dato da terminale su ubuntu 22.04 LTS e con browser rigorosamente chiuso, mi viene restituita la seguente stringa : “modutil: function failed: SEC_ERROR_BAD_DATABASE: security library: bad database.”
Preciso che il browser (snap di Chromium aggiornato al 03.12.2023) era stato sicuramente chiuso.
Esiste un fix?
Sergio
Salve Sergio, ho scoperto di recente che il formato Snap non è compatibile con le operazioni richieste e quindi non c’è altro modo che installare Firefox o chromium in formato Deb o compilando dal sorgente.
Grazie mille per le istruzioni!
Prego! Sono contento ti siano state utili.
Ciao Dario,
vorrei sottoporti un problema che sto riscontrando con l’ultimo aggiornamento…
Non mi funziona più firma4ng! Il programma parte, la funzione “Verifica” funziona, mentre quando clicco su “Firma” non succede più nulla… Fino a qualche tempo fa mi funzionava tutto regolarmente.
Nell’altro SSD ho ancora la versione 20.3 di Mint, e lì, con Dike Go Sign, funziona tutto regolarmente.
Ho provato con due diversi kit di firma e il comportamento è il medesimo per entrambi i kit e con entrambe le versioni di Mint.
Come posso muovermi secondo te?
La cosa mi rode particolarmente perché il tutto ha funzionato per un bel po’, tanto che mi ero deciso di togliere Mint 20.3 per provare Zorin, ma essendo che per lavoro uso spesso la firma digitale ho dovuto, mio malgrado, tornare sui miei passi. Magari al momento Zorin posso provarla in live, ma il problema vorrei comunque risolverlo.
Grazie mille fin d’ora e ancora complimenti per questo tuo progetto!
Marco
Ciao Marco. L’ho scoperto pochi giorni fa e ho dimenticato di aggiornare l’articolo con la soluzione. Il problema è l’ultima versione di Firma4NG, la 1.6.8.
Avevo tenuto da parte la 1.6.1 che funziona perfettamente in Linux Mint 21.x e LMDE 6.
Spero di aggiornare l’articolo quanto prima, forse in serata, permettendo di scaricare questa versione. In attesa, magari, che sia GoSign che Firma4NG implementino soluzioni nei prossimi rilasci.
Grazie mille! tengo d’occhio l’aggiornamento dell’articolo in modo da risolvere il problema.
Buona serata.
Ciao Marco, ho appena caricato il file zip con una nota nella parte su Firma4NG.
Super! Grazie ancora.
Marco
Ciao Dario,
purtroppo ho un nuovo problema con Firma4NG…
Ho risolto il problema precedente installando la versione 16.0.1, ma nel frattempo ho dovuto procurarmi un nuovo token in quanto l’altro mi è scaduto. Il nuovo Token è un Bit4ID “Digital DNA Key”. Ora, quando avvio Firma4NG l’applicazione parte regolarmente, compresa la funzione di firma, poi legge e riconosce regolarmente il nuovo certificato ma dopo aver inserito il PIN mi restituisce “Errore PKCS11”. L’unica info che ho trovato nel sito del produttore è di andare in “Gestione Token”, “Opzioni” e aggiornare il software. Ma io in Firma4NG alla sezione “Gestione Token” non trovo “Opzioni”, quindi non ho la possibilità di aggiornare il dispositivo… Quindi ho riprovato autonomamente a scaricare ed installare la versione 1.6.8 ma, come sospettavo, mi si ripresenta il problema che la funzione di firma nemmeno parte…
Il tutto con Mint 21.3; ho provato su Mint 20.3, ma lì Dike Go Sign nemmeno riconosce il token…
La cosa ancora peggiore (per il mio umore) è che su Winzozz ha funzionato subito dal primo tentativo…
Hai per caso qualche idea di come posso agire?
Grazie mille.
Marco
Ciao Marco, io non conosco la tua soluzione hardware e l’aggiornamento software di Firma4NG non si trova su Gestione token ma su impostazioni. Dubito che però possa servire visto che credo installerebbe la versione più recente. È frustrante il funzionamento immediato con Windows ma anche io ebbi problemi insormontabili con la Aruba Key. Ragione per cui acquistai un lettore da tavolo: qualunque minilector funziona con il middleware in formato .deb che suggerisco, perchè alla fine li ho provati quasi tutti, tra amici e colleghi. E non mi hanno mai richiesto di modificare la mia configurazione perché già funzionanti. Dopo aver dimenticato di rinnovare i certificati ho acquistato solo la card. I lettore è sempre il solito e non mi ha mai creato problemi.
Potresti provare a creare un nuovo utente amministratore in Mint e ripartire da zero con la configurazione. O eventualmente in una sessione Live. In caso negativo contatterei con un ticket l’assistenza. Buona fortuna
Grazi mille ancora per i preziosi suggerimenti.
Proverò con l’assistenza, in quanto il nuovo token è sigillato, pertanto non riesco ad aprirlo per estrarne la sim…
Ciao Dario,
un ulteriore aggiornamento in modo che possa essere utile sia a te che a tutta la comunità: questa mattina stavo per aprire un tiket presso l’assistenza di Bit4id, ma ho voluto fare prima un ulteriore tentativo. All’avvio di Firma4NG si è scaricato in automatico un nuovo aggiornamento, ora è la versione 1.6.10, e tutto è ritornato a funzionare correttamente!
Questi hardware e software di firma digitale mi fanno sudare freddo ad ogni aggiornamento…
Grazie ancora.
Marco
Grazie infinite per la segnalazione Marco! Avvio l’aggiornamento e scarico comunque la nuova versione mantenendo le precedenti! Ciao
Gent.mo Dario,
su linux Mint, dopo aver aggiornato il kernel, non riesco più ad autenticarmi con CNS tramite browser Google Chrome.
Da terminale ho eseguito il comando sudo apt install opensc libnss3-tools, e mi ha dato esito positivo.
Quando invece eseguo il comando modutil -dbdir sql:.pki/nssdb/ -add “OpenSC” -libfile /usr/lib/$(uname -i)-*/opensc-pkcs11.so, il terminale mi restituisce il seguente errore: ERROR: Failed to add module “OpenSC”. Probable cause : “Unknown code ___P 3”.
Hai qualche consiglio?
Grazie in anticipo.
Paolo
Ciao Paolo, anche a me Brave restituisce errore e anche registrando nuovamente opensc con modutil ricevo lo stesso. Una breve ricerca web con l’errore non mi dà esito ma un codice sconosciuto di errore ha l’altissima probabilità di essere un bug, anche se non so da che parte. Temo, per ora, di dovermi accontentare di Firefox visto che funziona e anche il Bit4id manager non mi restituisce errori. Appena trovo una soluzione aggiorno il tutorial e ti avviso.
Anche io, per il momento, mi accontento di Firefox (sempre affidabile).
Ti ringrazio per il feedback ed attendo la tua soluzione.
Buona serata.
Problema risolto con gli aggiornamenti odierni di libnss3-tools e di libnss3. Era un bug
Ma che bella notizia! Sono fuori e non ho verificato. Grazie per la segnalazione
Intanto grazie per la chiarissima guida che ho trovato di una utilità e chiarezza estremi!
Volevo però chiederti lumi su un dettaglio che mi blocca.
Uso Linux Mint 21.3 e il browser predefinito è Microsoft Edge.
Ebbene, ho seguito tutta la guida e i comandi non mi hanno restituito errori, ma comunque il browser non riesce a importare i certificati impendendomi l’accesso a tutti i vari portali tipo NoiPa, Inps, AdE ecc. ecc.
La firma digitale funziona senza problemi, il Middleware vede la ArubaKey e ne legge i certificati, con FireFox nessun tipo di problema, con Edge proprio non vuol saperne.
Esiste una spiegazione razionale a questo comportamento?
Probabilmente sbaglio in qualcosa ma non riesco a capire cosa
Ciao Lino, ti ringrazio per gli apprezzamenti. Le istruzioni che fornisco per chrome in effetti dovrebbero andare anche per Edge, con cui non ho alcun contatto da tanti anni dai quali l’ho abbandonato con Windows. Ma negli ultimi giorni un altro utente mi ha segnalato un problema proprio con Chrome che dipendeva da alcuni pacchetti difettosi tra cui libssn. Mi dice poi siano stati risolti ma non ho ancora verificato con il mio Brave e non saprei come aiutarti.
Come dico spesso, più facile trovare assistenza nei forum del software o del sistema operativo perché non c’è una sola persona con competenze peraltro limitate!
Buona fortuna, Dario