Autenticazione con CIE

[gian_d]

Ciao a tutti. Io ho ancora la carta di identità cartacea, ma dovrò richiedere la Carta di Identità Elettronica (CIE) entro luglio perché quelle cartacee non saranno più valide. In vista dell'acquisizione ho intenzione di abbandonare lo SpID con PosteID perché dal prossimo anno (credo) non sarà più gratuito.
Da quello che ho visto c'è la possibilità di fare l'autenticazione con un'app installata in uno smartphone NCF (che non so che roba sia) ma vorrei evitare di trovarmi costretto ad acquistare un altro mobile: al momento ho due tablet e uno smartphone da battaglia che bastano e avanzano per le mie esigenze correnti, ma non so se sono compatibili per l'uso della CIE.

L'alternativa è usare un lettore per smartcard contactless collegato al PC, soluzione che permette di fruire del livello 3 di autenticazione. Sinceramente preferirei questa soluzione perché odio dover dipendere dai mobile. Ho visto che il software middleware ha delle versioni per Linux, rilasciate con pacchetti .deb e .rpm. Dal momento che dovrò acquistare il lettore mi chiedo se è possibile usarlo con la Slackware.

Qualcuno ha esperienza in merito? Ho una Debian che non uso mai e mi seccherebbe essere costretto ad avviarla ogni volta che devo usare l'identità digitale con la CIE. Peraltro devo assemblare un nuovo PC che diventerà quello di uso principale e ho intenzione di installare solo la current perché è il sistema che uso abitualmente.

Insomma, l'ideale sarebbe poter usare il lettore contactless con la current. In extremis rimedierei usando la Debian, ma so già che sarebbe una situazione di ripiego fastidiosa.

[gian_d]

Mi correggo, viene rilasciato anche un archivio tar.gz, presumo perciò che si tratti del sorgente e che probabilmente si possa installare predisponendo uno slackbuild. Ho visto che su SBo c'è uno slackbuild per il middleware specifico per la CIE belga che richiede pcsc-lite e CCid, perciò penso che la cosa si possa fare. Ci proverò

[Kronos]

Per anni ho utilizzato la smartcard della firma digitale con slackware installando pcsc-lite e CCid con gli slacbuilds di SBo e non ho mai avuto problemi.
Per fare funzionare la firma digitale però c'è bisogno di una libreria specifica che cambia in base al chip della smartcard e immagino che sia così anche per la CIE.
Per il resto c'è solo una cosa da ricordare ovvero che il demone di pcsc-lite su slackware non parte automaticamente all'avvio del sistema a meno che non si intervenga sul file /etc/rc.d/rc.local, su SBo comunque trovi un readme che è specifico per slackware.

[erio]

la cie ha tre livelli di autenticazione i primi due dopo aver installato l'app cieid sul telefono che supporta NFC quando richiesto fai lo scan con la camera del telefono e segui i passaggi una volta riconosciuta la carta,per il terzo livello occorre il lettore di carte e il middleware cie,esiste anche la versione rpm che per slackware forse e' piu' adatta,al momento della consegna della carta avrai la prima parte dei codici poi arriva anche la seconda parte pin puk ,i software che trattano la cie permettono solo la registrazione di un utente,il lettore di carte deve essere cie compatibile,per la mia ho dovuto cambiarlo.

[gian_d]

Ho usato per anni il lettore di smartcard minilector EVO sulla slackware per usare la tessera sanitaria proprio usando gli slackbuild di SBo. Poi ho smesso di usarla perché il chip della carta che ho avuto con il rinnovo è stato cambiato e mi ha dato problemi. Ho ancora pcsc-lite che si avvia in background perché l'avvio del demone l'ho inserito in rc.local.

Quel lettore, comunque, non può essere usato per la CIE ammesso che sia compatibile. Per l'autenticazione di terzo livello serve un lettore NFC. Ho visto che su Temu e Aliexpress ce ne sono a prezzi stracciati, sui 15-20 euro

[erio]

la cie e' solo wireless il lettore che ho preso bit4id v3 e sicuramente il terzo livello di autenticazione e' quello della pubblica amministrazione, una volta che aggiungi i tre livelli,con cieid puoi usare il telefono per autenticarti tramite qrcode e password

[gian_d]

la cie e' solo wireless il lettore che ho preso bit4id v3 e sicuramente il terzo livello di autenticazione e' quello della pubblica amministrazione, una volta che aggiungi i tre livelli,con cieid puoi usare il telefono per autenticarti tramite qrcode e password

Per andare sul sicuro ho proprio ordinato un lettore Bit4id, la casa è affidabile per quanto riguarda la compatibilità dei suoi driver con Linux. Il modello è Minilector CIE Plus, dalle recensioni va bene con il middleware governativo e l'autenticazione di livello 3. L'unico problema è che ho dovuto turarmi il naso e acquistarlo via Amazon perché non ho trovato altri canali di vendita :-\

A margine, l'autenticazione con il telefono l'ho sempre odiata anche se con lo SpID sono costretto a usarlo da quando non mi funziona più la TS-CNS e per l'accesso all'home banking. Nei limiti del possibile uso il telefono (che in realtà è un tablet) solo per telefonare

[gian_d]

A conclusione, ieri ho fatto lo slackbuild (a breve lo invierò a slackbuilds.org, devo ancora fare il file README). Come sorgente ho usato il pacchetto RPM perché la compilazione dei sorgenti richiede l'uso di eclipse nella fase di compilazione della libreria.
Per il pacchetto RPM ho applicato dei ritocchi nello slackbuild per renderlo compatibile con gli standard di slackbuilds.org: installazione della libreria in /usr/lib o /usr/lib64 invece di /usr/local/lib, denominazione di una directory in /usr/share (maiuscolo -> minuscolo per uniformità con il nome del pacchetto), alcuni fix sul file application.desktop con sed.
Sembra che tutto funzioni: con il frontend grafico ho apposto una firma digitale in un PDF, sono poi entrato in diversi siti della PA con il livello 3 usando Firefox dal PC. Per quest'ultima procedura, dopo aver configurato Firefox, è sufficiente collegare il lettore al PC, posizionare la carta d'identità e inserire le ultime 4 cifre del PIN (il PIN può anche essere modificato dal frontend grafico). Il tutto senza l'uso di app e dispositivi mobile. Avevo letto da qualche parte che l'accesso al portale INPS non funziona con Firefox e richiede Edge, ma non è vero, sono entrato anche nel sito di INPS usando Firefox, tutto OK.

A margine, una chicca: mentre ottimizzavo lo slackbuild ho commesso un errore da vero e proprio nubbio (prima volta in 23 anni di Slackware!): nello script avevo inserito la linea rm -rf /usr/local/lib invece di rm -rf $PKG/usr/local/lib. Il risultato è che i'avvio dello slackbuild mi ha rimosso la directory /usr/local/lib del sistema! Me ne sono accorto solo dopo, quando ho visto che nel pacchetto tgz c'era ancora la directory /usr/local/bin vuota. Scherzi della vecchiaia...
Purtroppo non avevo i backup e ho dovuto ricostruire manualmente la directory, reinstallare firefox e thunderbird e una ventina di font, ripristinare uno script in /usr/local/sbin. Qualche altro script l'ho perso e dovrò riscriverlo all'occorrenza.