sabato 5 luglio 2014

Processo Civile Telematico su Linux (e low cost). Guida completa alla configurazione di un sistema Linux

* Ultimo aggiornamento 02 settembre 2015


Il 30 giugno 2014 è ufficialmente entrato in vigore (D.L. 90/2014 Misure urgenti per la semplificazione e la trasparenza amministrativa e per l’efficienza degli uffici giudiziari) il Processo Civile Telematico, una delle più grandi riforme che la giustizia italiana abbia attraversato.

In questa guida non verra illustrato il funzionamento del Processo Civile Telematico in sé in quanto esiston numerose guide i vademecum appositamente predisposti dai vostri COA nonché dai distretti di corte d'appello.

In questa guida è esplicato esclusivamente il profilo tecnico per l'ottimale predisposizione di una macchina Linux.
La guida è stata testata su distribuzione Xubuntu 12.04 LTS e 14.04 LTS



Premessa

L'avvio del Processo Civile Telematico (d'ora in poi PCT) presuppone che il professionista si doti di un indirizzo di posta elettronica certificata (PEC), di una smartcard contenente la propria firma digitale, nonché di un dispositivo hardware per la lettura della stessa.
Sarà necessario anche un sofware c.d. "imbustatore" (impropriamente detto anche "redattore") e preferibilmente un client di posta elettronica.





1. Il sofware c.d. "imbustatore" e il client di posta elettronica

Per quanto attiene il software "imbustatore" sul mercato sono presenti numerose soluzioni, spesso compresive di vari applicativi gestionali. La maggior parte di essi è però sviluppata per Windows.

Ad oggi l'unico sofware imbustatore compatibile con Linux è SL pct.
SL pct è un sofware gratuito ma non open source, sviluppato per conto della Regione Toscana in linguaggio Java.

Il client di posta elettronica non è propriamente indispensabile, ma è consigliato, in quanto il PCT a pieno regime è suscettibile di generare una mole dati tale da saturare facilmente il limitato spazio messo a disposizione nella maggior parte dei provider di PEC.
Ciò che mi sento di consigliare, in luogo del più rinomato Thunderbird, è Evolution, che a differenza del primo non risente di problemi nella gestione delle PEC, che supporta a pieno, e sopratutto è corredato di un'ottima funzione di backup integrato oltre una comoda agenda.
E' disponibile solo per Linux ed è sviluppato dalla Gnome Foundation, lo trovate comodamente nel PPA di Ubuntu e in quelli della stragrande maggioranza delle altre distro.




2. Scelta della smartcard

L'acquisto della firma digitale qualificata può essere comodamente effettuato da internet presso uno dei tanti soggetti autorizzati ad emetterle (Aruba, Postecert, Infocert). Viene venduta in varie configurazioni (chiavetta, lettore da tavolo, firma remota) che si differenziano in genere per il prezzo e per qualche comodo accessorio.
La soluzione adottata nel caso specifico è stata l'acquisto della smart card sciolta da adoperare tramite lettore da tavolo.
Rapprenta la soluzione più economica e assieme riduce il rischio di smarrimento.
Tralascio pertanto ogni riferimento alle c.d. business key, ovvero le chiavette USB, anche perché allo stato attuale non sono disponibili i driver per Linux a 64 bit.

Nel caso specifico la scelta è caduta su Infocert, il cui sofware di firma (Dike) è rilasciato nativamente per Linux. Benchè ufficialmente supporti Ubuntu 10.04 e 12.04, faccio presente che risulta comunque compatibile anche sulla 14.04.

Anche Aruba smartcard si presta al nostro scopo, in quanto il software di firma Aruba Sign gira su tutti i sistemi operativi, compreso Linux 64 bit. Si tratta di un sofware scritto in Java, e perfettamente funzionante con le OpenJDK.

Infine, recentemente affacciatasi sul mercato Linux, è anche Postecert, la firma digitale di Poste Italiane. Anche il software di firma di questa, Firma OK, adesso viene rilasciato anche per Linux e Mac.
  

3. Scelta del lettore smartcard

La scelta del lettore smartcard, fortunatamente non presenta particolari problemi, in quanto si tratta di dispositivi muniti di tecnologia standardizzata.
Nel caso specifico è stato scelto il lettore Gemalto Gem PC USB, peraltro in uso presso le cancellerie di numerosi tribunali, e che tra le altre risulta anche essere tra quelli più a buon mercato.
Lo trovate per pochi Euro (in genere tra le 10 e le 15) on line presso i siti specializzati, su Amazon o nei negozi di forniture per ufficio, ed è compatibile anche con la Carta Nazionale dei Servizi (tessera sanitaria) e con la Carta Regionale dei Servizi della Regione Lombardia.


4. Installazione lettore smart card Gemalto Gem PC USB

I driver di questo lettore sono open source e sopratutto sono comodamente disponibili nei PPA di Ubuntu oltre che in quelli di numerose distro.
Per coloro che preferiscono ancora l'approccio tradizionale da terminale i comandi sono i seguenti:

apt-get install libccid

apt-get install pcscd


E' tuttavia consigliabile installare anche i seguenti pacchetti:

apt-get install libusb-dev libusb++-0.1-4c2

apt-get install libpcsclite1

apt-get install libpcsclite-dev


Pacchetti facoltativi che ci torneranno utili solo per le verifiche sono:

apt-get install libpcsc-perl

apt-get install pcsc-tools


A questo punto la spia del lettore dovrebbe iniziare a lampeggiare, segno che tutto è andato bene. In ogni caso è bene controllare tramite il solito comando lsusb che il sistema lo abbia riconosciuto.


5. Il sofware di firma

Il processo firma è gestito da un apposito software che dovete installare a parte.
Sfortunatamente non esistono ancora soluzioni open, in quanto il progetto Open Signature sembrerebbe essere abbandonato da anni, e perciò ci si deve affidare a soluzioni prevalentemente proprietarie.

Come già specificato in premessa Dike è il sofware sviluppato per conto di Infocert per le sue smartcard.
E' composto in due parti, Dike e Dike-Util (che dovrete utilizzare per la prima attivazione della smartcard. Il software è già rilasciato nativamente per Ubuntu in comodi pacchetti deb, e benché non specificato, funziona egregiamente anche su Ubuntu 14.04 LTS.

Aruba Sign è il sofware sviluppato da Aruba. E' in grado di leggere anche le smart card rilasciate da Infocert, ragione per la quale consiglio comunque di installarlo nel caso in cui Dike dovesse dare problemi. E' sviluppato in Java.

File Protector è il sofware firma sviluppato da Actalis per conto di Infocamere. Funziona anche con smart card diverse ed è distribuito nei comodi pacchetti deb.
Apache Open Office/Libre Office, hanno integrato, a partire dalle loro ultime versioni (v. 4.0) la possibilità di firmare digitalmente i documenti senza necessità di adoperare sofware esterno. Vi rimando, a tal proposito, alle rispettive guide invitandovi all'aggiornamento qualora non lo aveste ancora effettuato.



6. Accesso al Polisweb PCT: installazione del middleware della smart card

Per potere operare il riconoscimento web (e quindi Polisweb) con la nostra smart card sarà necessario installare anche l'apposito middleware.

Premetto sin d'ora che ogni smartcard ha il proprio middleware, che può differire non solo in base al produttore (es. Athena, InCard, Oberthur) ma anche in base al numero di serie della stessa.
Alcuni middleware sono disponibili nella sezione download di Aruba, e sono funzionanti anche per le smart card rilasciate da terzi

Potete conosce con esattezza il tipo di scheda accedendo a Dike-Util (fornito al corredo di DikeL) alla voce "verifica smart card".
Vi rimando al sito del vostro gestore per il download del middleware esatto.

Ricordandovi di operare con i permessi di root, dovrete semplicemente copiare il file middleware (riconoscibile per l'estensione .so) nella cartella

/usr/lib

o a seconda della distribuzione

/usr/local/lib



7. Accesso al Polisweb PCT: configurazione browser Firefox

L'accesso ai siti Polisweb presuppone l'identificazione c.d. forte tramite smartcard. A tale fine è necessario che il browser sia messo in grado di interfacciarsi con la smartcard.


Per quanto riguarda Firefox, sul sito di Infocert è presente una guida che, benché valida, si riferisce alle vecchie versioni della serie 3.x.

Nel caso specifico è utilizzato Firefox 40, ma la guida è valida anche per le versioni precedenti.



Passo 1: installazione certificato

Preliminaremente dovete procurarvi il certificato rilasciato dal gestore della vostra smart card.

Nel caso di smart card Infocert i certificati (.cert) sono scaricabili qui.

Andiamo su Preferenze, tabella Avanzate, scheda Certificati.



Premiamo il tasto Mostra Certificati (linguetta Autorità) e, dopo avere scompattato l'archivio contenente i certificati, selezioniamoli col tasto Importa.


All'atto del caricamento apparirà una schermata in cui vi si chiederà di spuntare tre caselle per consentire dei permessi. Spuntatele tutte.



Passo 2: configurazione middleware

Si tratta del passaggio più importante perché si tratterà di mettere in comunicazione Firefox con in driver della smartcard. 

Ritorniamo nella schermata precedente, quella della schermata Avanzate, e andiamo su Dispositivi di Sicurezza.
 
Premiamo sulla destra il tasto Carica:


Potete mettere il nome modulo che più vi aggrada, mentre occorrerà selezionare correttamente il percorso del middleware precedentemente installato all'interno di /usr/lib/ (o /usr/local/lib a seconda della distribuzione).

Se al termine di questa operazione vi verrà chiesto di inserire la password ella vostra smart card vuol dire che la scheda è stata riconosciuta e potete navigare accedere ai siti Polisweb.

10 commenti:

  1. I progressi tecnologici non conosce limiti. Come Steve Jobs ha detto: "L'innovazione è ciò che fa la differenza tra un leader e di essere rimorchiato ..."

    RispondiElimina
  2. tutti dicono che chrome funziona senza alcuna configurazione specifica invece a me non accede .. qualche idea?

    RispondiElimina
  3. Hai usato Chrome o Chromium? Perché con quest'ultimo non funziona.

    RispondiElimina
    Risposte
    1. per accedere a pst.giustizia.it con Chromium occore anche il pacchetto libnss3-tools; dopo l'installazione a browser chiuso bisogna aggiungere il modulo della CNS
      modutil -dbdir sql:.pki/nssdb/ -add "CNS PKCS#11" -libfile /percorso_middleware
      per vedere se c'è il nuovo modulo
      modutil -dbdir sql:.pki/nssdb/ -list
      dopo di che aprire chromium e provare ad autenticarsi sul portale servizi telematici o altro portale che accetta autenticazione con CNS

      Elimina
  4. Vincenzo Tizzani20 ottobre 2015 09:54

    E' la guida migliore che ho consultato.
    Io, però, ho un problema.
    Utilizzo xubuntu 14.04 32bit e firefox ver.41.0.1, la smartcard di Postecer ed un lettore Incard.
    Nonostante abbia seguito attentamente, e più volte, le istruzioni non riesco ad accedere al sito pst.giustizia.it.
    Secondo me il problema è quello riportato in questo sito: https://bugs.launchpad.net/webbrowser-app/+bug/1313370, dove però sembrerebbe che il bug può essere superato con l'utilizzo di webbrowser-app.
    Ma anche utilizzando quest'ultimo browser non riesco ad accedere.
    Qualche dritta ?

    RispondiElimina
  5. No, il "webbrowser-app" è un browser (basato su webkit) che Canonical sta sviluppando autonomente per integrarlo su Ubuntu.
    Hai il classico problema di errore "handshake"? Se è così è perché o non hai configurato correttamente Firefox o più verosimilmente hai installato i driver del chip sbagliati. Il software di firma (Firma OK) funziona? Hai provato la configurazione con SL pct?
    Questa guida è tarata per smartcard Infocert (al momento cui è stata redatta sicuramente tra quelle meno rognose dal punto di vista della compatibilità).
    Dando un'occhiata al sito delle Poste (http://postecert.poste.it/firma/download.shtml) vedo che forniscono smarticard sia con driver Incard che Obertur. Le riconosci dal numero del seriale, perché solo per le prime hanno messo a disposizione i driver.

    RispondiElimina
    Risposte
    1. So cos'è webbrowser-app. Pensavo di poter superare con questo browser il problema dell'accesso al pst, ma non funge.
      Si, ho il classico errore di handshake da firefox, eppure sia firma ok che slpct funzionano regolarmente. La smartcard è una Incard.
      Cosa posso provare ?

      Elimina
    2. Se è così stai sbagliando nella configurazione di Firefox.
      Se la smartcart è di tipo Incard il driver che devi caricare tramite l'interfaccia "dispotivi di sicurezza" dovrebbe essere libbit4xpki.so, che trovi localizzato in /usr/lib o /usr/local/lib (sempre se il software di Poste non fa di testa sua).

      Elimina
  6. Bella guida. Peccato che non 'copra' Arubakey, per la quale sia per la firma con SLpct che per l'autentica su pst ci si deve arrangiare di volta in volta con soluzioni molto più empiriche e spesso non perfettamente funzionanti. In pratica non esiste procedura per l'importazione dei certificati, senza la quale l'installazione del middleware si rivela inutile e l'accesso a pst è estremamente difficoltoso. Per la firma con SLpct ci si arrangia abbastanza bene (Mint 17.2).

    RispondiElimina
    Risposte
    1. Ho scritto nel prambolo che la guida non si riferisce alle key, per il motivo che non risponde alla finalità di risparmio (soldi ma sopratutto tempo) che si prefigge la guida. In ambito professionale non ci si può permettere di "giocare" con guide empiriche, dove magari basta un aggiornamento per far saltare tutto. I fornitori devono capire che in assenza di un minimo di supporto Linux per loro sarà sempre un mercato chiuso.

      Elimina