Pubblica amministrazione e software libero

Marco Bisetto marco@folgorante.net
Dom 11 Nov 2007 12:04:08 CET 

On Sat, Nov 10, 2007 at 05:12:34PM +0000, Massimo wrote:
> 
> Si, purtroppo pare anche a me, anche se avevano fatto qualcosa che 
> doveva girare anche con Linux...

Il programma per la compilazione degli studi di settore ha anche una
versione per Linux, ma e` totalmente inutile, visto che lo studio di
settore va allegato alla dichiarazione unico, che richiede un altro
programma apposito (Windows o Mac), e che per il suo funzionamento
richiede altri moduli (Windows o Mac). Inoltre l'applicazione
FileInternet, che serve per la cifratura del file da inviare al sito
dell'agenzia, e` disponibile anch'essa solo per Windows e Mac.

L'assurdo e` che il software e` scritto in Java (bisogna
obbligatoriamente usare la versione 1.3 (esplicitamente marcata come
non piu` supportata da Sun), e questo la dice lunga sulla qualita`
dell'azienda che l'ha prodotto. Quindi l'impossibilita` di farlo
funzionare su Linux dipende probabilmente solo dall'installatore o da
altri gravi errori di programmazione. E` triste pensare come
funzionano le gare d'appalto, decisamente ironico considerando che
questi controllano se noi siamo onesti.

> 
> Volevo chiederti: il certificato di protezione serve per avere garanzia 
> dell'autorevolezza del sito, in teoria perņ dovresti poter accedere 
> anche senza, con un altro browser, ovviamente non avendo il livello di 
> sicurezza richiesto. Puoi confermare?

La cosa merita un approfondimento:

I due certificati ca.der e ca.cer che vengono forniti per Windows e
Mac sono copie identiche dello stesso file. Si tratta di certificati
x509 che possono essere gestiti tranquillamente con openssl. Il
procedimento merita una discussione:

1. ti connetti tramite una connessione insicura al sito dell'agenzia

2. scarichi il certificato attraverso tale connessione

Ora viene il bello: L'utente finale installa il certificato.

Verifichiamo l'autenticita` del certificato:

$ openssl x509 -inform DER -outform PEM -in ca.der -out ca.pem
$ openssl verify ca.pem
ca.pem: /C=IT/O=Agenzia delle Entrate/OU=Servizi Telematici/CN=CA Agenzia delle Entrate
error 18 at 0 depth lookup:self signed certificate
OK

OPS! Il certificato e` autofirmato.

Quindi l'utente finale ha scaricato un certificato autofirmato
attraverso un canale insicuro, e lo usa per stabilire un canale
"sicuro".

Tanto vale non installare un accidente, che https la stessa procedura
la fa gia` in automatico. Per chi vuole approfondire, ricordo che
l'argomento sull'intrinseca insicurezza di https utilizzato con
certificati non firmati da autorita` verificate attraverso canali
sicuri, e` stato trattato anche da Bruce Shneier sulla sua newsletter
Crypto-Gram.

In conclusione la procedura che all'agenzia delle entrate chiedono di
seguire e` cervellotica.

-- 
Marco Bisetto

Maggiori informazioni sulla lista blug