[toscana] SMARTCARD READER SUI PAAS

Simone Piccardi piccardi@softwarelibero.it
Mer 9 Feb 2005 17:03:32 CET


On mar, 2005-02-08 at 20:06 +0100, Raistlin wrote: 
> Infatti secondo me sembrava che tutti sparassero a zero sul povero Nesi
> quando invece si stava attaccando un'idea assurda come quella di gestire
> in "modo chiuso" strumenti importanti come SmartCard, CIE, ecc.
> Lui e` solo uno di quelli che ha portato alla luce un problema...
Si, anzi direi che le sue informazioni sono state molto preziose. 

> Se la situazione e` quella descritta da Simone Piccardi (qui
> http://serverone.firenze.linux.it/pipermail/toscana/2005-February/000612.html)
> e sul comunicato di FSF-Europe
> (http://fsfeurope.org/documents/cie.it.html)
> ho forti dubbi che uno, dieci o cento LUG riescano a cavare qualcosa dal
> "dispositivo USB", anche se non conosco la situazione in dettaglio.
Nel frattempo mi sono informato meglio, ed il problema purtroppo risulta
essere tutt'altro che banale. 

Anzitutto non sono sono stringhe da tirare fuori da un dispositivo USB;
una smart-card e` un piccolo computer con tanto di suo sistema operativo
interno che esegue una serie di operazioni (ed in particolare cose non
banali come firmare una stringa o generare una coppia di chiavi). I dati
e le funzioni vengono definite da chi progetta la carta, il layout di
tutto questo viene chiamato filesystem della carta.

In generale il lavoro viene fatto e` interfacciare, tramite opportuno
programma, un browser alla carta, in modo che questa firmi una stringa
di challenge che ha ricevuto dal server e che permette di identificare
l'utente. Senza specifiche di accesso e` possibile provare a fare un po'
di reverse-engeneering, ma ci vuole qualcuno che si assume il rischio
(legale) di farlo. 

Per la CIE risponde il ministero degli interni, il quale non diffonde i
dati per l'accesso (al contenuto della carta), se non ai comuni e con
una forma di NDA. Sebbene sia relativamente facile trovare i codici ci
sono dubbi sulla legalita` del farlo e sulla possibilita` di poter
distribuire software che lo fa. E non e` simpatico per un programmatore
fare esperimenti in questo senso e trovarsi ad affrontare le eventuali
spiacevoli conseguenze ...

Per CNS (che e` uno standard CNIPA) usato da parecchie carte dei servizi
(o CRS) ma di nuovo il layout della carta e` sotto il copyright del
CNIPA, non mi risulta essere pubblico, e ci sono gli stessi dubbi di cui
sopra.


> > A mio modo di vedere e' qui che i LUG devono tirare fuori (...) il valore
> > aggiunto della loro partecipazione a eToscana per l'accesso.
> > Dimostrando che il "prodotto" (M$) non e' davvero indispensabile, anche a
> > dispetto della politica di gran parte del mercato!
> Secondo me i LUG possono/devono informarsi sullo stato delle cose ma
> purtroppo, per quanto il "prodotto" in questione non sia assolutamente
> indispensabile per nessuno scopo in particolare, le istituzioni
> potrebbero renderlo tale... e allora nessuno ci potrebbe fare niente!!
Il fatto e` che se i PAAS dovranno fornire servizi di e-government, e
quindi dare accesso ai cittadini ad esempio ai loro dati anagrafici, per
questo quando i cittadini richiedono i proopri dati dovranno essere
identificati opportunamente, e per questo e` previsto l'uso delle
smart-card. 

Questo chiaramente non lo possono risolvere i LUG, ma essendoci stato
l'interesse della regione al coinvolgimento dei LUG, ed avendo la
regione dimostrato anche sul piano legislativo l'interesse per il
software libero, penso che da parte loro ci potrebbe essere uno spazio
di intervento notevole.

In ogni caso come Associazione Software Libero abbiamo appena approntato
una lista di discussione proprio su questi argomenti (e affini, come
quelli sulla firma digitale). La trovate nell'elenco di
http://www.softwarelibero.it/liste.shtml oppure vi potete iscrivere
direttamente all'indirizzo:
http://lists.softwarelibero.it/mailman/listinfo/egov


Ciao
Simone
-- 
Simone Piccardi <piccardi@softwarelibero.it>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: This is a digitally signed message part
URL:         <http://lists.linux.it/pipermail/toscana/attachments/20050209/84ef01aa/attachment.pgp>


Maggiori informazioni sulla lista toscana