Il 20/06/23 21:05, Franco Peci ha scritto:

Con il lettore miniLector EVO e la tessera sanitaria su Firefox riuscivo tranquillamente ad accedere al sito dell'INPS per sbrigare le mie pratiche. Quest'anno mi è stata spedita una nuova TS-CNS. Ieri mi sono procurato
il nuovo PIN, ma quando effettuo l'accesso appare il messaggio:
Non è stato fornito nessun certificato valido per l'accesso: chiudere il browser, verifcare i prerequisiti e riprovare con un nuovo certificato valido.

Anche sul sito di supporto del dispositivo esce l'indicazione: Errore | Impossibile contattare il servizio di emissione certificati.
E come soluzione, oltre ad accertarsi di non avere una connessione
proxi, dicono di sbloccare porte TCP in uscita 446 e 447.
Ovviamente le indicazioni sono per i sistemi ms-windows. Io ho provato a trafficare con iwf e iptable ma non ho risolto.
Su altri siti trovati alcuni indicano che queste porte si aprono in
Firefox, altri dicono di agire sulla configurazione del modem/router.

A me viene il sospetto, invece, che in qualche modo bisogna resettare il dispositivo per poi fargli leggere la nuova tessera e quindi passare al browser nuovi certificati... ma forse è una mia stupida ipotesi.

Vi ringrazio per qualunque suggerimento.

Ciao
Franco

ciao,
non so se ti può essere utile, un mese fa avevo postato questo intervento:

saluti a tutti,
ci sono novità (probabilmente non sono proprio nuove, ma non le sapevo
prima) per l'accesso con CIE alla pubblica amministrazione.
Si può entrare nei siti della PA anche senza apparecchio predisposto.
si chiama livello 1 o 2, e si accede con un userid che può essere il
numero della CIE, una password scelta dall'utente ed un OTP ricevuto
con un telefonino.

valerio

p.s.
ci si attiva al seguente indirizzo:
https://www.cartaidentita.interno.gov.it/attiva/

valerio

p.s.
non so se vale per le t.s.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 20/06/23 21:05, Franco Peci ha scritto:

Con il lettore miniLector EVO e la tessera sanitaria su Firefox riuscivo tranquillamente ad accedere al sito dell'INPS per sbrigare le mie pratiche. Quest'anno mi è stata spedita una nuova TS-CNS.

Che software utilizzi per gestire la tessera? (la tessera, non il lettore).

Se utilizzi Firefox su Linux, probabilmente nella finestra di
impostazione "Dispositivi di Sicurezza" hai una libreria pkcs11 configurata.

rob

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Franco Peci ha scritto:
 

Quest'anno mi è stata spedita una nuova TS-CNS.

 

Ieri mi sono procurato il nuovo PIN, ma quando effettuo l'accesso appare il messaggio: 
Non è stato fornito nessun certificato valido per l'accesso

 
con la nuova tessera sanitaria bisogna tenere conto di due passaggi:
 
1) se si sta usando un lettore vecchio, su un PC abbastanza recente è possibile che
occorra comprare un lettore nuovo (io ho il bit4id miniLector vecchio e nuovo). Sul mio PC del 2008 posso usare senza problemi sia il lettore vecchio che quello nuovo,
su PC più recenti devo obbligatoriamente usare il lettore nuovo, quello vecchio non
funziona.
Notare che queste problematiche non sono specifiche di sistemi operativi GNU/Linux, ma
sono generali per tutti i sistemi operativi.
 
2) a seconda del tipo di tessera sanitaria (il codice lo vedi in alto a sinistra scritto in verticale)
il driver da usare è diverso
Avevo scritto una guida per testare e far funzionare la CNS[¹], però lo avevo scritto per
Bookworm quando c'erano delle librerie più vecchie delle attuali.
Con le librerie attuali di stable/testing non sono riuscito a creare un .deb funzionante (al
massimo ho ottenere la richiesta del PIN, ma poi il sito web mi butta fuori).  
Per far funzionare i driver si possono prendere i sorgenti attuali da github e compilare/installare quelli, in questo modo funziona. Servono questi perché quelli presenti
in Debian non contengono la patch di di 3v1n0 che dovrebbe permettere di far funzionare
tutte le CNS.
 
Avevo aperto un bug su github[²] perché avevo erroneamente capito che la patch di 3v1n0
fosse stata inclusa prima dell'emissione della nuova stable di OpenSC e che quindi fosse
presente anche in Debian... poi in realtà è stata inclusa dopo l'emissione della nuova stable
di OpenSC e quindi in Debian non c'è (ho anche aperto un bug in Debian, ma volevo
trovare il tempo per riuscire a compilare un .deb funzionante prima di commentare
ulteriormente).
 
Per avere i sorgenti pronti per essere compilati devi seguire i seguenti passi: # apt build-dep opensc
$ mkdir ~/src
$ cd /src
$ git clone https://github.com/3v1n0/OpenSC.git[https://github.com/3v1n0/OpenSC.git]
 
e poi segui quello che ho indicato nel messaggio[²]
 
Prima di installarlo manualmente però avevo rimosso i pacchetti opensc per usare
solo quelli compilati.

Poi una nota aggiuntiva: con il nuovo regolamento europeo eIDAS 2.0, che dovrebbero
approvare prima della fine dell'anno e che entrerà in vigore in automatico in tutto il
mercato unico prima della fine del 2024, verrà introdotto un "nuovo" metodo di autenticazione che permetterà di usare le proprie credenziali per autenticarsi in
tutta Europa (l'obbligo di "funzionamento" ci sarà solo nella propria nazione).
Per l'Italia il metodo di autenticazione sarà la CIE, probabilmente all'inizio ci sarà
anche SPID, ma da quel che ho capito verrà tolto (tenendo conto che è molto costoso
SPID: ogni volta che uno si autentica viene pagato il gestore e ultimamente i gestori
hanno ottenuto ulteriori 40 milioni in due anni perché dicevano che non ci stavano
dentro con i costi; la CIE ha già il livello IV di autenticazione, mentre SPID in
alcuni casi non c'è neanche il III; ...).
Il protocollo di autenticazione sarà OpenID Connect.
Dovranno applicare queste nuove modalità non solo le pubbliche amministrazioni, ma
anche istituti finanziari, mezzi di trasporto, ... quindi alla fine con la CIE sarà
possibile effettuare il login su tutti questi siti.

Ciao
Davide
 
[¹]
https://lists.debian.org/debian-italian/2022/07/msg00030.html
 
[2]
https://github.com/OpenSC/OpenSC/issues/2763#issuecomment-1537445039
 
--
La mia privacy non è affar tuo
https://noyb.eu/it
- You do not have my permission to use this email to train an AI -

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 21/06/23 16:11, Davide Prina ha scritto:

Franco Peci ha scritto:

Quest'anno mi è stata spedita una nuova TS-CNS.

Ieri mi sono procurato il nuovo PIN, ma quando effettuo l'accesso appare il messaggio:
Non è stato fornito nessun certificato valido per l'accesso

con la nuova tessera sanitaria bisogna tenere conto di due passaggi:

... a parte tutto, il problema fondamentale è che le regole tecniche per
le CNS sono state rilassate nel 2016, e di conseguenza ogni sciolta di
carte potenzialmente fa caso a sè. Qui i dettagli:

https://github.com/OpenSC/OpenSC/issues/2445#issuecomment-974890437

In sostanza, mentre per anni il supporto per chiavi e certificati *di identificazione* per le CNS in OpenSC è rimasto stabile, anche se materialmente i chip venivano rilasciati da costruttori diversi, ora
siamo tornati alla babele, analogamente a quanto succede da sempre per i certificati e chiavi di firma digitale.

Poi una nota aggiuntiva: con il nuovo regolamento europeo eIDAS 2.0, che dovrebbero
approvare prima della fine dell'anno e che entrerà in vigore in automatico in tutto il
mercato unico prima della fine del 2024, verrà introdotto un "nuovo" metodo di
autenticazione che permetterà di usare le proprie credenziali per autenticarsi in
tutta Europa (l'obbligo di "funzionamento" ci sarà solo nella propria nazione).

Qui un video in cui si parla in dettaglio della faccenda:

https://video.resolutions.it/w/5Wa3WexDHTw8mCZjwV2D6z

Una nota a margine per chi segue il video: le *vecchie* specifiche CNS
erano opera meritoria di Giovanni Manca.

rob

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 21/06/23 20:17, Franco Peci ha scritto:

Sperando di non aver fatto pasticci - tanti anni fa usavo make/make
install, ora uso solo apt e non so cosa sia git - quali passaggi devo
fare adesso?

Come indicato nella mail di Franco, dev ieseguire quanto indicato in:

Non so se possa essere utile. In Firefox - moduli e dispositivi di
sicurezza - ho il seguente elenco:
NSS internal PKCS #11 Module
Nuovo modulo PKCS #11

Saranno quelli vecchi?

Altra info: la mia nuova tessera è ST 2022 proprio quella che nei tuoi tutorial, se non sbaglio, dici che non sai se funziona.

Ciao e grazie
Franco

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 22/06/23 15:13, Roberto Resoli ha scritto:

Il 22/06/23 15:08, Roberto Resoli ha scritto:

Il 21/06/23 20:17, Franco Peci ha scritto:

Sperando di non aver fatto pasticci - tanti anni fa usavo make/make
install, ora uso solo apt e non so cosa sia git - quali passaggi devo
fare adesso?

Come indicato nella mail di Franco, devi eseguire quanto indicato in:

~~~~~~

Scusa, intendevo Davide Prina, ovviamente

https://github.com/OpenSC/OpenSC/issues/2763#issuecomment-1537445039

Non so se possa essere utile. In Firefox - moduli e dispositivi di
sicurezza - ho il seguente elenco:
NSS internal PKCS #11 Module

Questo è un modulo interno di ffox, non va toccato.

Nuovo modulo PKCS #11

Questo è il nome predefinito assegnato da ffox quando installi un modulo pkcs11, probabilmente è la vecchia configurazione fatta da te tempo addietro. Nella descrizione associata a quella voce dovresti trovare il percorso della libreria pkcs11 che implementa il modulo.

Approfitto per aggiungere, per chiarezza: probabilmente il percorso
della libreria rimane invariato, se si tratta della libreria di opensc,
ma per sicurezza ti conviene eliminare il riferimento a questo modulo
(bottone "Scarica") e rieseguire la configurazione una volta compilato
opensc (cioè aver fatto quanto indicato al link di cui sopra).

rob

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 22/06/23 18:18, Franco Peci ha scritto:

Approfitto ancora della vostra infinita pazienza e disponibilità. Qualcosa non funziona nella compilazione:

root@debian:~/src/OpenSC# ./configure --prefix=/usr --sysconfdir=/etc/opensc
configure: error: cannot find required auxiliary files: compile config.guess config.sub missing install-sh

Prima dando
./bootstrap
segnalava la mancanza di autosolv e l'ho installato. Ora mi esce quest'errore e non so cosa fare.

Molto probabilmente non hai eseguito

./bootstrap

dall'interno della directory OpenSC; è quel comando che genera i file di
cui 'configure' lamenta la mancanza.

Ho provato le istruzioni di compilazione su una debian bullseye e funziona.

Ad ogni modo, dato che la patch di 3v1n0 è già stata integrata in
OpenSC, invece che usare la sua versione penso che tu possa
semplicemente prendere i sorgenti ufficiali:

git clone https://github.com/OpenSC/OpenSC.git

il resto delle istruzioni è invariato.

rob

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Franco Peci ha scritto:

root@debian:~# apt build-dep opensc
Lettura elenco dei pacchetti... Fatto
E: You must put some 'deb-src' URIs in your sources.list

devi inserire la riga deb-src in /etc/apt/sources.list

puoi duplicare la riga che inizia con deb e che contiene il repository main
e sostituisci deb con deb-src

e poi esegui:
# apt update

# apt build-dep opensc

root@debian:~# mkdir src
root@debian:~# cd src/

queste operazioni erano da fare come utente normale, come root è meglio non compilare...

root@debian:~/src# cd

questa non andava eseguita, altrimenti torni alla home...

root@debian:~/src# git clone https://github.com/3v1n0/OpenSC.git[https://github.com/3v1n0/OpenSC.git] Clone in 'OpenSC.git]' in corso...
remote: Not Found
fatal: repository 'https://github.com/3v1n0/OpenSC.git[https://github.com/3v1n0/OpenSC.git]/' non trovato

inoltre
1) qui c'è una parentesi quadra finale di troppo
2) bisogna prendere il repository ufficiale di OpenSC che contiene la patch di 3v1n0 più altro...

qui ho sbagliato io, un copia incolla sbagliato :-(

L'istruzione corretta è:
$ git clone https://github.com/OpenSC/OpenSC.git

Altra info: la mia nuova tessera è ST 2022 proprio quella che nei tuoi tutorial, se non sbaglio, dici che non sai se funziona.

mi sembra di ricordare che un altro utente con quella tessera era riuscito a farla funzionare e quindi penso che tutte le tessere alla fine funzionino

Riepilogo (se un comando va male vuol dire che c'è qualche errore e quindi prima di procedere vedere di capire cosa c'è che non va... magari manca un pacchetto):

1) rimozione come root di opensc
# apt remove --purge opensc opensc-pkcs11

2) installazione delle dipendenze come root
# apt build-dep opensc

verificare che in /etc/apt/sources.list ci siano i deb-src, altrimenti
vanno aggiunti prima di questa operazione

3) come utente
$ mkdir ~/src
$ cd /src
$ git clone https://github.com/OpenSC/OpenSC.git
$ ./bootstrap
$ ./configure --prefix=/usr --sysconfdir=/etc/opensc
$ make
$ su -c "make install"

4) installazione del certificato su firefox
* Aprire Firefox
* Modifica -> Impostazioni -> Privacy e sicurezza -> Dispositivi di sicurezza (è il
bottone in fondo a destra della pagina)
* Carica
* come "Nome modulo" può essere messo quello che si vuole, ad esempio "CNS PKCS#11"
* come "Nome file modulo" bisogna indicare dove è la libreria:
/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so

Per i test si può seguire la miniguida che ho scritto qui: https://lists.debian.org/debian-italian/2022/07/msg00030.html

Ciao
Davide

--
La mia privacy non è affar tuo
https://noyb.eu/it
- You do not have my permission to use this email to train an AI -

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 28/06/23 11:40, Roberto Resoli ha scritto:

I certificati e le rispettive chiavi private sono sempre gli stessi,
quello che è cambiato è il software (spesso chiamato middleware, nel caso delle SmartCard) che gestisce la CIE.

^^^^
Ops, la TS-CNS ...

rob

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)