In questo articolo verranno illustrati i passaggi per poter utilizzare la CIE (Carta di Identità Elettronica) su Linux per accedere ai siti che permettono il login con il metodo CIEId.

Preparazione

Il lettore NFC utilizzato sarà lo stesso indicato nell'articolo Uso della Tessera Sanitaria contactless come CNS con Firefox su Linux, ovvero l'ACS ACR122U consigliato anche sul portale CIE stesso e su quello dedicato alla Tessera Sanitaria.

Qualora il lettore sia stato già utilizzato in precedenza sul PC (ad esempio con la Tessera Sanitaria) non sarà necessario effettuare il primo passo descritto nel paragrafo Il lettore dell'articolo sopra indicato, altrimenti sarà necessario installare l'utility per verificarne il corretto funzionamento ed inserire in blacklist (/etc/modprobe.d/blacklist.conf) i moduli nfc e pn533 come indicato di seguito:

sudo apt-get install pcscd pcsc-tools
(per installare le utilities)

install nfc /bin/false
install pn533 /bin/false
(da inserire al termine di /etc/modprobe.d/blacklist.conf, riavviando in seguito il PC)

pcsc_scan
(per testare il corretto funzionamento)

Il software CIE (middleware)

Da questo punto in poi il procedimento inizia a divergere da quanto visto per l'utilizzo della Tessera Sanitaria: non saranno infatti utili i software e le librerie mostrate nel relativo articolo ma sarà necessario dotarsi del software apposito – disponibile anche per Linux – per l'utilizzo della CIE da parte dei browser e dei software di firma elettronica (vedi sezione Informazioni extra alla fine dell'articolo).

Dobbiamo infatti procedere con il recupero e l'installazione del software specifico per l'utilizzo della CIE dal sito ufficiale, all'indirizzo https://www.cartaidentita.interno.gov.it/info-utili/software-cie/ che è disponibile per tutti i principali sistemi operativi e – nel caso di Linux – sotto forma di pacchetto .deb, .rpm ed in formato compresso non legato ad un package manager specifico.

Dopo aver scaricato il software è possibile installarlo con il proprio package manager oppure nel caso dell'archivio compresso è possibile copiarne il contenuto nelle cartelle del proprio sistema poiché il contenuto dell'archivio ha una struttura che parte dalla directory usr; il software è realizzato in Java, pertanto sarà necessario avere nel proprio sistema anche OpenJDK oppure la versione proprietaria scaricabile dal sito https://www.java.com.

Nel caso dell'installazione tramite il proprio package manager il software CIE sarà anche aggiunto al menu principale del sistema operativo con il nome CIE ID; torneremo all'utilizzo di questo software in seguito, poiché la necessità di installarlo dipende dall'aggiunta al sistema di un file in particolare, che sarà quello da utilizzare nella configurazione del nuovo dispositivo in Firefox.

Configurare Firefox

Anche se lo stesso lettore viene utilizzato in Firefox per accedere ai siti tramite Tessera Sanitaria, per poterlo utilizzare con la CIE è necessario registrarlo come nuovo dispositivo poiché – come indicato poco sopra – non sarà utilizzata la stessa libreria per poter leggere con successo la nuova carta.

Sebbene cambi il file da utilizzare (indicato tra poco), il procedimento di aggiunta di un dispositivo di sicurezza è lo stesso visto nell'articolo sull'uso della Tessera Sanitaria e consiste nell'aprire le impostazioni del browser e:

• Scegliere la voce Preferenze dal menu principale
• Cercare Certificati nel box di ricerca (per arrivare rapidamente alla voce interessata, altrimenti cercarla all'interno della sezione Privacy delle impostazioni)
• Premere il pulsante Dispositivi di sicurezza e successivamente - nella finestra che verrà aperta - premere il pulsante Carica
• Inserire un nome mnemonico per identificare il nuovo dispositivo (ad esempio Lettore NFC per CIE): la scelta di questo nome non pregiudica il corretto funzionamento della procedura e può essere assegnato a piacere
• Nell'input field sottostante al nome del nuovo dispositivo, premere Sfoglia e scegliere il file /usr/local/lib/libcie-pkcs11.so (qualora si sia installato il software CIE con il proprio package manager o copiando il contenuto della versione compressa direttamente nella root del proprio sistema, altrimenti puntandolo alla differente posizione in cui è stato decompresso).

Effettuata questa operazione il dispositivo sarà disponibile all'interno del browser ed appoggiando sopra di esso la CIE sarà possibile iniziare ad utilizzarla, facendo attenzione ad un dettaglio: sebbene il codice PIN fornito assieme alla carta sia di 8 cifre, per poter autorizzare all'uso la carta sul browser saranno necessarie solamente le ultime 4 cifre, fornite all'utente insieme alla carta stessa. L'inserimento di tutte ed otto le cifre porterà ad un messaggio di errore di tipo PIN errato con la conseguente impossibilità di accedere al sito desiderato.

Informazioni extra

Questo articolo riporta le indicazioni per poter utilizzare la propria CIE su Firefox, tipicamente per effettuare accesso ai siti che supportano il sistema di login CIE Id, ma poiché come prerequisito c'è quello di installare il middleware CIE sarà illustrato il funzionamento anche di quest'ultimo.

Attraverso tale software infatti sarà possibile (in maniera equivalente al software GoSign di InfoCert) firmare elettronicamente i documenti, verificare quelli firmati (sia propri che altrui), cambiare il PIN della propria carta e sbloccarla qualora sia stata bloccata per un inserimento errato del PIN molteplici volte (richiede il codice PUK, inviato anche esso insieme al PIN)

C'è un'ultima osservazione da effettuare in merito alla firma elettronica apposta tramite CIE: sebbene sia possibile firmare correttamente (ad esempio con formato CaDES) i documenti, qualora gli stessi vengano verificati con un software differente da CIE ID – ad esempio con GoSign – sarà indicato che la firma è stata apposta correttamente ma che non è stato possibile accertarsi dell'effetiva veridicità della stessa a causa di un errore di CA mancante.

Dopo esaustive ricerche effettuate (compreso il Forum Italia) è emerso che questo tipo di messaggio è corretto e che anche il software ufficiale realizzato dall'Unione Europea (sebbene ancora in fase di beta) ritorna lo stesso messaggio di errore, riferendo che il certificato non è in relazione con una CA/QC nota.

Qualora invece un file firmato con CIE venga verificato sempre tramite il software CIE ID verrà mostrato che la firma è valida e riconosciuta; concludendo, al momento di decidere il tipo di firma da apporre è bene porre attenzione al metodo con cui il destinatario di un file firmato andrà ad effettuare la verifica: qualora utilizzi un software come GoSign o analogo, la soluzione migliore è quella di apporre la propria firma digitale tramite CNS al fine di non generare incomprensioni a causa del messaggio di certificato CA assente, mentre se sarà utilizzato il software CIE ID il file potrà essere firmato anche con la propria Carta di Identità Elettronica.