Nuova tessera sanitaria, lettore e free software

Ciao lista!

Avendo ricevuto la nuova tessera sanitaria sono anche andato a farmi
consegnare il lettore curioso di provarlo con linux (debian wheezy /
testing).

Non sono un esperto dell'ambito ma mi sembra di poter dire che:

-il lettore viene riconosciuto dal sistema senza bisogno di pacchetti
particolari, questo l'output di DMESG
[ 7387.452046] usb 3-2: new full speed USB device using uhci_hcd and address
8
[ 7387.629111] usb 3-2: New USB device found, idVendor=072f, idProduct=90cc
[ 7387.629122] usb 3-2: New USB device strings: Mfr=1, Product=2,
SerialNumber=0
[ 7387.629133] usb 3-2: Product: CCID USB Reader
[ 7387.629140] usb 3-2: Manufacturer: ACS
[ 7387.629411] usb 3-2: configuration #1 chosen from 1 choice

Il modello è miniLECTOR, prodotto da http://www.bit4id.com/italiano/

- Con il pacchetto messo a disposizione dalla provincia la carta viene
riconosciuta senza problemi e ci si riesce ad interagire dal browser come
previsto (e come ben descritto nel pdf che si può scaricare dal sito della
provincia stessa (http://www.provincia.bz.it/cartaservizi/ ). Il "problema"
è che questo pacchetto contiene librerie binarie che vengono messe in
/usr/local/lib e che l'installazione consiste nello scompattare sulla root
directory il tar.gz che viene fornito.
Intendiamoci: le istruzioni sono molto chiare, ed
il pacchetto viene messo a disposizione sia per architetture a 32 che a 64
bit, il PDF dice che il tutto è testato su ubuntu 10.10... insomma lo sforzo
è encomiabile ma mi è venuta voglia di capire se si potrebbe supportare la
coppia lettore-carta con uno stack di software libero. E visto che il
lettore viene visto out of the box si tratta di capire come parlare con la
carta.

- La carta è una siemens cardos 4.2C come si vede da
$ cardos-info | grep Info
Using reader with a card: ACS ACR 38U-CCID 00 00
Info : CardOS V4.2C DI (C) Siemens AG 1994-2009

Purtroppo il framework non è capace di riconoscerla da solo, infatti dando
il comando
$ opensc-tool -n
Si ottiene
Using reader with a card: ACS ACR 38U-CCID 00 00
Unidentified card

Fortunatamente si può forzare il driver da usare in questo modo:
$ opensc-tool -c cardos -n
Using reader with a card: ACS ACR 38U-CCID 00 00
CardOS M4

Già più incoraggiante! Si può associare in modo permanente la carta a questo
driver modificando il file /etc/opensc/opensc.conf aggiungendo una sezione
con l'ATR (answer to reset) della propria carta e il tipo di driver da
usare. Per avere l'ATR basta usare il comando:
$ opensc-tool -a
Using reader with a card: ACS ACR 38U-CCID 00 00
3b:ff:xx:xx:xx:......

L'ultima riga è l'ATR, con questa informazione possiamo modificare il file
/etc/opensc/opensc.conf
card_atr 3b:ff:xx:xx {
    driver = "cardos";
    type = "1003";
}

La riga type 1003 definisce la versione della carta. Da quello che ho letto
1003 dovrebbe andare bene per le carte 4.2C.

Fatto questo mi aspettavo di vedere dei progressi, ma purtroppo qualche
pezzo del puzzle manca ancora, infatti firefox non riconosce mai la
scheda come presente e inoltre dando il comando:
$ pkcs11-tool -I
Ci sono un sacco di errori in output:
[opensc-pkcs11] card-cardos.c:259:cardos_check_sw: file not found
[opensc-pkcs11] iso7816.c:457:iso7816_select_file: returning with: File not
found
[opensc-pkcs11] card-cardos.c:435:cardos_select_file: returning with: File
not found
[opensc-pkcs11] card.c:554:sc_select_file: returning with: File not found
[opensc-pkcs11] pkcs15-postecert.c:337:sc_pkcs15emu_postecert_init: Failed
to initialize Postecert and Cnipa emulation: Unsupported card
[opensc-pkcs11] card-cardos.c:259:cardos_check_sw: file not found
[opensc-pkcs11] iso7816.c:457:iso7816_select_file: returning with: File not
found
[opensc-pkcs11] card-cardos.c:435:cardos_select_file: returning with: File
not found
[opensc-pkcs11] card.c:554:sc_select_file: returning with: File not found
[opensc-pkcs11] card-cardos.c:259:cardos_check_sw: file not found
[opensc-pkcs11] iso7816.c:462:iso7816_select_file: returning with: File not
found
[opensc-pkcs11] card-cardos.c:435:cardos_select_file: returning with: File
not found
[opensc-pkcs11] card.c:554:sc_select_file: returning with: File not found
[opensc-pkcs11] pkcs15.c:799:sc_pkcs15_bind: returning with: Unsupported
card
Cryptoki version 2.20
Manufacturer OpenSC (www.opensc-project.org)
Library smart card PKCS#11 API (ver 0.0)

Per il momento sono arrivato qui. Il fatto che venga citato postecert
nell'output mi fa essere ottimista che sia un errore da poco. Se ci saranno
progressi vi terrò informati, nel frattempo se qualcuno più esperto avesse
qualche idea, sono a disposizione!

Buon fine settimana!
Daniele

P.S. Sono consapevole che le prove che sto facendo potrebbero "bruciare" la
mia carta, chiunque sia interessato a testare strade alternative allo stack
fornito ufficialmente dalla provincia corre lo stesso rischio... Non invito
nessuno a farlo e non posso dare garanzie che quanto scritto già in questo
post non danneggi irrimediabilmente la carta.

Ciao,

Ci sono un sacco di errori in output:
[opensc-pkcs11] card-cardos.c:259:cardos_check_sw: file not found

forse l'avevi gia` trovato, ma su opensc-devel ne discutevano
proprio della CNS - prova a cercare "cns" in questa pagina...

http://www.opensc-project.org/pipermail/opensc-devel/2010-December/015433.html

Bye,
Chris.

http://www.opensc-project.org/pipermail/opensc-devel/2010-December/015433.html

uno su`, ovviamente:
http://www.opensc-project.org/pipermail/opensc-devel/2010-December/

Bye,
Chris.

io l'ho provata con opensc e funziona
ecco alcune novitá dal lug di Trento:

ciao
/roby

Roberto Palmarin writes:

io l'ho provata con opensc e funziona
ecco alcune novitá dal lug di Trento:

Molto interessante! Grazie a tutti per i link e le dritte.

ciao
/roby

Ciao,
DAniele

Ciao Daniele,

ti chiedo scusa ma sono curioso di capire una cosa .... che dati ottieni
"leggendo" la carta?
Cioè, comprendo la tua curiosità ma qual'è il tuo obbiettivo di
quest'esperimento?

Forse mi sono perso dei "pezzi" di mail .... :slight_smile:

Ciao!
Daniel

Ciao Daniele,

ti chiedo scusa ma sono curioso di capire una cosa .... che dati
ottieni
"leggendo" la carta?
Cioè, comprendo la tua curiosità ma qual'è il tuo obbiettivo di
quest'esperimento?

Forse mi sono perso dei "pezzi" di mail .... :slight_smile:

Ciao!
Daniel

Ciao,

se ho capito bene, si tratterebbe soltanto di vedere se si riesce a
usare
la carta nel suo uso di "authentication token" usando *SOLO* il software
della proprio distro (*).

Il vantaggio sarebbe quello di non essere dipendente dalle librerie
messe
a dispozione della provincia (che magari funzionano benissimo, ma che
comunque non si sa se saranno sempre aggiornate in futuro ecc...).

Daniele mi corregga se ho malinterpretato le sue intenzioni (e se mi
rivolge ancora la parola dopo il trolling a pie di pagina :wink:

Bye,
Chris.

(*) Ciao Daniele, come sta l'altro utente Debian? Vi vedete ogni
tanto :stuck_out_tongue:

Chris Mair wrote:

(*) Ciao Daniele, come sta l'altro utente Debian?

Sto bene, grazie per l'interessamento. :slight_smile:

Cheers
Thomas

Chris Mair <chris(a)1006.org> ha scritto:

Ciao Daniele, > > ti chiedo scusa ma sono curioso di capire una cosa .... che dati > ottieni > "leggendo" la carta? > Cioè, comprendo la tua curiosità ma qual'è il tuo obbiettivo di > quest'esperimento? > > Forse mi sono perso dei "pezzi" di mail .... :slight_smile: > > Ciao! > Daniel Ciao, se ho capito bene, si tratterebbe soltanto di vedere se si riesce a usare la carta nel suo uso di "authentication token" usando *SOLO* il software della proprio distro (*). Il vantaggio sarebbe quello di non essere dipendente dalle librerie messe a dispozione della provincia (che magari funzionano benissimo, ma che comunque non si sa se saranno sempre aggiornate in futuro ecc...). Daniele mi corregga se ho malinterpretato le sue intenzioni (e se mi rivolge ancora la parola dopo il trolling a pie di pagina :wink: Bye, Chris. (*) Ciao Daniele, come sta l'altro utente Debian? Vi vedete ogni tanto :-P_____________________________________________

http://www.lugbz.org/mailman/listinfo/lugbz-list

Ciao!

L'interpretazione di Chris è corretta, vorrei evitare di avere troppi "blob " sul mio sistema. Inoltre avere uno stack di software libero (aiuta a) garantire che si possa usare la tessera anche su architetture non-intel. Tutte cose importanti per noi pochi utenti Debian rimasti :slight_smile:
Scherzo, so che sono cose importanti per tutti noi della lista!

Ciao,
Daniele

P.s. non ho ancora provato il funzionamento della tessera perché sono in attesa del pin e del puk ...

-- Inviato dal mio cellulare Android con K-9 Mail.

attachment.htm (1.93 KB)