opensignature-devel Mailing List for Opensignature
Status: Alpha
Brought to you by:
aiacono
You can subscribe to this list here.
2004 |
Jan
|
Feb
|
Mar
|
Apr
|
May
|
Jun
|
Jul
|
Aug
|
Sep
|
Oct
(2) |
Nov
(4) |
Dec
(4) |
---|---|---|---|---|---|---|---|---|---|---|---|---|
2005 |
Jan
(2) |
Feb
(5) |
Mar
(18) |
Apr
(6) |
May
(1) |
Jun
(2) |
Jul
|
Aug
|
Sep
(3) |
Oct
|
Nov
(3) |
Dec
(5) |
2006 |
Jan
(1) |
Feb
(2) |
Mar
|
Apr
|
May
(1) |
Jun
(1) |
Jul
(2) |
Aug
(3) |
Sep
(4) |
Oct
(19) |
Nov
|
Dec
|
2007 |
Jan
|
Feb
|
Mar
|
Apr
|
May
|
Jun
|
Jul
(1) |
Aug
|
Sep
(6) |
Oct
|
Nov
|
Dec
|
2008 |
Jan
|
Feb
|
Mar
(6) |
Apr
|
May
(2) |
Jun
|
Jul
|
Aug
|
Sep
|
Oct
(3) |
Nov
(12) |
Dec
(3) |
2009 |
Jan
|
Feb
|
Mar
|
Apr
|
May
|
Jun
|
Jul
(2) |
Aug
|
Sep
|
Oct
|
Nov
|
Dec
|
2010 |
Jan
|
Feb
(3) |
Mar
|
Apr
(1) |
May
(2) |
Jun
(1) |
Jul
|
Aug
|
Sep
|
Oct
|
Nov
|
Dec
|
2011 |
Jan
|
Feb
|
Mar
(1) |
Apr
|
May
|
Jun
|
Jul
(1) |
Aug
(2) |
Sep
|
Oct
|
Nov
|
Dec
|
2012 |
Jan
|
Feb
(4) |
Mar
(3) |
Apr
|
May
(1) |
Jun
(1) |
Jul
|
Aug
|
Sep
(1) |
Oct
(1) |
Nov
|
Dec
|
2014 |
Jan
|
Feb
|
Mar
|
Apr
(20) |
May
(2) |
Jun
(3) |
Jul
|
Aug
|
Sep
|
Oct
|
Nov
|
Dec
(1) |
2016 |
Jan
|
Feb
|
Mar
|
Apr
|
May
(1) |
Jun
|
Jul
|
Aug
|
Sep
(3) |
Oct
|
Nov
|
Dec
|
From: Roberto R. <ro...@re...> - 2016-09-08 05:04:03
|
Il 07 settembre 2016 15:16:31 CEST, resoli <re...@us...> ha scritto: >varianti della bit4ipki.dll (per windows) o libbit4ipki.dll (per >linux). Errata corrige: varianti della bit4ipki.dll (per windows) o libbit4ipki.so (per linux). rob |
From: resoli <re...@us...> - 2016-09-07 13:34:00
|
Il 07/09/2016 12:57, Luca Graziani OAR ha scritto: > Buongiorno, Salve > sono un utente Linux e stavo cercando un programma java per firmare > digitalmente PDF. Ho trovato il vostro OpenSign Il nome corretto è OpenSignPDF, che è uno degli applicativi del progetto Opensignature. > per usarlo con la > tessera sanitaria abilitata ai servizi della regione Toscana. Le tessere sanitarie nazionali in generale non hanno coppie di chiavi pensate per la firma di documenti, ma pittosto per l'identificazione (ad esempio con SSL). Naturalmente si possono ignorare gli attributi d'uso dei certificati di identificazione (che *non* hanno il flag di nonRepudiation impostato), ma non si tratta certo di una buona prassi. Ciò non toglie che su queste carte possa essere installato anche un filesystem di firma, cosa che credo non venga fatta sulle tessere sanitarie; non conosco però la situazione della Toscana. > Il mio > sistema e´ configurato correttamente e uso gia´ la tessera con firefox. Cioè per identificazione, ok. Che libreria ha configurato su ffox? Se si tratta della libreria libera del progetto opensc (che è la scelta migliore in assoluto per l'identificazione, dato che supporta TUTTE le CNS), purtroppo non va bene per la firma. Trattasi di un caso classico di vendor lock-in. > Ho istallato il vostro programma e si avvia correttamente ma non riesco > a capire quale sia il valore esatto della libreria incryptoki2.dll la libreria è solo un defaut, che aveva buone probabilità di funzionare qualche anno fa, ora praticamente tutte le librerie PKCS11 (proprietarie, ovviamente :-( ) per le carte di firma italiane sono varianti della bit4ipki.dll (per windows) o libbit4ipki.dll (per linux). La cosa cambia per le Tessere Sanitarie comunque (ci sono carte di Poste con chip siemens, e almeno un altro paio di triplette modello/chipmaker/certificatore a seconda di chi si è aggiudicato il lotto a livello nazionale. Salve, Roberto Resoli |
From: Luca G. O. <luc...@oa...> - 2016-09-07 09:10:54
|
Buongiorno, sono un utente Linux e stavo cercando un programma java per firmare digitalmente PDF. Ho trovato il vostro OpenSign per usarlo con la tessera sanitaria abilitata ai servizi della regione Toscana. Il mio sistema e´ configurato correttamente e uso gia´ la tessera con firefox. Ho istallato il vostro programma e si avvia correttamente ma non riesco a capire quale sia il valore esatto della libreria incryptoki2.dll suggerita immagino in configurazione Windows. Grazie mille per ogni aiuto, Luca Graziani -- *Luca Graziani (Room 30)* Alt Lang version /*********************************************** * INAF OAR, Astronomical Observatory of Rome * * Via di Frascati, 33. * * 00078 Monte Porzio Catone, Rome/Italy * * Room: 30 * * Ph: +390694286494 * * Fax: * * ------------------------------------------------------------ * * E-Mail@Arcetri: gra...@ar... * * E-Mail@MaxPlanck: lg...@mp... * * E-Mail@OAR: luc...@oa... * * E-Mail@OAR: luc...@oa... * * ------------------------------------------------------------ * * Skype: lgmaxplanck * * ------------------------------------------------------------ * * Mob. Phone: 0039-3494008063 * * Firenze (Home): 0039-055216327 * * ------------------------------------------------------------ * * ------------------------------------------------------------ * * All the problems of the world could be settled easily * * if men were only willing to think. * * * * Thomas J. Watson. (IBM’s founder) * ***********************************************/ |
From: Valerio B. <boz...@ed...> - 2016-05-19 18:27:56
|
Salve a tutti! Come mi compilo da solo le librerie in /lib? -- Valerio Bozzolan Email sent from Android (CyanogenMod) using K-9 Mail. http://boz.reyboz.it |
From: cupatonet <cup...@ya...> - 2014-12-23 09:32:09
|
http://www.lappartementbyalexandre.fr/ftraohqt/sqlmjojkfqyxwwjkimc.axaqkucnbskgl cup...@ya... |
From: Fulvio P. <ful...@li...> - 2014-06-17 10:25:22
|
ciao. premesso che non so se questa lista sia il luogo adatto per le domande che seguono, non avendo trovato strade alternative, provo a postare qui. sto provando ad installare il vostro pacchetto opensignature_0.2.0-2.deb sulla mia debian wheezy, ma ho dei problemi con le dipendenze: root@pizzi:~# dpkg -i /home/fulvio/Scaricati/opensignature_0.2.0-2\(1\).deb Selezionato il pacchetto opensignature non precedentemente selezionato. (Lettura del database... 284010 file e directory attualmente installati.) Estrazione di opensignature (da .../opensignature_0.2.0-2(1).deb)... dpkg: problemi con le dipendenze impediscono la configurazione di opensignature: opensignature dipende da libopensc2; comunque: Il pacchetto libopensc2 non è installato. opensignature dipende da libssl0.9.8; comunque: Il pacchetto libssl0.9.8 non è installato. .... libssl per wheezy è alla vesrione libssl1.0.0 anziché 0.9.8. libopensc2 non è nella distribuzione dove è sostituito da opensc: root@pizzi:~# installa libopensc2 Lettura elenco dei pacchetti... Fatto Generazione albero delle dipendenze Lettura informazioni sullo stato... Fatto Il pacchetto libopensc2 non ha versioni disponibili, ma è nominato da un altro pacchetto. Questo potrebbe indicare che il pacchetto è mancante, obsoleto oppure è disponibile solo all'interno di un'altra sorgente Tuttavia questi pacchetti lo sostituiscono: opensc avete idea di come potrei risolvere? grazie per la cortese attenzione e buona giornata. fulvio pizzigoni |
From: Sandro S. <st...@ke...> - 2014-06-05 13:57:22
|
On Thu, Jun 05, 2014 at 01:58:42PM +0200, Roberto Resoli wrote: > Test, ignore. Message received. Did you get Alessandro's mail from May 29 ? Is this mailing list in italian or english ? --strk; |
From: Roberto R. <re...@us...> - 2014-06-05 11:58:51
|
Test, ignore. rob |
From: Sandro S. <st...@ke...> - 2014-05-29 12:48:10
|
On Mon, Apr 28, 2014 at 07:11:40PM +0200, antonio wrote: > Il 28/04/2014 10:00, Sandro Santilli ha scritto: > > Antonio, ho visto che c'e' un mirror ufficiale del codice > > sotto github, hai mica anche tu la tua modifica sotto git > > per semplificarne l'ottenimento e la manutenzione ? > > Buona idea Sandro, > > ho creato un fork di openssl così abbiamo la possibilità > di migliorare la patch > > https://github.com/opensignature/openssl/tree/myChanges Non ho ancora avuto tempo di guardarmi la cosa, ma includo Alessandro, anche lui in cerca di aiuto con le maledette firme digitali legali italiane... PS: entrambi abbiamo inviato mail alla lista che risultano in coda di moderazione, potete controllare ? --strk; |
From: Alessandro P. <apa...@gm...> - 2014-05-29 08:09:26
|
Ciao a tutti! Spero che usare l'italiano sia ok, altrimenti ditemelo... sono uno degli sfortunati cittadini costretti a dotarsi di firma digitale, ho optato per quella fornita da infocamere (la ArubaKey) [ 4183.271297] usb 1-4.1.2.2: New USB device found, idVendor=2021, idProduct=0002 [ 4183.271303] usb 1-4.1.2.2: New USB device strings: Mfr=1, Product=2, SerialNumber=0 [ 4183.271307] usb 1-4.1.2.2: Product: HKey [ 4183.271311] usb 1-4.1.2.2: Manufacturer: AK910 Prima di passare a da Ubuntu 12.04 a 14.04 64bit, ero riuscito (con una buona dose di blasfemia) a farla funzionare con il sw fornito sulla chiavetta (opportunamente patchato per il noto path della home del sig. Giuseppe). Ora non funziona più nulla, anche perchè non c'è più il metapacchetto che installava tutte le librerie a 32bit ed è diventato decisamente complicato installarle in altro modo. Ho fatto vari tentativi, tra cui questo che mi pareva molto convincente e utilizza lo stesso hardware: http://www.campana.vi.it/software/linux/cns Mi pianto quasi subito, in quanto anche usando delle librerie a 64 bit x64/libbit4ipki.so prelevate non ricordo più dove (credo da un pacchetto di Dike per Linux a 64bit) pare che non veda gli slot: $ pkcs11-tool --module x64/libbit4ipki.so -IOLM Cryptoki version 2.20 Manufacturer bit4id srl Library bit4id PKCS#11 (ver 1.1) Available slots: Slot 0 (0x0): Broadcom Corp 5880 [Contacted SmartCard] (0123456789ABCD) 00 00 (empty) No slot with a token was found. In realtà un sistema per vedere gli slot c'è ma è macchinoso e non facilmente riproducibile, anche se può essere un indizio utile: 1. inserire la AK 2. montarla 3. eseguire il launcher.bat presente nella cartella della chiavetta (per me è: /media/username/ARUBAKEY/ArubaKeyLinux ) 4. si apre la toolbar in QT, cliccare su "utilità" 5. cliccare su "Auto Diagnostica" ignorare gli errori, eventualmente ripetere il punto 5 un paio di volte dopodichè: magia! $ pkcs11-tool --module x64/libbit4ipki.so -IOLM Cryptoki version 2.20 Manufacturer bit4id srl Library bit4id PKCS#11 (ver 1.1) Available slots: Slot 0 (0x0): Broadcom Corp 5880 [Contacted SmartCard] (0123456789ABCD) 00 00 (empty) Slot 1 (0x1): AK910 CKey 01 00 token label : CNS token manufacturer : ST Incard token model : T&S DS/2048 (LB) token flags : rng, login required, PIN initialized, token initialized hardware version : 0.0 firmware version : 0.0 serial num : 7420091200050090 Using slot 1 with a present token (0x1) Supported mechanisms: RSA-PKCS, keySize={1024,2048}, hw, decrypt, sign SHA1-RSA-PKCS, keySize={1024,2048}, hw, sign SHA-1, digest RSA-X-509, keySize={1024,2048}, hw, decrypt, sign Certificate Object, type = X.509 cert label: CNS User Certificate ID: 434e5330 Data object 1002 label: 'PDATA' application: 'PDATA' app_id: 2.0.68.65.84.65 flags: modifiable Public Key Object; RSA 1024 bits label: CNS User Public Key ID: 434e5330 Usage: encrypt, verify Certificate Object, type = X.509 cert label: DS User Certificate0 ID: 445330 Public Key Object; RSA 1024 bits label: DS User Public Key0 ID: 445330 Usage: encrypt, verify Quindi, direi che il tool di diganostica della chiavetta manda qualche messaggio al'HW della chiavetta e attiva qualcosa... Proseguendo, riesco a vedere il certificato (openssl che uso è quella già patchata cades): $ openssl-1.0.1g/apps/openssl x509 -in cert.pem -text Certificate: Data: Version: 3 (0x2) Serial Number: ........................ Signature Algorithm: sha256WithRSAEncryption Issuer: C=IT, O=ArubaPEC S.p.A., OU=Certification AuthorityC, CN=ArubaPEC S.p.A. NG CA 3 .... E qui purtroppo mi pianto definitivamente: x64/openssl-1.0.1g/apps/openssl OpenSSL> engine -t dynamic -pre SO_PATH:/usr/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:x64/libbit4ipki.so (dynamic) Dynamic engine loading support [Success]: SO_PATH:/usr/lib/engines/engine_pkcs11.so [Success]: ID:pkcs11 [Success]: LIST_ADD:1 [Success]: LOAD [Success]: MODULE_PATH:x64/libbit4ipki.so Loaded: (pkcs11) pkcs11 engine openssl (lock_dbg_cb): already locked (mode=9, type=30) at eng_list.c:284 openssl (lock_dbg_cb): not locked (mode=10, type=30) at eng_init.c:131 [ available ] OpenSSL> cms -nosmimecap -md sha256 -nodetach -binary -cades -outform DER -sign -signer x64/cert.pem -inkey 123456789 -keyform engine -in x64/test.txt -out x64/test.p7m -engine pkcs11 engine "pkcs11" set. Found empty token; PKCS11_get_private_key returned NULL cannot load signing key file from engine 139860542318240:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:eng_pkey.c:126: unable to load signing key file error in cms Qualcuno ha qualche idea su come fare un passo avanti? Pare che il problema sia il fatto che nello slot 0 non c'è nulla e non c'è modo di dirgli che deve leggere lo slot 1. O forse non c'entra nulla... Comunque il primo problema da risolvere è quello di capire come "attivare" l chiavetta in modo che veda gli slot la procedura che ho descritto in precedenza è inaffidabile e macchinosa e sopratutto non "scriptable". -- Alessandro Pasotti w3: www.itopen.it |
From: resoli <re...@us...> - 2014-04-28 18:53:20
|
On 23 aprile 2014 20:35:33 CEST, antonio <ai...@te...> wrote: >Il 23/04/2014 10:00, resoli ha scritto: >> 1) L'applicazione della patch non va perfettamente liscia, >> ma innesca la richiesta di conferma (io ho risposto y) >> sul reversing di una patch precedente: ... >E' un messaggio fuorviante, non c'è nessuna patch precedente >applicata, l'errore è dovuto al fatto che i tre file sono dei >"symbolic link" di file presenti su altre directory. >Per evitare questi prompt è sufficiente applicare la patch in >questo modo: >patch -Np1 -r /dev/null < ../cades.patch Ah, benissimo >[ok i punti da 2 a 5] > >> 6) Noto con piacere che OpenSSL inserisce l'attributo "signingTime" >> nella busta >> CMS; questo aiuta a capire se il documento è valido o meno in caso di >> revoca o >> scadenza del certificato. >> Occorre però tenerlo presente, e farlo presente all'utente, dato che >si >> tratta >> di un attributo firmato e sul quale quindi il sottoscrittore si >impegna. >Qua la questione è un po' complessa. In effetti openssl cms ha >un parametro, -noattr, che permette di escludere l'attributo >"signingTime" e tutti gli altri (algoritmi supportati, ecc.). >In questo modo però non funzionerebbe neanche >id-aa-signingCertificateV2. Io credo che l'aggiunta dell'attributo data sia opportuno. Intendevo solo dire che per onestà verso l'utente la procedura di firma (quella che presumibilmente raccoglie le informazioni e poi lancia il comando di firma) dovrebbe semplicemente notificarlo. ciao, rob |
From: antonio <ai...@te...> - 2014-04-28 17:11:50
|
Il 28/04/2014 10:00, Sandro Santilli ha scritto: > Antonio, ho visto che c'e' un mirror ufficiale del codice > sotto github, hai mica anche tu la tua modifica sotto git > per semplificarne l'ottenimento e la manutenzione ? Buona idea Sandro, ho creato un fork di openssl così abbiamo la possibilità di migliorare la patch https://github.com/opensignature/openssl/tree/myChanges Ciao |
From: antonio <ai...@te...> - 2014-04-28 16:47:24
|
Il 28/04/2014 09:12, Pierluigi - Real.co ha scritto: > Avrei bisogno di un informazione se è possibile, qualche anno fà usavo il > programma opensignature con successo > sia per marcare che per firmare, adesso mi da un problema sul server > timestamp, ogni volta che imposto quello di "infocert "mi dice "out of rage > - > 1". Salve Pierluigi, puoi essere più preciso? A quale programma e a quale server in particolare ti riferisci? Antonio |
From: Sandro S. <st...@ke...> - 2014-04-28 08:00:18
|
Antonio, ho visto che c'e' un mirror ufficiale del codice sotto github, hai mica anche tu la tua modifica sotto git per semplificarne l'ottenimento e la manutenzione ? --strk; On Wed, Apr 23, 2014 at 08:35:33PM +0200, antonio wrote: > Il 23/04/2014 10:00, resoli ha scritto: > > 1) L'applicazione della patch non va perfettamente liscia, > > ma innesca la richiesta di conferma (io ho risposto y) > > sul reversing di una patch precedente: > > > > $ patch -p1 < ../cades.patch > > patching file include/openssl/cms.h > > Reversed (or previously applied) patch detected! Assume -R? [n] y > > patching file include/openssl/obj_mac.h > > Reversed (or previously applied) patch detected! Assume -R? [n] y > > patching file include/openssl/x509.h > > Reversed (or previously applied) patch detected! Assume -R? [n] y > E' un messaggio fuorviante, non c'è nessuna patch precedente > applicata, l'errore è dovuto al fatto che i tre file sono dei > "symbolic link" di file presenti su altre directory. > Per evitare questi prompt è sufficiente applicare la patch in > questo modo: > patch -Np1 -r /dev/null < ../cades.patch > > [ok i punti da 2 a 5] > > > 6) Noto con piacere che OpenSSL inserisce l'attributo "signingTime" > > nella busta > > CMS; questo aiuta a capire se il documento è valido o meno in caso di > > revoca o > > scadenza del certificato. > > Occorre però tenerlo presente, e farlo presente all'utente, dato che si > > tratta > > di un attributo firmato e sul quale quindi il sottoscrittore si impegna. > Qua la questione è un po' complessa. In effetti openssl cms ha > un parametro, -noattr, che permette di escludere l'attributo > "signingTime" e tutti gli altri (algoritmi supportati, ecc.). > In questo modo però non funzionerebbe neanche > id-aa-signingCertificateV2. > > Comunque la patch l'ho scritta in fretta (solo perchè volevo > produrre velocemente un file compatibile CaDES) e andrebbe > sistemata. > Intanto bisognerebbe spostare il codice da apps/cms.c a > crypto/cms/cms_sd.c e poi prevedere i casi, come quello da te > esposto. > > Ciao > > ------------------------------------------------------------------------------ > Start Your Social Network Today - Download eXo Platform > Build your Enterprise Intranet with eXo Platform Software > Java Based Open Source Intranet - Social, Extensible, Cloud Ready > Get Started Now And Turn Your Intranet Into A Collaboration Platform > http://p.sf.net/sfu/ExoPlatform > _______________________________________________ > Opensignature-devel mailing list > Ope...@li... > https://lists.sourceforge.net/lists/listinfo/opensignature-devel -- () Free GIS & Flash consultant/developer /\ http://strk.keybit.net/services.html -- what comes below this line is just spam, dont bother scrolling... still here ? |
From: Pierluigi - Real.co <pi...@re...> - 2014-04-28 07:28:11
|
Buon giorno, Avrei bisogno di un informazione se è possibile, qualche anno fà usavo il programma opensignature con successo sia per marcare che per firmare, adesso mi da un problema sul server timestamp, ogni volta che imposto quello di "infocert "mi dice "out of rage - 1". MONTELEONE PIERLUIGI REAL.CO S.R.L. Tel.011/081.20.09 Fax 011/074.31.82 pi...@re... www.real.co.it Informativa ex art. 13 D.lgs 196/03 su sito www.informativa196.it Comunichiamo che,ai sensi dell'Art. n.13 della Legge 196/03,i Vs. dati saranno utilizzati solo ed esclusivamente per le ns. comunicazioni commerciali. Per effetto dell'Art.n.7 della medesima,è Vs. diritto chiedere la rettifica o la cancellazione dei Vs. dati personali dal Ns. database , dandocene comunicazione via fax o via e-mail, specificando la ragione sociale per meglio identificare il nominativo da eliminare .. |
From: antonio <ai...@te...> - 2014-04-23 18:51:05
|
Il 23/04/2014 10:00, resoli ha scritto: > 1) L'applicazione della patch non va perfettamente liscia, > ma innesca la richiesta di conferma (io ho risposto y) > sul reversing di una patch precedente: > > $ patch -p1 < ../cades.patch > patching file include/openssl/cms.h > Reversed (or previously applied) patch detected! Assume -R? [n] y > patching file include/openssl/obj_mac.h > Reversed (or previously applied) patch detected! Assume -R? [n] y > patching file include/openssl/x509.h > Reversed (or previously applied) patch detected! Assume -R? [n] y E' un messaggio fuorviante, non c'è nessuna patch precedente applicata, l'errore è dovuto al fatto che i tre file sono dei "symbolic link" di file presenti su altre directory. Per evitare questi prompt è sufficiente applicare la patch in questo modo: patch -Np1 -r /dev/null < ../cades.patch [ok i punti da 2 a 5] > 6) Noto con piacere che OpenSSL inserisce l'attributo "signingTime" > nella busta > CMS; questo aiuta a capire se il documento è valido o meno in caso di > revoca o > scadenza del certificato. > Occorre però tenerlo presente, e farlo presente all'utente, dato che si > tratta > di un attributo firmato e sul quale quindi il sottoscrittore si impegna. Qua la questione è un po' complessa. In effetti openssl cms ha un parametro, -noattr, che permette di escludere l'attributo "signingTime" e tutti gli altri (algoritmi supportati, ecc.). In questo modo però non funzionerebbe neanche id-aa-signingCertificateV2. Comunque la patch l'ho scritta in fretta (solo perchè volevo produrre velocemente un file compatibile CaDES) e andrebbe sistemata. Intanto bisognerebbe spostare il codice da apps/cms.c a crypto/cms/cms_sd.c e poi prevedere i casi, come quello da te esposto. Ciao |
From: resoli <re...@us...> - 2014-04-23 08:00:34
|
Il 2014-04-22 23:08 antonio ha scritto: > Salve, > > qualche giorno fa ho inviato alla lista degli sviluppatori openssl una > piccola patch (v. > https://groups.google.com/forum/#!topic/mailing.openssl.dev/2E0bKpuKuTE > ) per poter firmare digitalmente un documento usando openssl in > conformità con le nuove specifiche CaDES. Questa è veramente una cosa notevole e utilissima, che dà una marcia in più al sw libero, pur nella dipendenza inevitabile (si vedano i messaggi recenti in lista) dalle implementazioni pkcs11 proprietarie. > In questo periodo però, dalle parti di Openssl, si sta cercando più di > mettere in sicurezza il codice che di implementare nuove "features". Già, immagino ci vorrà un po di tempo per essere presi in considerazione, anche se questa patch non riguarda certo una cosa delicata come l'implementazione di SSL/TLS. > Magari in questa lista c'è qualcuno più interessato all'argomento e se > ne può parlare per migliorare/diffondere la patch. Sicuramente lo farò. > Ho scritto delle istruzioni veloci sull'uso di openssl per firmare, le > trovate qui http://www.blia.it/firmadigitale/index.php. Premesso che sono riuscito a utilizzare perfettamente il nuovo flag -cades introdotto da Antonio, ecco le mie note in merito: N.B.: Nel mio caso ho usato una distribuzione Ubuntu 12.04 amd64 1) L'applicazione della patch non va perfettamente liscia, ma innesca la richiesta di conferma (io ho risposto y) sul reversing di una patch precedente: $ patch -p1 < ../cades.patch patching file apps/cms.c patching file crypto/cms/cms.h patching file crypto/objects/obj_dat.h patching file crypto/objects/objects.txt patching file crypto/objects/obj_mac.h patching file crypto/objects/obj_mac.num patching file crypto/x509/x509.h patching file crypto/x509v3/v3_purp.c patching file include/openssl/cms.h Reversed (or previously applied) patch detected! Assume -R? [n] y patching file include/openssl/obj_mac.h Reversed (or previously applied) patch detected! Assume -R? [n] y patching file include/openssl/x509.h Reversed (or previously applied) patch detected! Assume -R? [n] y 2) Build Una volta patchati i sorgenti, ho semplicemente usato la sequenza di default: ./config make sudo make install Questo ha come seguenza la modifica allo script descritta al punto 4) 3) Nel caso di debian e derivate, l'engine openssl per pkcs11, che viene sviluppato nell'ambito del progetto OpenSC, è contenuto in un pacchetto separato: sudo apt-get install libengine-pkcs11-openssl In questo caso il pacchetto posiziona la libreria nella posizione: usr/lib/ssl/engines/engine_pkcs11.so 4) Per quanto riguarda lo script bash, dato che ho scelto di installare la versione patchata di openssl nella posizione di default /usr/local/ssl/ e di non sostituire quella già presente pacchettizzata da Ubuntu, ho solo esplicitato il path all'eseguibile di openssl. Forse nelle istruzioni andrebbe esplicitato che inkey è l'ID dell'oggetto chiave privata da usare per la firma. #!/bin/bash OPENSSL_CONF=./openssl.cnf export OPENSSL_CONF /usr/local/ssl/bin/openssl cms -nosmimecap -md sha256 -nodetach -binary -cades -outform DER -sign -signer cert.pem \ -inkey 445330 -keyform engine -in $1 -out $1.p7m -engine pkcs11 5) Nella configurazione di openssl ho adattato solo la posizione della critptoki proprietaria (dato che "dinamic path" era già a posto), $ cat openssl.cnf openssl_conf = openssl_init [ openssl_init ] engines = engine_section [ engine_section ] pkcs11 = pkcs11_section [ pkcs11_section ] engine_id = pkcs11 dynamic_path = /usr/lib/ssl/engines/engine_pkcs11.so MODULE_PATH = /usr/lib/libbit4ipki.so Non ho trovato un modo per indicare uno specifico lettore a engine_pkcs11.so; nel mio caso la firma falliva finchè non ho capito che veniva preso in considerazione solo il primo lettore rilevato (che non aveva carte inserite). 6) Noto con piacere che OpenSSL inserisce l'attributo "signingTime" nella busta CMS; questo aiuta a capire se il documento è valido o meno in caso di revoca o scadenza del certificato. Occorre però tenerlo presente, e farlo presente all'utente, dato che si tratta di un attributo firmato e sul quale quindi il sottoscrittore si impegna. ciao, rob |
From: antonio <ai...@te...> - 2014-04-22 21:23:44
|
Salve, qualche giorno fa ho inviato alla lista degli sviluppatori openssl una piccola patch (v. https://groups.google.com/forum/#!topic/mailing.openssl.dev/2E0bKpuKuTE ) per poter firmare digitalmente un documento usando openssl in conformità con le nuove specifiche CaDES. In questo periodo però, dalle parti di Openssl, si sta cercando più di mettere in sicurezza il codice che di implementare nuove "features". Magari in questa lista c'è qualcuno più interessato all'argomento e se ne può parlare per migliorare/diffondere la patch. Ho scritto delle istruzioni veloci sull'uso di openssl per firmare, le trovate qui http://www.blia.it/firmadigitale/index.php. Ciao, Antonio p.s. ho scritto in italiano perchè quasi tutti gli iscritti a questa lista sono italiani, ovviamente possiamo "switchare" in inglese in qualsiasi momento. |
From: Roberto R. <re...@us...> - 2014-04-17 08:11:04
|
Il 17/04/2014 10:08, Roberto Resoli ha scritto: >> Can you tell a couple of drivers (PKCS#11 modules) which are SM-based >> >for sure? I'd like to keep track of this condition. > Every one I know: bit4i* family, aes* family , etc. sorry, I meant ase (athena), not aes . rob |
From: Roberto R. <re...@us...> - 2014-04-17 08:08:34
|
Il 16/04/2014 14:48, lists ha scritto: .. > I don't get the point; I think that we're talking about different issues. > I mean that there are Italian signature cards which are not SM-based, > and I think it is the norm, not the exception. I'm not aware of any signature token carrying an Italian CA qualified signature, which is not SM protected. I would be very happy to buy one of these, if you can be more specific. > But it's possible that I've always been provided with unusual cards or > that I didn't realize that they were SM-based (I rely on the vendor > drivers almost all of the times). Ok, take a look at the APDU level ... cns_functional_specification_1.1.6_02042011.pdf, chapter 12. "The supported APDU Class byte values are: - X0h – No Secure Messaging - XCh - 3DES_CBC or MAC3 are performed on the transmitted data using symmetric keys. The command header is authenticated if MAC is used. " So, look for XC in the CLA byte; you will discover that SM is used: - In APDUS for PIN providing - In Signature APDUS > Can you tell a couple of drivers (PKCS#11 modules) which are SM-based > for sure? I'd like to keep track of this condition. Every one I know: bit4i* family, aes* family , etc. bye, rob |
From: lists <li...@ru...> - 2014-04-16 12:46:06
|
On 04/16/2014 10:06 AM, Roberto Resoli wrote: > Il 15/04/2014 20:51, lists ha scritto: >> On 04/15/2014 09:34 AM, Roberto Resoli wrote: >>> There are excellent FLOSS PKCS11 implementations, but unfortunately >>> the "italian way" of providing a signature device is to lock-in to >>> proprietary library that comes along with the device. Lock-in is based >>> on Secure Messaging symmetric keys embedded in the PKCS11 library. No >>> key, no signature! >> Please, take note that this is only true for CNS cards (which have a >> specific use and can also be used for authentication on public >> administration servers), usually not true for plain-vanilla signature cards. > Not at all. > > CNS are special only because the Authentication function you mention is > very well specified: > > http://www.agid.gov.it/sites/default/files/documentazione_trasparenza/cns_functional_specification_1.1.6_02042011.pdf > > CNS filesystem is throughly specified, and its usage is *not* SM > protected. It's perfectly possible (and recommendable) to use a CNS card > for authentication with opensc open source library (opensc-pkcs11), no > matter who issued it. > > Unfortunately, the Signature filesystem (it's an "additional service" > from CNS spec. point of view) is not specified at all; so from the > signature point of view a CNS is a locked-in card as every other one. > > rob I don't get the point; I think that we're talking about different issues. I mean that there are Italian signature cards which are not SM-based, and I think it is the norm, not the exception. But it's possible that I've always been provided with unusual cards or that I didn't realize that they were SM-based (I rely on the vendor drivers almost all of the times). Can you tell a couple of drivers (PKCS#11 modules) which are SM-based for sure? I'd like to keep track of this condition. Thanks Umberto |
From: Roberto R. <re...@us...> - 2014-04-16 08:06:44
|
Il 15/04/2014 20:51, lists ha scritto: > On 04/15/2014 09:34 AM, Roberto Resoli wrote: >> There are excellent FLOSS PKCS11 implementations, but unfortunately >> the "italian way" of providing a signature device is to lock-in to >> proprietary library that comes along with the device. Lock-in is based >> on Secure Messaging symmetric keys embedded in the PKCS11 library. No >> key, no signature! > > Please, take note that this is only true for CNS cards (which have a > specific use and can also be used for authentication on public > administration servers), usually not true for plain-vanilla signature cards. Not at all. CNS are special only because the Authentication function you mention is very well specified: http://www.agid.gov.it/sites/default/files/documentazione_trasparenza/cns_functional_specification_1.1.6_02042011.pdf CNS filesystem is throughly specified, and its usage is *not* SM protected. It's perfectly possible (and recommendable) to use a CNS card for authentication with opensc open source library (opensc-pkcs11), no matter who issued it. Unfortunately, the Signature filesystem (it's an "additional service" from CNS spec. point of view) is not specified at all; so from the signature point of view a CNS is a locked-in card as every other one. rob |
From: Daniele B. <da...@el...> - 2014-04-16 07:49:42
|
2014-04-15 9:34 GMT+02:00 Roberto Resoli <re...@us...>: > [...] > I want to state very clearly that we all depend on proprietary > libraries, that cannot be freely distributed. So every FLOSS digital > signature project has to face this situation: the italian user has to > independently get the library from the manufacturer, in order for the > software to work. > > Generally speaking, for the user it's matter to ask for the library > directly to the manufacturer, which should provide it at no cost. You are right, that's the first limitation when trying to build something "free" and "easy to use". > [...] > There should be other projects around, but I don't know if their current > state. I can suggest you (we will do the same) to take into > consideration the DSS project on JoinUp european forge site: > > https://joinup.ec.europa.eu/software/sd-dss/description I briefly took a look at that website, any download seems locked/unavailable. > [...] >> The first and very simple tweak I made was an additional checkbox to set >> the visibility of the signature on/off. > > That was contributed to the project some time ago, but is still not > integrated; would you like to work on this? I have a small patch that should be enough IMHO; indeed, I would like to work on the command line interface and the cross-platform feature. > [...] Have a nice day! D |
From: lists <li...@ru...> - 2014-04-15 19:06:32
|
On 04/15/2014 09:34 AM, Roberto Resoli wrote: > There are excellent FLOSS PKCS11 implementations, but unfortunately > the "italian way" of providing a signature device is to lock-in to > proprietary library that comes along with the device. Lock-in is based > on Secure Messaging symmetric keys embedded in the PKCS11 library. No > key, no signature! Please, take note that this is only true for CNS cards (which have a specific use and can also be used for authentication on public administration servers), usually not true for plain-vanilla signature cards. Best regards Umberto Rustichelli |
From: Daniele B. <da...@el...> - 2014-04-15 12:25:12
|
Hello, this morning I tried to run opensignpdf on MacOSX 10.9 but I had some troubles. 1 - the opensignpdf package does not include the library for mac, so I downloaded the IAIK lib from jce.iaik.tugraz.at 2 - added a macos folder and modified the sign.sh script in order to include the library path if `uname` is "Darwin" 3 - got this exception when trying to sign: 2014-04-15 12:04:25 MyPkcs11 [DEBUG] [initSession]:: Active slots: 1 Assertion failed: (jStringDecoderClass != 0), function ckUTF8CharArrayToJCharArray, file ../../common/pkcs11wrapper.c, line 4778 Digging the pkcs11wrapper.c code and header I found the reason: a missing file (iaik/pkcs/pkcs11/wrapper/PKCS11UTIL.class) in the original jar archive. So I recompiled and repacked the jar (with a simple ANT task), everything is OK now. If you want to recompile the native code (this is NOT necessary) you must edit the Makefile on newer versions of OSX: - remove -isysroot/ option (the compiler will find headers it by itself) - adjust -DMACOSX_DEPLOYMENT_TARGET=10.x - remove unused ARCH (ppc for example) For Your Information... |