Il 17/09/20 11:48, Giovanni Biscuolo ha scritto:
Buongiorno Antonio,
... rispondo alla parte successiva, per quanto posso.
Comunque da quello che leggo mi pare che LibreOffice sia in grado di firmare XAdES gli ODF e OOXML, PAdES i PDF. Non ho idea se supporta anche CAdES e se non lo supporta del perché.
perchè supporta il proprio formato primario (XML) e di recente, con un'ottima idea, la possibilità di esportare in PDF(/A preferibilmente) e firmare lo stesso. Non so se la firma attuale in LibO sia XAdES o (come qualche anno fa) solo una generica XML signature.
Per me firmare PDF generati con altri strumenti sarebbe l'unico utilizzo di LibreOffice :-D
In alternativa, per firmare CAdES AFAIU gli utenti che volessero farlo con software libero su una distribuzione qualsiasi hanno a disposizione:
1. j4sign https://j4sign.sourceforge.io/ (grazie Roberto Resoli!) , che però non è "a portata di package manager"
grazie Giovanni :-) j4sign è prima di tutto un'api (in senso antico, un qualcosa linkabile da un applicativo), ma anche un'applet/webstart application immersa in un semplice applicativo web (servizio REST in arrivo ...). Esiste anche l'applicazione standalone, che si chiama Freesigner ed ha un installer multipiattaforma. N.B.: Freesigner funziona solo fino a Java 1.8, e richiede l'installazione di un pacchetto opzionale per il supporto token PKCS11 (smartcard o altro). j4sign è comunque legato alla disponibilità di una libreria proprietaria che implementi il Secure Messaging[a] necessario ad accedere alle funzioni di firma sul proprio token
2. OpenSSL ver. 3.0 https://www.openssl.org/ (grazie Blia.it! https://www.blia.it/firmadigitale/) che però ad oggi è ancora in versione Aplha 6
Ora, non vi è *assolutamente* alcun dubbio che il rilascio di OpenSSL ver. 3 renderà l'apposizione della firma CAdES e PAdES - https://www.blia.it/firmapdf/ - un gioco da ragazzi alla portata di qualsiasi script kiddie che voglia inventarsi laqualunque GUI o alla portata di TUTTI coloro che volessero aggiungere la funzione di firma digitale al proprio sistema di generazione dei documenti (io preferisco di gran lunga firmarli "a parte")… ma per adesso purtroppo è fuori dalla portata degli utenti (o almeno quelli che non sanno compilare o che non vogliono installare da Debian experimental).https://cardwerk.com/iso-7816-4-annex-f-use-of-secure-messaging/
Una volta sistemato questo rimarrà "solo" da sistemare la possibilità di usare qualsiasi smartcard o chiavetta USB col kernel linux mainline e *solo* software libero in userspace… io speriamo che me la cavo.
Una volta fatto questo finalmente la firma elettronica digitale sarà completamente liberata… tranne il piccolissimo dettaglio che tutto l'ambaradan di generazione delle chiavi per firmare ha dei buchi architetturali di sucurezza che consentono a chi ha suffciente potere di firmare digitalmente per conto di altri [1].
Purtroppo non è così. Anche openssl dipenderà da un'implementazione pkcs11 che utilizzi il secure messaging per le funzioni di firma. In sostanza si tratta di una chiave (in Italia classicamente una 3DES inserita nel binario della libreria pkcs11) con cui vengono crittate le APDU che sostanziano la firma. Naturalmente le chiavi potrebbero essere negoziate, come si fa con TLS, ma è troppo comodo avere un'insicurissimo vendor lock-in a portata di mano ... Tieni conto che di questa cosa parlavamo già nel 2008 nella ConfSL a Trento. Ma già, adesso c'è la "firma con SPID" ... ciao, rob [a] https://cardwerk.com/smart-card-standard-iso7816-4-section-5-basic-organizat...