In questa Guida spiegheremo come utilizzare safari e Chrome con il PST e cercheremo di fornire una utile guida su come configurare i differenti modelli di USB Key e di lettori di smart card sugli ultimi sistemi operativi Apple.
Il quadro generale dei sistemi operativi Apple
I vecchi sistemi operativi Apple (fino a MacOS X 10.7) utilizzavano un determinato modulo software, chiamato TokenD per far dialogare il sistema operativo e le connesse applicazioni con le smart card e i dispositivi analoghi (USB KEY contenenti certificati di autenticazione CNS). A partire da MacOS X 10.7 il modulo TokenD è divenuto deprecato (ossia sconsigliato, in quanto destinato ad essere sostituito da componenti più moderni ed avanzati).
Questo nuovo componente è ufficialmente sbarcato sui sistemi Apple con Mac OS Sierra (Mac OS X 10.12) ed è denominato CryptoTokenKit. Se siete interessati ad approfondire l’argomento, vi suggerisco questo interessante articolo di Ludovic Rousseau che spiega, da un punto di vista, prettamente tecnico le ragioni dell’introduzione di questo nuovo modulo.
Per quello che può interessare agli avvocati, posso dire che con il nuovo modulo CryptoTokenKit è, di fatto, cambiato il modo con cui il sistema operativo dialoga con le smart card, ma andiamo per gradi.
A partire dai successivi aggiornamenti dei sistemi Apple, il supporto al TokenD è, via via, scemato, fino ad essere completamente eliminato con Mac OS 11 Big Sur.
La domanda che potreste porvi è: Perché tutto ciò dovrebbe interessarci?
Vi pongo una contro domanda: Vi siete mai chiesti perché non riuscite ad accedere al portale dei servizi telematici (PST) utilizzando Chrome o Safari?
Ed ecco la risposta:
Perché il sistema Operativo non riesce ad accedere direttamente al certificato di autenticazione contenuto nel dispositivo esterno (USB Key ecc.)
E qui potreste obiettare, dicendo: Ma con Firefox, perché funziona allora?
Anche qui la risposta è presto detta: Firefox ha una sua infrastruttura specifica per accedere alle smart card tramite le impostazioni dei dispositivi di sicurezza che né Chrome né Safari hanno. Chrome e Safari, in estrema sintesi, vedono quello che vede il Sistema Operativo.
Cosa fare ?
In questa guida vi spiegherò come configurare alcuni dei lettori più comuni per l’accesso al PST con Safari e/o Chrome.
Prima di questo è bene introdurre due paroline magiche: CCID e HID. Quale è il loro significato e quale è il loro ruolo in questa storia?
Si tratta, molto semplicemente, di due distinti protocolli. Il Protocollo HID è quello tipico delle chiavette USB esterne (es. Arubakey, Namirial Key ecc.), quello CCID è un protocollo standard dei lettori di smart card.
Per chi volesse approfondire suggerisco di leggere le voci Wikipedia sui lettori HID e sui CCID.
C’è una grande differenza tra i due protocolli:
- nel primo caso (HID) il produttore del device deve fornire degli specifici driver per consentire l’interazione con il sistema operativo;
- nel secondo caso (CCID), si utilizza un protocollo standard, gestito nativamente dal Sistema Operativo, il che implica che non sarà necessario per il produttore fornire i propri specifici driver (i Sistemi Apple hanno dei moduli software interni che gestiscono autonomamente i dispositivi CCID).
Avete mai sentito parlare di Switch da HID a CCID?
Si tratta di specifici programmi predisposti dai produttori di dispositivi HID che ne consentono la trasformazione in lettore CCID e, quindi, teoricamente in grado di operare in modo automatico con il Sistema Operativo.
Ci siamo quasi….
A questo punto abbiamo illustrato tutte le premesse per arrivare a quello che più ci interessa, ossia configurare Chrome e Safari per accedere al PST.
Per raggiungere questo risultato con BIG SUR e CATALINA abbiamo bisogno di un lettore CCID e di un particolare software che consente alle applicazioni come Chrome e Safari di dialogare con le smart card.
Questo particolare software si chiama OPEN SC e potete scaricarlo gratuitamente da GitHub
Vi rimando all’ottima guida dell’Avv. Filippo Strozzi per la configurazione ed installazione di Open SC.
Io, invece, mi dedicherò all’altra problematica. Come capire se il proprio lettore è un CCID o HID ? e cosa fare?
La prima cosa da fare, è avviare il terminale (se non lo sapete, si trova nella cartella utilities) e digitare il comando:
opensc-tool -lIl programma restituirà la lista dei lettori di smart-card connessi al sistema. Nel mio caso, infatti, mi restituirà:
Ossia un lettore Gemalto PC Twin Reader, che poi corrisponde a questo dispositivo:
acquistabile su Amazon (al costo di circa 20 euro, per intenderci). Si tratta di un ottimo lettore, conforme allo standard CCID e che non presenta alcun tipo di problema di collegamento e funzionamento con i sistemi operativi Apple più recenti.
Per verificare che il sistema operativo riesca a dialogare con il lettore di smart card è necessario, sempre da terminale, lanciare il seguente ulteriore comando:
security list-smartcardsche restituisce questa stringa:
In questo caso il numero che inizia con 743001000… è il numero del certificato CNS, ciò significa che potrò tranquillamente accedere al PST con Chrome e Safari.
Esempio:
Et Voilà!
E se qualcosa dovesse andare storto?
Se per esempio l’output del comando security list-smartcards fosse no smartcards found, ciò potrebbe lasciar presumere un mancato riconoscimento del lettore da parte del Sistema Operativo.
Occorrerebbe verificare se quel produttore abbia pubblicato dei driver specifici (difficile) o dei moduli software per convertire il lettore da HID a CCID.
Di seguito, Vi indico una tabella (che sarà periodicamente aggiornata anche grazie alle segnalazioni dei colleghi) contenente sia i lettori nativi CCID e perfettamente testati e funzionanti, sia alcuni consigli su come configurare alcuni tra i lettori più comuni.
| Modello | Tipo lettore | Consigli | Risultato |
| Gemalto PC Twin Reader | Lettore di smart card GEMALTO, acquistabile su Amazon costo circa 20 euro | Installare Open SC. Riavviare il MAC. | Testato e funzionante |
| Generic USB2.0-CRW | Eletrand USB, acquistato su Amazon, costo: 14,88 €. Legge sia Smart Card in formato tessera, sia in formato SIM | Installare Open SC. Riavviare il MAC | Testato e funzionante |
| Minilector Evo-S | Minilector Evo S, lettore prodotto e venduto da Bit4ID, costo: 36 euro. Viene anche utilizzato da alcune chiavette Aruba (quelle nere, per intenderci). Si tratta di un lettore conforme CCID che legge unicamente certificati CNS in formato SIM | Installare Open SC. Riavviare il MAC | Testato e funzionante |
| ACS ACR 38U-CCID | Si tratta del dispositivo utilizzato da numerose chiavette Lextel (quelle grigie). | Installare OPEN SC. Installare il driver: Bitdid-middleware-signed.dmg. Riavviare il MAC | Testato, funzionante in modo alterno. A volte non viene riconosciuto immediatamente ed è necessario riavviare nuovamente. |
| Bit4id Token | Si tratta del dispositivo utilizzato da varie chiavette Lextel/Namirial (quelle nere) | Installare OPEN SC. Installare il driver: Bitdid-middleware-signed.dmg. Riavviare il MAC | Testato, funzionante in modo alterno. A volte non viene riconosciuto immediatamente ed è necessario riavviare nuovamente. |
| Bit4id CKey4 | Si tratta del dispositivo utilizzato da varie chiavette Lextel/Namirial (quelle nere) | Installare OPEN SC. Installare il driver: Bitdid-middleware-signed.dmg. Riavviare il MAC | Testato, funzionante in modo alterno. A volte non viene riconosciuto immediatamente ed è necessario riavviare nuovamente. |
| Bit4id miniLector | Lettore Smart Card Bit4id | Installare OPEN SC. | Testato, funzionante. |
| Infocert Wireless Key | Chiavetta Infocert Wireless (ma utilizzata come dispositivo USB) | Installare OPEN SC. | Testato, funzionante. |
Seguiranno altri aggiornamenti della Tabella ed ulteriori test.
Se avete richieste, curiosità, non esitate a contattarci e, soprattutto, iscrivetevi al canale telegram di avvocati-e-mac, dove mi potrete trovare per bere un caffé virtuale 🙂
