Firmare un documento in Open o LibreOffice

Un documento in Open o LibreOffice può essere firmato molto semplicemente ma in Linux bisogna fare dei passaggi particolari. Vediamo quali.

ATTENZIONE: L’articolo è per OpenOffice-2011 e LibreOffice fin alla versione 3, perchè dalle successive versioni sono cambiate alcune cose.

Nota: Ooo d’ora in poi identifica OpenOffice o LibreOffice.

Nota2: Tratto da manuale e help di Libreoffice.

 

Peccato che manchi, spero per ora, in Ooo la gestione dei certificati! Però possiamo usare quella di Mozilla contenuto in Firefox (usato in questo testo) ma va anche bene Seamonkey o Thunderbird.

 

Per adesso non è possibile usare il sistema di KDE o Gnome (consiglio l’utilità Kleopatra), ma Firefox è collegato su di loro.

 

[banner]

Certificati

 

Logico che dobbiamo già avere un certificato,

Per apporre una firma digitale su un documento dovete disporre di una chiave personale, il certificato.

La chiave personale viene memorizzata sul computer e consiste della combinazione tra una chiave privata (importata dal sito certificante), da mantenere segreta, e una chiave pubblica (esempio smart-card), da aggiungere ai documenti al momento della firma.

 

Potete ottenere un certificato da un’autorità di certificazione. Non importa se scegliete un’istituzione governativa o una società privata, è normale pagare per questo servizio, per esempio deve essere certificata la vostra identità. Altre autorità emettono gratuitamente i certificati, per esempio il progetto open source CAcert , che si basa sul famoso e affidabile modello “Web of Trust”, e sta crescendo in popolarità. Potete ottenerne uno gratuito da varie aziende fornitrici di sicurezza digitale, per la Germania, in particolare per gli utenti di Amburgo, potete ottenere un certificato simile dal Trustcenter ([1]); gli altri utenti possono dare uno sguardo a Comodo ([2]), StartSSL ([3]) o CAcert ([4]). Queste aziende offrono certificati gratuiti con validità di un anno. Dopo un anno dovete rinnovarlo, se vi interessa. Se non lo rinnovate, non sarete in grado di firmare più i documenti.

Quando si appone una firma digitale a un documento, viene calcolata una somma di controllo utilizzando il contenuto del documento e la vostra chiave personale. Questa somma di controllo e la vostra chiave pubblica vengono memorizzate nel documento.

Attenzione il certificato deve essere di standard File PKCS12.

 

[banner]

Gestire i certificati

Avendo questo certificato per prima cosa apriamo Firefox (che qui usato come esempio) ma va anche bene Seamonkey o Thunderbird.

 

  1. Aprite la finestra Menu->Modifiche->Preferenze. Al Box che compare selezionate la scheda “Avanzate” e tab “Cifratura”, quindi fate clic sul bottone “mostra certificati”.
  2. Importate (cliccate il bottone “Importa”) il nuovo certificato primario, quindi selezionatelo e modificatelo. Impostate il certificato primario come sicuro per l’accesso Web e via posta elettronica. In questo modo potete usare il certificato per firmare i documenti. Potete modificare anche i certificati intermedi allo stesso modo, ma questa operazione non è obbligatoria per la firma dei documenti.
  3. Solo dopo avere modificato i nuovi certificati, riavviate Firefox.

 

Guardiamo dove è la cartella delle impostazioni di Firefox: Di solito è

/home/nomeutente/.mozilla/firefox/yh6ss6sz.default

Dove “nomeutente” è il nome dell’utente che siete.

Dove “yh6ss6sz” è un nome casuale però sempre con estensione “.default”

Nota: Controllate che dentro ci devono essere i file cert_override.txt e cert8.db 
(sono salvate le informazioni relative ai certificati di sicurezza e i certificati
 SSL importati in Firefox) e il file secmod.db dove è conservato il database dei 
moduli per la sicurezza..
Attenzione che “.mozilla” è una cartella invisibile!

Dunque apriamo un terminale e digitiamo (con le dovute correzioni)

 

export MOZILLA_CERTIFICATE_FOLDER=/home/nomeutente/.mozilla/firefox/yh6ss6sz.default
export MOZ_CERTIFICATE_FOLDER=/home/nomeutente/.mozilla/firefox/yh6ss6sz.default

 

Queste sono due variabili-ambiente in modo che Ooo sappia dove può raccogliere i certificati.

 

Poi quando siamo sicuri che funzioni tutto, possiamo scriverli (come prime righe) una volta per tutte in:

/etc/profile

Scritti li dentro ogni riavvio saranno configurati.

 

Nota c’è scritto dentro di non usarle questo file per queste cose, ma fregatevene.

 

 

[banner]

Firmare

Adesso avviamo o riavviamo Ooo e proviamolo!

-Firmare un documento

  1. Scegliete File – Firme digitali.
  2. Probabile che una finestra messaggi vi consiglia di salvare il documento. Scegliete per salvare il file.
  3. Viene visualizzata la finestra di dialogo “Firme digitali”. Scegliete Aggiungi per aggiungere una chiave pubblica al documento.
  4. Nella finestra di dialogo “Seleziona certificato”, selezionare il certificato e fare clic su OK, se non compare niente il collegamento con Firefox non funziona.
  5. È ancora visualizzata la finestra di dialogo Firme digitali, in cui potete se necessario aggiungere altri certificati. Scegliete OK per aggiungere la chiave pubblica al file salvato.

Nella barra di stato viene visualizzata un’icona per i documenti firmati. Potete fare doppio clic su questa icona nella barra di stato per visualizzare il certificato.

Il risultato della convalida viene visualizzata nella barra di stato e all’interno della finestra di dialogo ‘Firma digitale’.

Possono coesistere diverse firme di documenti e macro all’interno di un documento ODF, se si ha un problema con una, allora il risultato della convalida viene presupposto per tutte.

In altre parole, se vi sono dieci firme valide e una firma non valida, allora il flag, all’interno della barra di stato e del campo di stato della finestra, indicherà una firma non valida.

 

-Firmare le macro in un documento

In genere le macro fanno parte di un documento. Quando si firma un documento, le macro che contiene vengono automaticamente firmate. Se volete firmare solo le macro ma non il documento, procedete come segue:

  1. Scegliete Strumenti – Macro – Firme digitali.
  2. Apponete la firma nello stesso modo descritto in precedenza per i documenti.

Quando aprite “IDE Basic” che contiene le macro firmate, nella barra di stato è visibile l’icona . Potete fare doppio clic su questa icona nella barra di stato per visualizzare il certificato.

[banner]

-Usando lettori di schede

Ci sono un sacco di diversi tipi di lettori e smart card. Dunque si prega di leggere prima la documentazione del vostro lettore e la carta e installare prima tutto il software necessario.

Usando Linux, seguire la documentazione su come aggiungere il supporto smart card per Firefox / Thunderbird. In generale, questo richiederà di aggiungere una particolare libreria (di solito un modulo pkcs11) in Gestione periferiche (dispositivi di sicurezza) in Firefox / Thunderbird. Il gestore del dispositivo si trova nella finestra di dialogo Opzioni sotto la scheda Avanzate.

Con alcuni lettori / schede è sufficiente installare opensc e pcscd.

pcscd è un demone (che si trova in /etc/init.d) quindi controllate che sia avviato.

Poi si deve aggiungere in Firefox in “gestione” il opensc-pkcs11.so, che può essere trovata in

/usr/ lib

[banner]

 

Aprire un documento firmato

Quando un altro utente apre il documento, su qualsiasi computer, con una versione recente di LibreOffice, il programma calcola di nuovo la somma di controllo e la confronta con quella memorizzata nel documento. Se le due somme sono identiche, il programma segnala che quello visualizzato è il documento originale, non modificato. Oltre a questo, il programma è in grado di mostrarvi le informazioni sulla chiave pubblica tratte dal certificato.

Potete confrontare questa chiave pubblica con la chiave pubblica visualizzabile sul sito Web dell’autorità di certificazione.

Quando viene effettuata una modifica al documento, questa modifica invalida la firma digitale. Dopo questa modifica, il documento non viene più presentato come originale.

Il risultato della convalida della firma viene visualizzato nella barra di stato e all’interno della finestra di dialogo ‘Firma digitale’. Possono coesistere diverse firme di documenti e macro all’interno di un documento ODF. Se si ha un problema con una firma, allora il risultato di convalida per quella firma viene presupposto per tutte le firme. In altre parole, se vi sono dieci firme valide e una firma non valida, allora il flag, all’interno della barra di stato e del campo di stato della finestra, indicherà una firma non valida.

Quando aprite un documento firmato, saranno visualizzate le icone e i messaggi seguenti.

Icona nella barra di stato Stato della firma
certificate_16 La firma è valida.
notcertificate_16 La firma è valida, ma i certificati non possono essere convalidati.La firma e il certificato sono validi, ma non tutte le parti del documento sono firmate (consultare la nota qui sotto per i documenti firmati con versioni precedenti del software.)
caution_11x16 La firma non è valida.

-Firme e versioni del software

Il metodo di firma del contenuto è cambiato in OpenOffice.org 3.2 e StarOffice 9.2. Ora viene firmato tutto il contenuto dei file, ad eccezione del file proprio della firma (META-INF/documentsignatures.xml).

Quando firmate un documento con OpenOffice.org 3.2 o StarOffice 9.2, o una versione successiva, e lo aprite con una versione precedente del software, la firma sarà visualizzata come “non valida”. Le firme create con versioni precedenti del software e aperte con sue versioni più recenti, saranno contrassegnate con “solo parti dei documenti sono firmate”.

note Se aprite un documento ODF, noterete un’icona nella barra di stato, e l’indicazione che il documento è firmato solo parzialmente, nel campo di stato della finestra, Questo stato apparirà quando la firma e il certificato sono validi ma sono stati creati con una versione di OpenOffice.org precedente la 3.2 o StarOffice precedente la 9.2. Nelle versioni di OpenOffice.org precedenti la 3.0 o StarOffice precedenti la 9.0, la firma del documento veniva applicata solo al contenuto principale, alle immagini e agli oggetti incorporati mentre altri contenuti, quali le macro, non venivano firmati. In OpenOffice.org 3.0 e StarOffice 9.0 la firma del documento veniva applicata alla maggior parte del contenuto, incluso le macro. In ogni caso, il tipo mime e il contenuto della cartella META-INF non venivano firmati. In OpenOffice.org 3.2, StarOffice 9.2 e tutte le versioni di LibreOffice, tutto il contenuto, ad eccezione del file stesso della firma (META-INF/documentsignatures.xml), è firmato.

[banner]

Avvertenze di sicurezza

Quando ricevete un documento firmato e il software rileva che la firma è valida, non potete comunque avere la certezza assoluta che il documento sia identico a quello inviato dal mittente. La firma dei documenti con i certificati software non è un metodo perfettamente sicuro. È possibile eludere le funzioni di sicurezza in diversi modi.

Esempio: Si ipotizzi che un utente malintenzionato voglia assumere l’identità di un mittente della vostra banca. Potrà senza grandi difficoltà ottenere un certificato usando un falso nome e inviarvi un messaggio di posta elettronica firmato in cui sostiene di lavorare per la vostra banca. Voi riceverete il messaggio e il messaggio, o il documento che contiene, saranno contrassegnati con il simbolo “firma valida”.

Non fidatevi della sola icona. Ispezionate e verificate i certificati.

warning La convalida di una firma non rappresenta una garanzia legale di alcun tipo.

Dovete verificare che i file in uso siano realmente quelli forniti nella versione originale del sistema. Gli utenti malintenzionati possono sostituire questi file con altri usando vari metodi.

warning I messaggi relativi alla convalida di una firma che potete vedere in LibreOffice sono quelli restituiti dai file di convalida. LibreOffice non ha la possibilità di verificare che i messaggi indichino lo stato reale dei certificati. LibreOffice visualizza semplicemente i messaggi inviati da altri file che non sono sotto il suo controllo. LibreOffice non si assume alcuna responsabilità legale in relazione allo stato reale della firma digitale.

[banner]

Conclusioni

Non è molto difficile settarlo e usarlo. Al massimo Ooo non “vede” la cartella di Firefox e su questo la soluzione è individuare il motivo dell’errore che può essere di migliaia di tipi.

Ciò è particolarmente utile per sapere come le installazioni Linux Debian e forse Fedora paiono impostare i nomi del profilo in modo diverso da quello suggerito dagli sviluppatori di Mozilla. In questo caso i certificati non vengono mostrati nella finestra di dialogo delle firme digitali della suite per ufficio. In tale caso, individuate la cartella del profilo appropriata e impostate la variabile d’ambiente MOZILLA_CERTIFICATE_FOLDER di conseguenza. Consultate Individuazione del certificato

È anche necessario che le impostazioni di affidabilità per i certificati di amministrazione siano impostati per convalidare il certificato per l’identificazione dei siti web e gli utenti di posta elettronica.

Ciaooooooooooooooooooo

[banner]

 

Precedente Smart Card e Suse - parte semplice Successivo Collegarsi all'internet con il cellulare