Semnătura digitală calificată este echivalentul electronic al semnăturii olografe, recunoscută legal în România și în Uniunea Europeană conform Regulamentului eIDAS (EU 910/2014). Ea garantează identitatea semnatarului și integritatea documentului semnat.
În România, certificatele de semnătură digitală calificată sunt emise de furnizori acreditați de MCID (Ministerul Cercetării, Inovării și Digitalizării):
Certificatul vine de obicei pe un token USB criptografic - un dispozitiv care arată ca un stick USB obișnuit, dar conține un cip securizat pe care este stocată cheia privată. Există și variante pe smart card fizic, care necesită un cititor de card separat.
Răspuns scurt: tehnic da, practic cu rezerve.
Certificatele românești sunt bazate pe standarde internaționale deschise - PKCS#11, X.509 și eIDAS - deci nu există o incompatibilitate fundamentală cu Linux. Problema principală nu este standardul, ci software-ul furnizorului, care este gândit aproape exclusiv pentru Windows.
Furnizorii români nu testează și nu susțin oficial Linux. Asta înseamnă că:
Cu toate acestea, comunitatea internațională de utilizatori Linux a rezolvat multe dintre aceste probleme prin proiectul OpenSC, o implementare open-source a standardului PKCS#11.
# Instalare pachete esențiale sudo apt install opensc opensc-pkcs11 pcscd pcsc-tools libccid # Pornire și activare serviciu card reader sudo systemctl enable --now pcscd
pcsc_scan)Pe lângă OpenSC, unii furnizori oferă propriul driver.
certSIGN folosește SafeNet Authentication Client:
# Pachetul .deb se descarcă de pe site-ul certSIGN (secțiunea Suport/Download) sudo dpkg -i SafenetAuthenticationClient-*.deb
După conectarea tokenului USB și instalarea driverelor:
# Verifici dacă tokenul este detectat de sistem pcsc_scan # Listează sloturile disponibile pkcs11-tool --list-slots # Listează obiectele de pe token (certificate, chei) pkcs11-tool --list-objects # Cu biblioteca SafeNet (dacă e instalată) pkcs11-tool --module /usr/lib/libeToken.so --list-slots
Spațiul Privat Virtual (SPV) al ANAF permite autentificarea cu certificat digital calificat. Pe Linux, Firefox este browserul recomandat, deoarece permite adăugarea manuală a modulelor PKCS#11.
Preferințe → Confidențialitate și securitateÎncarcă și navighează la librăria .so a driveruluiLocații uzuale pentru librăria PKCS#11:
/usr/lib/libeToken.so # SafeNet / certSIGN /usr/lib/opensc-pkcs11.so # OpenSC (varianta veche) /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so # OpenSC (Ubuntu/Debian) /usr/lib64/opensc-pkcs11.so # Fedora / RHEL
JSignPdf este o aplicație Java open-source dedicată semnării digitale a fișierelor PDF. Funcționează pe orice sistem care are Java instalat.
# Instalare Java (dacă nu este deja instalat) sudo apt install default-jre # Descarcă JSignPdf de pe https://jsignpdf.sourceforge.net # Rulează aplicația java -jar JSignPdf.jar
În interfața grafică a JSignPdf:
PKCS11.so al driveruluiLibreOffice Writer și Calc au suport nativ pentru semnătura digitală, dacă tokenul este recunoscut de sistem:
Fișier → Semnături digitale → Semnează documentul
openssl smime -sign \ -engine pkcs11 \ -keyform engine \ -inkey "pkcs11:token=NUME_TOKEN;object=CHEIE_PRIVATA" \ -signer certificat.pem \ -in document.pdf \ -out document.pdf.sig
| Funcționalitate | Status |
|---|---|
| Detectarea tokenului USB | ✅ Funcționează cu OpenSC |
| Autentificare SPV/ANAF în Firefox | ✅ Funcționează cu configurare |
| Semnare PDF cu JSignPdf | ✅ Funcționează |
| Semnare în LibreOffice | ✅ Funcționează |
| Aplicații desktop ANAF (.exe) | ❌ Exclusiv Windows (posibil prin Wine) |
| Suport tehnic oficial de la furnizor | ❌ Indisponibil pentru Linux |
| Tokenuri mai noi (firmware recent) | ⚠️ Incert - depinde de driver |
| Problemă | Soluție posibilă |
|---|---|
| Tokenul nu este detectat | sudo systemctl restart pcscd |
| Firefox nu vede modulul | Repornire Firefox după adăugarea librăriei PKCS#11 |
| Eroare la autentificare | Verifică PIN-ul; după 3 greșeli tokenul se blochează |
| PIN blocat | pkcs11-tool –unblock-pin sau SafeNet AC pe Windows |
Librăria .so nu există | find /usr -name „*pkcs11*“ |
pcsc_scan nu găsește niciun cititor | systemctl status pcscd |
Dacă ai testat cu succes (sau fără succes) utilizarea unui certificat românesc pe Linux, informațiile tale sunt valoroase pentru întreaga comunitate. Distribuția folosită, versiunea driverului, tipul tokenului și furnizorul certificatului ne ajută să îmbunătățim acest articol.