Semnătura digitală calificată este echivalentul electronic al semnăturii olografe, recunoscută legal în România și în Uniunea Europeană conform Regulamentului eIDAS (EU 910/2014). Ea garantează identitatea semnatarului și integritatea documentului semnat.

În România, certificatele de semnătură digitală calificată sunt emise de furnizori acreditați de MCID (Ministerul Cercetării, Inovării și Digitalizării):

• certSIGN - cel mai răspândit furnizor
• DigiSign
• Trans Sped
• DIGISIGN (pentru servicii ANAF)

Certificatul vine de obicei pe un token USB criptografic - un dispozitiv care arată ca un stick USB obișnuit, dar conține un cip securizat pe care este stocată cheia privată. Există și variante pe smart card fizic, care necesită un cititor de card separat.

Răspuns scurt: tehnic da, practic cu rezerve.

Certificatele românești sunt bazate pe standarde internaționale deschise - PKCS#11, X.509 și eIDAS - deci nu există o incompatibilitate fundamentală cu Linux. Problema principală nu este standardul, ci software-ul furnizorului, care este gândit aproape exclusiv pentru Windows.

Furnizorii români nu testează și nu susțin oficial Linux. Asta înseamnă că:

• Driverele există, dar sunt adesea versiuni mai vechi față de cele pentru Windows
• Documentația pentru Linux este inexistentă sau depășită
• Dacă ceva nu funcționează, suportul tehnic al furnizorului va recomanda Windows
• Unele aplicații desktop ale ANAF sunt exclusiv pentru Windows

Cu toate acestea, comunitatea internațională de utilizatori Linux a rezolvat multe dintre aceste probleme prin proiectul OpenSC, o implementare open-source a standardului PKCS#11.

# Instalare pachete esențiale
sudo apt install opensc opensc-pkcs11 pcscd pcsc-tools libccid
 
# Pornire și activare serviciu card reader
sudo systemctl enable --now pcscd

• pcscd - daemonul PC/SC care gestionează comunicarea cu tokenul
• opensc - librărie open-source pentru tokenuri PKCS#11
• pcsc-tools - utilitare de diagnosticare (include pcsc_scan)

Pe lângă OpenSC, unii furnizori oferă propriul driver.

certSIGN folosește SafeNet Authentication Client:

# Pachetul .deb se descarcă de pe site-ul certSIGN (secțiunea Suport/Download)
sudo dpkg -i SafenetAuthenticationClient-*.deb

După conectarea tokenului USB și instalarea driverelor:

# Verifici dacă tokenul este detectat de sistem
pcsc_scan
 
# Listează sloturile disponibile
pkcs11-tool --list-slots
 
# Listează obiectele de pe token (certificate, chei)
pkcs11-tool --list-objects
 
# Cu biblioteca SafeNet (dacă e instalată)
pkcs11-tool --module /usr/lib/libeToken.so --list-slots

Spațiul Privat Virtual (SPV) al ANAF permite autentificarea cu certificat digital calificat. Pe Linux, Firefox este browserul recomandat, deoarece permite adăugarea manuală a modulelor PKCS#11.

1. Deschide Preferințe → Confidențialitate și securitate
2. Derulează în jos până la secțiunea Dispozitive de securitate
3. Click pe Încarcă și navighează la librăria .so a driverului
4. Repornește Firefox după adăugarea modulului
5. Accesează portalul ANAF/SPV și selectează autentificarea cu certificat digital

Locații uzuale pentru librăria PKCS#11:

/usr/lib/libeToken.so                          # SafeNet / certSIGN
/usr/lib/opensc-pkcs11.so                      # OpenSC (varianta veche)
/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so     # OpenSC (Ubuntu/Debian)
/usr/lib64/opensc-pkcs11.so                    # Fedora / RHEL

JSignPdf este o aplicație Java open-source dedicată semnării digitale a fișierelor PDF. Funcționează pe orice sistem care are Java instalat.

# Instalare Java (dacă nu este deja instalat)
sudo apt install default-jre
 
# Descarcă JSignPdf de pe https://jsignpdf.sourceforge.net
# Rulează aplicația
java -jar JSignPdf.jar

În interfața grafică a JSignPdf:

• Keystore type: selectează PKCS11
• Keystore source: calea către fișierul .so al driverului
• Selectează documentul PDF de semnat și locul unde va fi salvat

LibreOffice Writer și Calc au suport nativ pentru semnătura digitală, dacă tokenul este recunoscut de sistem:

Fișier → Semnături digitale → Semnează documentul

openssl smime -sign \
  -engine pkcs11 \
  -keyform engine \
  -inkey "pkcs11:token=NUME_TOKEN;object=CHEIE_PRIVATA" \
  -signer certificat.pem \
  -in document.pdf \
  -out document.pdf.sig

• OpenSC Wiki
• certSIGN Suport
• ANAF Spațiul Privat Virtual
• Regulamentul eIDAS (RO)

Dacă ai testat cu succes (sau fără succes) utilizarea unui certificat românesc pe Linux, informațiile tale sunt valoroase pentru întreaga comunitate. Distribuția folosită, versiunea driverului, tipul tokenului și furnizorul certificatului ne ajută să îmbunătățim acest articol.

Alătură-te discuției pe forum sau Matrix