Grosso guaio sui GreenPass?

FogOnLine

sigà sigà
Registrato
26/2/14
Messaggi
20.320
Punti reazioni
8.096
Generazione e verifica di validità dei GreenPass sono basati su un algoritmo crittografico a chiave pubblica-privata.

Partendo da una singola chiave privata si generano un numero molto grande di certificati vaccinali che risulteranno validi. Questo meccanismo di generazione spiega bene perché non è possibile invalidare il singolo certificato (bisognerebbe invalidare la chiave privata che, di conseguenza, invaliderebbe tutti i certificati che da quella discendono).

L'importanza di custodire bene le chiavi private è evidente, chi ne "trovasse" una potrebbe produrre migliaia di GP fasulli ma validi.

Se con l'app VerificaC19 (aggiornata all'ultima versione di oggi 1.1.5) provate a scansionare questo codice QR vi renderete conto che sembra proprio che qualche chiave privata sia andata "persa". :(

Maggiori dettagli nell'articolo di Attivissimo.

Il Disinformatico: Perche questi codici QR sembrano “green pass” validi di Adolf Hitler?
 

Allegati

  • fakeGP.png
    fakeGP.png
    5,2 KB · Visite: 338
:D

mi stavo chiedendo come mai gli haker, indipendenti o dei vari stati, non si fossero ancora occupati del crin pass, giusto per buttare un po' di scompiglio nel pollaio...
 
:D

mi stavo chiedendo come mai gli haker, indipendenti o dei vari stati, non si fossero ancora occupati del crin pass, giusto per buttare un po' di scompiglio nel pollaio...

Solo come valutazione personale (si sa ancora poco, ma le chiavi compromesse potrebbero essere più d'una) dubito che qualcuno sia riuscito ad averle con metodi brute force. Più probabile qualche insider o un accesso a qualche database mal protetto.


Scompiglio, da un punto di vista tecnico, non dovrebbe esserci. La soluzione ad un accadimento come questo è relativamente semplice: si invalidano le chiavi private e si riemettono tutti i certificati generati con quelle chiavi. Processo semplice che si realizza in tempi brevi.

Tempi più lunghi richiede invece il dover avvertire tutti coloro in possesso di certificati invalidati (perlopiù ignari del fatto) per far scaricare il nuovo, il che potrebbe significare per qualcuno trovarsi nella condizione di avere un GP che non "passa" più il controllo (per es. sul posto di lavoro).
 
il grin pazz lo scansioni anche quando sei disconnesso dalla rete
e ti dice pure che è valido

come è questa storia?
 
il grin pazz lo scansioni anche quando sei disconnesso dalla rete
e ti dice pure che è valido

come è questa storia?

La app VerificaC19 si connette una volta al giorno al back-end della piattaforma nazionale (DCG), collegata al gateway europeo (DGCG), in cui è resa disponibile la liste delle chiavi pubbliche associate ai certificati emessi. La verifica, off-line, consiste nel valutare se il QR inquadrato sia o meno presente per stabilirne la validità.

[...] crin pass [...]

il grin pazz [...]

Avete problemi di tastiera? :confused:
 
La app VerificaC19 si connette una volta al giorno al back-end della piattaforma nazionale (DCG), collegata al gateway europeo (DGCG), in cui è resa disponibile la liste delle chiavi pubbliche associate ai certificati emessi. La verifica, off-line, consiste nel valutare se il QR inquadrato sia o meno presente per stabilirne la validità.





Avete problemi di tastiera? :confused:

no, come mai lo chiedi? :o
 
Ho verificato di nuovo il codice QR postato sopra con VerificaC19 e, a quanto pare, non risulta più valido.

Ciò potrebbe significare che sia stata invalidata la chiave privata con cui era stato generato.
Se è così, ci saranno parecchi GP generati con la stessa chiave che dovrebbero subire la stessa sorte (non sapendo a quale paese afferisce la chiave privata è difficile stabilire se ciò coinvolgerà o meno GP italiani).
 
La app VerificaC19 si connette una volta al giorno al back-end della piattaforma nazionale (DCG), collegata al gateway europeo (DGCG), in cui è resa disponibile la liste delle chiavi pubbliche associate ai certificati emessi. La verifica, off-line, consiste nel valutare se il QR inquadrato sia o meno presente per stabilirne la validità.





Avete problemi di tastiera? :confused:



ma che bojata
non basta fare di volta in volta la verifica sul server?

quindi se devo verificare ADESSO il grin pazz di mib30 invio ADESSO una richiesta, e il server ADESSO verifica la bontà del qr di mib30
non ci sarà alcuna chiave, ma solo una verifica della stringa che si genera dal qr di mib30
sul server scrivono solo i gestori, e i gestori buttano giù il singolo grin pazz da cestinare


mica vado a sovraccaricarlo; con 60 milioni di italiani, ipotesi di 3 verifiche al giorno, sono 200 milioni di interrogazioni al giorno
ovvero 2300 al secondo, una niente per i server attuali
 
ma che bojata
non basta fare di volta in volta la verifica sul server?

quindi se devo verificare ADESSO il grin pazz di mib30 invio ADESSO una richiesta, e il server ADESSO verifica la bontà del qr di mib30
non ci sarà alcuna chiave, ma solo una verifica della stringa che si genera dal qr di mib30
sul server scrivono solo i gestori, e i gestori buttano giù il singolo grin pazz da cestinare


mica vado a sovraccaricarlo; con 60 milioni di italiani, ipotesi di 3 verifiche al giorno, sono 200 milioni di interrogazioni al giorno
ovvero 2300 al secondo, una niente per i server attuali

Non hai chiaro il meccanismo.

Il QR code non genera un bel niente, contiene informazioni varie (nome, età, tipo vaccino, etc...) e la chiave pubblica del certificato (quella stringa alfanumerica che trovi nel cartaceo)

VerificaC19 fa solo un confronto di quella stringa con la lista delle chiavi pubbliche acquisita nell'ultima connessione per controllo validità e mostra alcune info contenute nel QR code.

Se non si connette almeno ogni 24 ore ai server non permette di verificare (il tasto verifica viene disabilitato).

Trovi tutte le specifiche tecniche sul sito DGC.
 
Altrimenti con le connessioni internet che ci ritroviamo c era veramente da ridere ad ogni controllo :D
 
Non hai chiaro il meccanismo.

Il QR code non genera un bel niente, contiene informazioni varie (nome, età, tipo vaccino, etc...) e la chiave pubblica del certificato (quella stringa alfanumerica che trovi nel cartaceo)

VerificaC19 fa solo un confronto di quella stringa con la lista delle chiavi pubbliche acquisita nell'ultima connessione per controllo validità e mostra alcune info contenute nel QR code.

Se non si connette almeno ogni 24 ore ai server non permette di verificare (il tasto verifica viene disabilitato).

Trovi tutte le specifiche tecniche sul sito DGC.

Appunto, una bojata totale

Scarica ogni 24 ore istruzioni per verificare il grin pazz
Allinea gli archivi, si aggiorna

E sai quante cose riesci a fare in 24 ore???


Da sconnessi si riesce ad accedere al proprio conto corrente?

OTP, validità 60 secondi e sbrigati!
 
Altrimenti con le connessioni internet che ci ritroviamo c era veramente da ridere ad ogni controllo :D

Infatti, il meccanismo è stato implementato così per essere indipendente dalla connessione.

Prima del suo largo uso, il GP era stato pensato per viaggiare (e non tutti i paesi hanno aree completamente coperte, o coperte con operatori stranieri) e per uso in discoteche, impianti e stazioni sciistiche, spiagge e quant'altro dove la connessione non è sempre usufruibile.
 
[...]

Scarica ogni 24 ore istruzioni per verificare il grin pazz
Allinea gli archivi, si aggiorna

E sai quante cose riesci a fare in 24 ore???
[...]

Verifica C19 scarica solo la lista delle firme (le chiavi pubbliche), nessuna istruzione. Tutte le informazioni di nome, data di nascita, tipo vaccino, data delle dosi, chiave pubblica di firma e la data di scadenza del GP sono contenute nel QR code, basta leggerlo.

La verifica dell'esistenza della chiave pubblica associata al GP ha il solo scopo di verificare che quella chiave sia stata generata dal sistema e non da un "cugggino hacker" che si è fatto il QR code da sé.

Cosa potrebbe succedere in 24 ore? Non l'ho capito.:confused:
 
l'ennesima follia europeista che gli si ritorcerà contro.
Un classico.
 
Ho verificato di nuovo il codice QR postato sopra con VerificaC19 e, a quanto pare, non risulta più valido.

Ciò potrebbe significare che sia stata invalidata la chiave privata con cui era stato generato.
Se è così, ci saranno parecchi GP generati con la stessa chiave che dovrebbero subire la stessa sorte (non sapendo a quale paese afferisce la chiave privata è difficile stabilire se ciò coinvolgerà o meno GP italiani).


Sorpresa :eekk:

Il codice QR postato al post#1, generato con chiave privata francese, stamattina con la app VerificaC19 risultava "valido".
Poco prima di ora di pranzo risultava "non valido", tanto che avevo ipotizzato che avessero disattivato la chiave privata con cui era stato generato.
Ora risulta nuovamente "valido". :boh:

Realmente ci si capisce poco. :wall:

Potrebbero aver ripristinato la chiave privata francese a causa del gran numero di GP legittimi, generati con la stessa chiave, che sono stati invalidati? :confused:

Nel frattempo, colleghi olandesi mi riferiscono che a loro è arrivato un alert per scaricare un nuovo GP, cosa per la quale si è ipotizzato che anche qualche chiave privata NL sia stata disattivata e i certificati legittimi correlati rigenerati con una nuova.

Mah, grande è la confusione sotto il cielo. :rolleyes:
 
Sorpresa :eekk:

Il codice QR postato al post#1, generato con chiave privata francese, stamattina con la app VerificaC19 risultava "valido".
Poco prima di ora di pranzo risultava "non valido", tanto che avevo ipotizzato che avessero disattivato la chiave privata con cui era stato generato.
Ora risulta nuovamente "valido". :boh:

Realmente ci si capisce poco. :wall:

Potrebbero aver ripristinato la chiave privata francese a causa del gran numero di GP legittimi, generati con la stessa chiave, che sono stati invalidati? :confused:

Nel frattempo, colleghi olandesi mi riferiscono che a loro è arrivato un alert per scaricare un nuovo GP, cosa per la quale si è ipotizzato che anche qualche chiave privata NL sia stata disattivata e i certificati legittimi correlati rigenerati con una nuova.

Mah, grande è la confusione sotto il cielo. :rolleyes:

C'è poco da capire
Le banche chiedono OGNI VOLTA l'OTP

Ogni volta, per uno scambio dati che devi fare entro 60 secondi

Qui vale 24 ore (?) Prima di aggiornare/aggiungere chiavi
Poi magari quelle dei giorni precedenti rimangono inalterate


Sistema evidentemente cannato dall'origine


Facciano un SERVER centrale e solo su quello si va in lettura OGNI VOLTA che si legge un codice

Lato USER non si faccia alcuna verifica
 
Chi ha l'app VerificaC19 provi a scansionare questo QR generato da chiave privata macedone, ci si fa quattro risate, anche se un po' amare. :rolleyes:

Le ipotesi più accreditate continuano ad essere due: (1) insider che hanno accesso alle chiavi di generazione, (2) compromissione di uno o più server dove le chiavi private sono conservate.

Resta il fatto che una condizione tecnica come la compromissione di chiavi private, cosa che avviene spesso anche sui certificati di autenticazione internet e che si risolve banalmente con invalidazione delle chiavi compromesse e riemissione di nuove chiavi e certificati, nel caso dei GP produrrà effetti più tangibili.

La necessità di cambiare i certificati a tantissime persone sarà un processo facile solo per chi è minimamente informatizzato (chi ha appIO probabilmente riceverà automaticamente il nuovo QR) ma per gli anziani o le persone con scarse competenze digitali che se lo sono fatto stampare in farmacia verrà vissuto come un forte disagio.

E, cosa più grave, si minerà la fiducia nelle vaccinazioni e negli strumenti digitali per certificarle, nella digitalizzazione tout-court, nell'uso di crittografia asimmetrica a chiave pubblica-privata che è ormai ubiqua, in un paese che avrebbe invece bisogno di digitalizzarsi di più e meglio. :-(

Edit. Sempre sul blog di Attivissimo segnalato ieri il riepilogo della situazione e tutti gli aggiornamenti.
Il Disinformatico: Perche questi codici QR sembrano “green pass” validi di Adolf Hitler, Topolino e Spongebob?
 

Allegati

  • IMG_20211028_070518.jpg
    IMG_20211028_070518.jpg
    318,5 KB · Visite: 190
Ultima modifica:
Quello di Napoleone mi viene proprio comodo per stasera al cinema :D :D
 
Indietro