Grosso guaio sui GreenPass?
Sguardo al Google Covid Mobility Report per capire cosa sta succedendo e cosa ci aspetta
La circolazione in Europa ha iniziato a calare ancor prima che i governi annunciassero nuove restrizioni, per contenere l?ennesima ondata di Covid-19 e la rapida diffusione della nuova variante Omicron. …
Emirates paventa gelata sui viaggi a dicembre e nuovo inverno perso. Omicron fa ripiombare le compagnie aeree nell’incertezza
La variante Omicron fa ripiombare l'industria dei viaggi nell'incertezza. Le compagnie aeree si preoccupano che la nuova variante metterà fine alla breve ripresa dell'industria. Solo poche settimane fa, sembrava che …
Plus500 aggiunge 4 nuove criptovalute alla propria piattaforma di trading
Negli ultimi anni le criptovalute sono diventate una delle opzioni di investimento più diffuse tra i trader. Sulla scia di questa tendenza Plus500, gruppo fintech globale multi-asset, ha recentemente integrato …
Tutti gli articoli
Tutti gli articoli Tutte le notizie

  1. #1
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,544
    Mentioned
    64 Post(s)
    Quoted
    4325 Post(s)
    Potenza rep
    42949680

    Grosso guaio sui GreenPass?

    Generazione e verifica di validità dei GreenPass sono basati su un algoritmo crittografico a chiave pubblica-privata.

    Partendo da una singola chiave privata si generano un numero molto grande di certificati vaccinali che risulteranno validi. Questo meccanismo di generazione spiega bene perché non è possibile invalidare il singolo certificato (bisognerebbe invalidare la chiave privata che, di conseguenza, invaliderebbe tutti i certificati che da quella discendono).

    L'importanza di custodire bene le chiavi private è evidente, chi ne "trovasse" una potrebbe produrre migliaia di GP fasulli ma validi.

    Se con l'app VerificaC19 (aggiornata all'ultima versione di oggi 1.1.5) provate a scansionare questo codice QR vi renderete conto che sembra proprio che qualche chiave privata sia andata "persa".

    Maggiori dettagli nell'articolo di Attivissimo.

    Il Disinformatico: Perche questi codici QR sembrano “green pass” validi di Adolf Hitler?
    Immagini Allegate Immagini Allegate Grosso guaio sui GreenPass?-fakegp.png 

  2. #2
    L'avatar di Guglielmo
    Data Registrazione
    Apr 2000
    Messaggi
    21,432
    Mentioned
    0 Post(s)
    Quoted
    0 Post(s)
    Potenza rep
    42949694


    mi stavo chiedendo come mai gli haker, indipendenti o dei vari stati, non si fossero ancora occupati del crin pass, giusto per buttare un po' di scompiglio nel pollaio...

  3. #3
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,544
    Mentioned
    64 Post(s)
    Quoted
    4325 Post(s)
    Potenza rep
    42949680
    Citazione Originariamente Scritto da Guglielmo Visualizza Messaggio


    mi stavo chiedendo come mai gli haker, indipendenti o dei vari stati, non si fossero ancora occupati del crin pass, giusto per buttare un po' di scompiglio nel pollaio...
    Solo come valutazione personale (si sa ancora poco, ma le chiavi compromesse potrebbero essere più d'una) dubito che qualcuno sia riuscito ad averle con metodi brute force. Più probabile qualche insider o un accesso a qualche database mal protetto.


    Scompiglio, da un punto di vista tecnico, non dovrebbe esserci. La soluzione ad un accadimento come questo è relativamente semplice: si invalidano le chiavi private e si riemettono tutti i certificati generati con quelle chiavi. Processo semplice che si realizza in tempi brevi.

    Tempi più lunghi richiede invece il dover avvertire tutti coloro in possesso di certificati invalidati (perlopiù ignari del fatto) per far scaricare il nuovo, il che potrebbe significare per qualcuno trovarsi nella condizione di avere un GP che non "passa" più il controllo (per es. sul posto di lavoro).

  4. #4

    Data Registrazione
    Aug 2000
    Messaggi
    40,415
    Mentioned
    13 Post(s)
    Quoted
    17859 Post(s)
    Potenza rep
    42949694
    il grin pazz lo scansioni anche quando sei disconnesso dalla rete
    e ti dice pure che è valido

    come è questa storia?

  5. #5
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,544
    Mentioned
    64 Post(s)
    Quoted
    4325 Post(s)
    Potenza rep
    42949680
    Citazione Originariamente Scritto da mib30 Visualizza Messaggio
    il grin pazz lo scansioni anche quando sei disconnesso dalla rete
    e ti dice pure che è valido

    come è questa storia?
    La app VerificaC19 si connette una volta al giorno al back-end della piattaforma nazionale (DCG), collegata al gateway europeo (DGCG), in cui è resa disponibile la liste delle chiavi pubbliche associate ai certificati emessi. La verifica, off-line, consiste nel valutare se il QR inquadrato sia o meno presente per stabilirne la validità.

    Citazione Originariamente Scritto da Guglielmo Visualizza Messaggio
    [...] crin pass [...]
    Citazione Originariamente Scritto da mib30 Visualizza Messaggio
    il grin pazz [...]
    Avete problemi di tastiera?

  6. #6
    L'avatar di Guglielmo
    Data Registrazione
    Apr 2000
    Messaggi
    21,432
    Mentioned
    0 Post(s)
    Quoted
    0 Post(s)
    Potenza rep
    42949694
    Citazione Originariamente Scritto da FogOnLine Visualizza Messaggio
    La app VerificaC19 si connette una volta al giorno al back-end della piattaforma nazionale (DCG), collegata al gateway europeo (DGCG), in cui è resa disponibile la liste delle chiavi pubbliche associate ai certificati emessi. La verifica, off-line, consiste nel valutare se il QR inquadrato sia o meno presente per stabilirne la validità.





    Avete problemi di tastiera?
    no, come mai lo chiedi?

  7. #7
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,544
    Mentioned
    64 Post(s)
    Quoted
    4325 Post(s)
    Potenza rep
    42949680
    Ho verificato di nuovo il codice QR postato sopra con VerificaC19 e, a quanto pare, non risulta più valido.

    Ciò potrebbe significare che sia stata invalidata la chiave privata con cui era stato generato.
    Se è così, ci saranno parecchi GP generati con la stessa chiave che dovrebbero subire la stessa sorte (non sapendo a quale paese afferisce la chiave privata è difficile stabilire se ciò coinvolgerà o meno GP italiani).

  8. #8

    Data Registrazione
    Aug 2000
    Messaggi
    40,415
    Mentioned
    13 Post(s)
    Quoted
    17859 Post(s)
    Potenza rep
    42949694
    Citazione Originariamente Scritto da FogOnLine Visualizza Messaggio
    La app VerificaC19 si connette una volta al giorno al back-end della piattaforma nazionale (DCG), collegata al gateway europeo (DGCG), in cui è resa disponibile la liste delle chiavi pubbliche associate ai certificati emessi. La verifica, off-line, consiste nel valutare se il QR inquadrato sia o meno presente per stabilirne la validità.





    Avete problemi di tastiera?


    ma che bojata
    non basta fare di volta in volta la verifica sul server?

    quindi se devo verificare ADESSO il grin pazz di mib30 invio ADESSO una richiesta, e il server ADESSO verifica la bontà del qr di mib30
    non ci sarà alcuna chiave, ma solo una verifica della stringa che si genera dal qr di mib30
    sul server scrivono solo i gestori, e i gestori buttano giù il singolo grin pazz da cestinare


    mica vado a sovraccaricarlo; con 60 milioni di italiani, ipotesi di 3 verifiche al giorno, sono 200 milioni di interrogazioni al giorno
    ovvero 2300 al secondo, una niente per i server attuali

  9. #9
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,544
    Mentioned
    64 Post(s)
    Quoted
    4325 Post(s)
    Potenza rep
    42949680
    Citazione Originariamente Scritto da mib30 Visualizza Messaggio
    ma che bojata
    non basta fare di volta in volta la verifica sul server?

    quindi se devo verificare ADESSO il grin pazz di mib30 invio ADESSO una richiesta, e il server ADESSO verifica la bontà del qr di mib30
    non ci sarà alcuna chiave, ma solo una verifica della stringa che si genera dal qr di mib30
    sul server scrivono solo i gestori, e i gestori buttano giù il singolo grin pazz da cestinare


    mica vado a sovraccaricarlo; con 60 milioni di italiani, ipotesi di 3 verifiche al giorno, sono 200 milioni di interrogazioni al giorno
    ovvero 2300 al secondo, una niente per i server attuali
    Non hai chiaro il meccanismo.

    Il QR code non genera un bel niente, contiene informazioni varie (nome, età, tipo vaccino, etc...) e la chiave pubblica del certificato (quella stringa alfanumerica che trovi nel cartaceo)

    VerificaC19 fa solo un confronto di quella stringa con la lista delle chiavi pubbliche acquisita nell'ultima connessione per controllo validità e mostra alcune info contenute nel QR code.

    Se non si connette almeno ogni 24 ore ai server non permette di verificare (il tasto verifica viene disabilitato).

    Trovi tutte le specifiche tecniche sul sito DGC.

  10. #10
    L'avatar di Guglielmo
    Data Registrazione
    Apr 2000
    Messaggi
    21,432
    Mentioned
    0 Post(s)
    Quoted
    0 Post(s)
    Potenza rep
    42949694
    Altrimenti con le connessioni internet che ci ritroviamo c era veramente da ridere ad ogni controllo

Accedi