Grosso guaio sui GreenPass?
I bond segnalano problemi in arrivo, sarà fondamentale monitorare i rendimenti reali
Gli investitori dovrebbero iniziare a preoccuparsi dei loro investimenti, dal momento che i rendimenti del Tesoro USA si stanno muovendo più in alto, trascinando con loro i crediti a basso …
Trading fino a sera, nuovi orari per la Borsa tedesca che resterà aperta fino alla chiusura di Wall Street. Anche Piazza Affari pronta per gli straordinari?
Da lunedì 29 novembre la Borsa di Francoforte consentirà agli investitori di negoziare azioni, Etf/Etp e fondi comuni di investimento fino alle ore 22, potendo così reagire agli eventi sui …
La giornata più nera dell’anno per le Borse, panic selling con petrolio a -13%. Ftse Mib affonda a -4,6%
Venerdì nero a tutti gli effetti sui mercati. In coincidenza con il Black Friday che segna l?avvio della stagione degli acquisti pre-natalizi, i mercati sono stati travolti dall?emergere di una …
Tutti gli articoli
Tutti gli articoli Tutte le notizie

  1. #1
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,529
    Mentioned
    64 Post(s)
    Quoted
    4317 Post(s)
    Potenza rep
    42949680

    Grosso guaio sui GreenPass?

    Generazione e verifica di validità dei GreenPass sono basati su un algoritmo crittografico a chiave pubblica-privata.

    Partendo da una singola chiave privata si generano un numero molto grande di certificati vaccinali che risulteranno validi. Questo meccanismo di generazione spiega bene perché non è possibile invalidare il singolo certificato (bisognerebbe invalidare la chiave privata che, di conseguenza, invaliderebbe tutti i certificati che da quella discendono).

    L'importanza di custodire bene le chiavi private è evidente, chi ne "trovasse" una potrebbe produrre migliaia di GP fasulli ma validi.

    Se con l'app VerificaC19 (aggiornata all'ultima versione di oggi 1.1.5) provate a scansionare questo codice QR vi renderete conto che sembra proprio che qualche chiave privata sia andata "persa".

    Maggiori dettagli nell'articolo di Attivissimo.

    Il Disinformatico: Perche questi codici QR sembrano “green pass” validi di Adolf Hitler?
    Immagini Allegate Immagini Allegate Grosso guaio sui GreenPass?-fakegp.png 

  2. #2
    L'avatar di Guglielmo
    Data Registrazione
    Apr 2000
    Messaggi
    21,430
    Mentioned
    0 Post(s)
    Quoted
    0 Post(s)
    Potenza rep
    42949694


    mi stavo chiedendo come mai gli haker, indipendenti o dei vari stati, non si fossero ancora occupati del crin pass, giusto per buttare un po' di scompiglio nel pollaio...

  3. #3
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,529
    Mentioned
    64 Post(s)
    Quoted
    4317 Post(s)
    Potenza rep
    42949680
    Citazione Originariamente Scritto da Guglielmo Visualizza Messaggio


    mi stavo chiedendo come mai gli haker, indipendenti o dei vari stati, non si fossero ancora occupati del crin pass, giusto per buttare un po' di scompiglio nel pollaio...
    Solo come valutazione personale (si sa ancora poco, ma le chiavi compromesse potrebbero essere più d'una) dubito che qualcuno sia riuscito ad averle con metodi brute force. Più probabile qualche insider o un accesso a qualche database mal protetto.


    Scompiglio, da un punto di vista tecnico, non dovrebbe esserci. La soluzione ad un accadimento come questo è relativamente semplice: si invalidano le chiavi private e si riemettono tutti i certificati generati con quelle chiavi. Processo semplice che si realizza in tempi brevi.

    Tempi più lunghi richiede invece il dover avvertire tutti coloro in possesso di certificati invalidati (perlopiù ignari del fatto) per far scaricare il nuovo, il che potrebbe significare per qualcuno trovarsi nella condizione di avere un GP che non "passa" più il controllo (per es. sul posto di lavoro).

  4. #4

    Data Registrazione
    Aug 2000
    Messaggi
    40,399
    Mentioned
    13 Post(s)
    Quoted
    17845 Post(s)
    Potenza rep
    42949694
    il grin pazz lo scansioni anche quando sei disconnesso dalla rete
    e ti dice pure che è valido

    come è questa storia?

  5. #5
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,529
    Mentioned
    64 Post(s)
    Quoted
    4317 Post(s)
    Potenza rep
    42949680
    Citazione Originariamente Scritto da mib30 Visualizza Messaggio
    il grin pazz lo scansioni anche quando sei disconnesso dalla rete
    e ti dice pure che è valido

    come è questa storia?
    La app VerificaC19 si connette una volta al giorno al back-end della piattaforma nazionale (DCG), collegata al gateway europeo (DGCG), in cui è resa disponibile la liste delle chiavi pubbliche associate ai certificati emessi. La verifica, off-line, consiste nel valutare se il QR inquadrato sia o meno presente per stabilirne la validità.

    Citazione Originariamente Scritto da Guglielmo Visualizza Messaggio
    [...] crin pass [...]
    Citazione Originariamente Scritto da mib30 Visualizza Messaggio
    il grin pazz [...]
    Avete problemi di tastiera?

  6. #6
    L'avatar di Guglielmo
    Data Registrazione
    Apr 2000
    Messaggi
    21,430
    Mentioned
    0 Post(s)
    Quoted
    0 Post(s)
    Potenza rep
    42949694
    Citazione Originariamente Scritto da FogOnLine Visualizza Messaggio
    La app VerificaC19 si connette una volta al giorno al back-end della piattaforma nazionale (DCG), collegata al gateway europeo (DGCG), in cui è resa disponibile la liste delle chiavi pubbliche associate ai certificati emessi. La verifica, off-line, consiste nel valutare se il QR inquadrato sia o meno presente per stabilirne la validità.





    Avete problemi di tastiera?
    no, come mai lo chiedi?

  7. #7
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,529
    Mentioned
    64 Post(s)
    Quoted
    4317 Post(s)
    Potenza rep
    42949680
    Ho verificato di nuovo il codice QR postato sopra con VerificaC19 e, a quanto pare, non risulta più valido.

    Ciò potrebbe significare che sia stata invalidata la chiave privata con cui era stato generato.
    Se è così, ci saranno parecchi GP generati con la stessa chiave che dovrebbero subire la stessa sorte (non sapendo a quale paese afferisce la chiave privata è difficile stabilire se ciò coinvolgerà o meno GP italiani).

  8. #8

    Data Registrazione
    Aug 2000
    Messaggi
    40,399
    Mentioned
    13 Post(s)
    Quoted
    17845 Post(s)
    Potenza rep
    42949694
    Citazione Originariamente Scritto da FogOnLine Visualizza Messaggio
    La app VerificaC19 si connette una volta al giorno al back-end della piattaforma nazionale (DCG), collegata al gateway europeo (DGCG), in cui è resa disponibile la liste delle chiavi pubbliche associate ai certificati emessi. La verifica, off-line, consiste nel valutare se il QR inquadrato sia o meno presente per stabilirne la validità.





    Avete problemi di tastiera?


    ma che bojata
    non basta fare di volta in volta la verifica sul server?

    quindi se devo verificare ADESSO il grin pazz di mib30 invio ADESSO una richiesta, e il server ADESSO verifica la bontà del qr di mib30
    non ci sarà alcuna chiave, ma solo una verifica della stringa che si genera dal qr di mib30
    sul server scrivono solo i gestori, e i gestori buttano giù il singolo grin pazz da cestinare


    mica vado a sovraccaricarlo; con 60 milioni di italiani, ipotesi di 3 verifiche al giorno, sono 200 milioni di interrogazioni al giorno
    ovvero 2300 al secondo, una niente per i server attuali

  9. #9
    L'avatar di FogOnLine
    Data Registrazione
    Feb 2014
    Messaggi
    10,529
    Mentioned
    64 Post(s)
    Quoted
    4317 Post(s)
    Potenza rep
    42949680
    Citazione Originariamente Scritto da mib30 Visualizza Messaggio
    ma che bojata
    non basta fare di volta in volta la verifica sul server?

    quindi se devo verificare ADESSO il grin pazz di mib30 invio ADESSO una richiesta, e il server ADESSO verifica la bontà del qr di mib30
    non ci sarà alcuna chiave, ma solo una verifica della stringa che si genera dal qr di mib30
    sul server scrivono solo i gestori, e i gestori buttano giù il singolo grin pazz da cestinare


    mica vado a sovraccaricarlo; con 60 milioni di italiani, ipotesi di 3 verifiche al giorno, sono 200 milioni di interrogazioni al giorno
    ovvero 2300 al secondo, una niente per i server attuali
    Non hai chiaro il meccanismo.

    Il QR code non genera un bel niente, contiene informazioni varie (nome, età, tipo vaccino, etc...) e la chiave pubblica del certificato (quella stringa alfanumerica che trovi nel cartaceo)

    VerificaC19 fa solo un confronto di quella stringa con la lista delle chiavi pubbliche acquisita nell'ultima connessione per controllo validità e mostra alcune info contenute nel QR code.

    Se non si connette almeno ogni 24 ore ai server non permette di verificare (il tasto verifica viene disabilitato).

    Trovi tutte le specifiche tecniche sul sito DGC.

  10. #10
    L'avatar di Guglielmo
    Data Registrazione
    Apr 2000
    Messaggi
    21,430
    Mentioned
    0 Post(s)
    Quoted
    0 Post(s)
    Potenza rep
    42949694
    Altrimenti con le connessioni internet che ci ritroviamo c era veramente da ridere ad ogni controllo

Accedi