Hardware Upgrade Forum - View Single Post - Green Pass falsi: perquisizioni e sequestri nei confronti degli amministratori di 32 canali Telegram

frncr · 09-08-2021, 12:06

Innanzitutto molto positivo che trovino questi criminali (sia i truffatori che i "truffati") e gli facciano passare la voglia. Servirebbe il metodo francese: fino a 5 anni di galera e 75.000 Euro di multa per chi compra un certificato falso (collaborando alla sua creazione), e sanzioni pesantissime (penali e pecuniarie) anche per gli esercenti che non applicano le regole.

Però:

Estratto dal comunicato sulla pagina faccialibro "Commissariato di PS Online - Italia", gestita dalla Polizia Postale e delle Comunicazioni:

Si rammenta che qualsiasi certificato Green Pass originale non può essere falsificato o manomesso poiché ogni certificazione viene prodotta digitalmente con una chiave privata del Ministero della Salute che ne assicura l’autenticità. Ad ogni controllo con la preposta App ufficiale VerificaC19, viene interrogata la banca dati ministeriale contenente l’elenco ufficiale della popolazione vaccinata e, di conseguenza, un QR-CODE generato con una certificazione non autentica, non supererebbe la procedura di verifica.

Estratto dalle informazioni nella pagina dell'app VerificaC19 su Google Play:

L’app VerificaC19 consente, agli operatori incaricati, la verifica della validità delle Certificazioni verdi COVID-19 e degli “EU Digital COVID Certificate” attraverso la lettura del codice “QR” del certificato. Non prevede la memorizzazione o la comunicazione a terzi delle informazioni scansionate. La app, infatti, effettua la verifica in modalità offline ovvero senza invocare un servizio di un sistema remoto nel momento in cui viene utilizzata. La verifica dell’autenticità del certificato presuppone che la app possa accedere almeno una volta al giorno al backend della piattaforma nazionale “DGC”, collegato al gateway europeo (DGCG), dove sono rese disponibili tutte le chiavi pubbliche utilizzate per firmare gli “EU Digital COVID Certificate” emessi.

Una delle due affermazioni è falsa, e direi che quasi certamente è falsa quella della Polizia Postale perché il funzionamento offline era uno dei prerequisiti per queste applicazioni.

Tecnicamente:
- il green pass è un set di dati codificato in un qrcode assieme alla relativa firma digitale del ministero;
- non è possibile generare un green pass falso che risulti valido alla verifica a meno di possedere la chiave privata ministeriale con cui sono firmati (evento estremamente improbabile a meno che la chiave la custodisca il tizio di Frosinone che ha fatto bucare il CED della sanità laziale);
- l'unico modo perché siano generati green pass falsi è che vengano immessi nel sistema dati di vaccinazione falsi, cosa che possono potenzialmente fare solo eventuali medici di base corrotti (per i loro assistiti) o operatori corrotti nei centri vaccianali, o altro personale corrotto con accesso in scrittura a quei sistemi.

Il fatto che il periodo di validità del certificato dipende esclusivamente dai dati in esso registrati e dalle regole generali presenti nell'applicazione di verifica, causa mi pare una grave conseguenza: risulta di fatto impossibile revocare un certificato valido. Una persona con green pass valido, se prima della scadenza del medesimo riceve una diagnosi covid rimane comunque in possesso del green pass valido. Spero che se ne rendano conto e che aggiungano all'applicazione una funzione di download periodico dell'elenco dei certificati revocati prima della scadenza, da conservare il locale (basta un hash, niente dati).

09-08-2021, 12:06	#19
frncr Senior Member Iscritto dal: May 2009 Messaggi: 903	Innanzitutto molto positivo che trovino questi criminali (sia i truffatori che i "truffati") e gli facciano passare la voglia. Servirebbe il metodo francese: fino a 5 anni di galera e 75.000 Euro di multa per chi compra un certificato falso (collaborando alla sua creazione), e sanzioni pesantissime (penali e pecuniarie) anche per gli esercenti che non applicano le regole. Però: Estratto dal comunicato sulla pagina faccialibro "Commissariato di PS Online - Italia", gestita dalla Polizia Postale e delle Comunicazioni: Si rammenta che qualsiasi certificato Green Pass originale non può essere falsificato o manomesso poiché ogni certificazione viene prodotta digitalmente con una chiave privata del Ministero della Salute che ne assicura l’autenticità. Ad ogni controllo con la preposta App ufficiale VerificaC19, viene interrogata la banca dati ministeriale contenente l’elenco ufficiale della popolazione vaccinata e, di conseguenza, un QR-CODE generato con una certificazione non autentica, non supererebbe la procedura di verifica. Estratto dalle informazioni nella pagina dell'app VerificaC19 su Google Play: L’app VerificaC19 consente, agli operatori incaricati, la verifica della validità delle Certificazioni verdi COVID-19 e degli “EU Digital COVID Certificate” attraverso la lettura del codice “QR” del certificato. Non prevede la memorizzazione o la comunicazione a terzi delle informazioni scansionate. La app, infatti, effettua la verifica in modalità offline ovvero senza invocare un servizio di un sistema remoto nel momento in cui viene utilizzata. La verifica dell’autenticità del certificato presuppone che la app possa accedere almeno una volta al giorno al backend della piattaforma nazionale “DGC”, collegato al gateway europeo (DGCG), dove sono rese disponibili tutte le chiavi pubbliche utilizzate per firmare gli “EU Digital COVID Certificate” emessi. Una delle due affermazioni è falsa, e direi che quasi certamente è falsa quella della Polizia Postale perché il funzionamento offline era uno dei prerequisiti per queste applicazioni. Tecnicamente: - il green pass è un set di dati codificato in un qrcode assieme alla relativa firma digitale del ministero; - non è possibile generare un green pass falso che risulti valido alla verifica a meno di possedere la chiave privata ministeriale con cui sono firmati (evento estremamente improbabile a meno che la chiave la custodisca il tizio di Frosinone che ha fatto bucare il CED della sanità laziale); - l'unico modo perché siano generati green pass falsi è che vengano immessi nel sistema dati di vaccinazione falsi, cosa che possono potenzialmente fare solo eventuali medici di base corrotti (per i loro assistiti) o operatori corrotti nei centri vaccianali, o altro personale corrotto con accesso in scrittura a quei sistemi. Il fatto che il periodo di validità del certificato dipende esclusivamente dai dati in esso registrati e dalle regole generali presenti nell'applicazione di verifica, causa mi pare una grave conseguenza: risulta di fatto impossibile revocare un certificato valido. Una persona con green pass valido, se prima della scadenza del medesimo riceve una diagnosi covid rimane comunque in possesso del green pass valido. Spero che se ne rendano conto e che aggiungano all'applicazione una funzione di download periodico dell'elenco dei certificati revocati prima della scadenza, da conservare il locale (basta un hash, niente dati).