Quote:
Originariamente inviato da marcram
[...]
Non è una debolezza del sistema, è quello che rilascia il certificato che ne sta creando di falsi e li mostra agli utenti, credendo che non siano in grado di estrarli...
|
ammesso e non concesso che le cose siano andate come supposto, è una "debolezza" bella e buona.
o meglio, è una cosa senza senso.
la firma la si applica affinché la sicurezza diventi intrinseca all'oggetto firmato, come una filigrana su una banconota. si annuncia la chiave pubblica a tutti, il cui meccanismo per recuperarla è, solitamente, anch'esso cablato nella firma, e così chiunque può verificare l'autenticità della firma apposta.
se poi adesso viene fuori che in realtà la validità del certificato covid è tale solo se quest'ultimo è stato correttamente "registrato" su non si sa bene quali sistemi centrali, allora perché diavolo li firmano sti benedetti certificati?
ma diamine, che generino un UUID e si tengano in pancia sui propri sistemi tutto quel che serve (sarebbe un design, come dire.... "anni 90" a voler esser diplomatici). quando mi serve qualcosa ti fornisco l'id e tu me lo validi.
se si firma l'artefatto, l'idea stessa di salvarselo in pancia è un controsenso. la source of truth o è centralizzata o decentralizzata.
ci dev'essere altro di cui non sono a conoscenza, sennò questo design non avrebbe davvero senso