|
|
|
|
Strumenti |
28-10-2021, 17:04 | #1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75175
|
Link alla notizia: https://www.hwupgrade.it/news/web/gr...ma_102002.html
Si è giunti forse ad una svolta nella questione dei Green Pass fasulli intestati da Hitler o anche a Topolino ma che di fatto permettevano di avere la convalida tramite le app di verifica delle certificazioni verdi. In questo caso non sembra che le chiavi siano state rubate ma che il sistema che genera i Green Pass in alcuni paesi sia rimasto ''poco sicuro'' e alla mercè di molti. Click sul link per visualizzare la notizia. |
28-10-2021, 17:44 | #2 |
Member
Iscritto dal: Apr 2009
Messaggi: 192
|
x la Redazione
La "Macedonia", come studiamo a scuola, è una regione della Grecia, forse quello che intendete nell'articolo è lo Stato chiamato "Macedonia del Nord".
|
28-10-2021, 18:06 | #3 | |
Senior Member
Iscritto dal: May 2006
Città: Cagliari
Messaggi: 6187
|
Quote:
Sei un figone e ce l'hai lunghissimo, sei il Dio della sapienza, praticamente l'uomo gatto della geografia.
__________________
MERCATINO: Transazioni Positive 55, ultima: eddysar Negative 3: knaiv, dottorcapone, Sir Alamon. https://www.stopkillinggames.com/ Ultima modifica di kamon : 29-10-2021 alle 11:31. |
|
28-10-2021, 18:12 | #4 | |
Senior Member
Iscritto dal: Dec 2005
Messaggi: 7061
|
Quote:
|
|
28-10-2021, 18:12 | #5 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 3975
|
Allora, prima di tutto basta togliere a codesti stati/enti la possibilità di rilasciare certificati europei, visto che non prendono la questione con serietà.
Secondo, trovo di cattivo gusto continuare a specificare, nell'articolo, di un'interfaccia open-source, come fosse questo la causa del problema. Non dico altro. Terzo, poco importa se l'ente certificatore è definito in una stringa non crittografata, e quindi può essere falsificato: il vero ente che ha rilasciato il certificato è definito della chiave che ha firmato il certificato, quindi si sa con certezza chi è stato. |
28-10-2021, 18:33 | #6 | |
Senior Member
Iscritto dal: Mar 2001
Città: Reggio Emilia
Messaggi: 6175
|
Quote:
__________________
..frengaaa..dov'è l'asciugamano FRENGA!!??..hihi.. Ah ecco.. |
|
28-10-2021, 18:33 | #7 | |
Senior Member
Iscritto dal: May 2009
Messaggi: 842
|
Quote:
Prova magari a chiarire cosa intendevi supporre nel tuo pezzo, che è molto confuso. |
|
28-10-2021, 19:00 | #8 |
Senior Member
Iscritto dal: May 2009
Messaggi: 842
|
Mi rispondo da solo: al momento l'ipotesi più plausibile è che alcuni enti abbiano reso accessibili via web le loro interfacce per la generazione delle "anteprime", e questo permette o permetteva a qualunque malintenzionato di generare dei certificati firmati e quindi formalmente validi (anche se non registrati). Questo non comporterebbe la compromissione delle relative chiavi private, nel senso che i criminali non hanno ottenuto le chiavi ma solo dei certificati falsi firmati. Il risultato è comunque che quelle chiavi vanno revocate e con esse tutti i certificati veri che ne portano la firma.
Ovviamente il fatto che il codice per il front-end sia open source non significa un bel nulla. Se dipendesse da me, bannerei dal sistema i paesi che hanno permesso questo scempio. |
28-10-2021, 20:12 | #9 | |
Member
Iscritto dal: May 2011
Messaggi: 105
|
Quote:
|
|
28-10-2021, 20:17 | #10 |
Senior Member
Iscritto dal: Oct 2001
Messaggi: 19669
|
che è quello che dice l'articolo
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
28-10-2021, 20:32 | #11 |
Senior Member
Iscritto dal: May 2009
Messaggi: 842
|
Non mi pare, l'articolo dice (fra mille cose) che sarebbero stati emessi certificati validi ma non firmati (che è una contraddizione in termini) a causa di un'applicazione open-source installata in Macedonia.
Da quanto si legge da fonti un poco più circostanziate sembra che siano stati trovati almeno sei punti di accesso ad altrettanti sistemi nazionali; i certificati fittizi sono ovviamente firmati, e altrettanto ovviamente la responsabilità dell'abuso di questi sistemi da parte di criminali è in capo a chi li ha installati, configurati e lasciati esposti nei rispettivi paesi, non a un codice a sorgente aperto (se è per questo è open pure il codice dell'app di verifica italiana, giustamente). Se la vicenda si è svolta effettivamente così, allora non vedo come possano risolverla se non revocando le chiavi di tutti i paesi coinvolti, e conseguentemente tutti i relativi certificati finora emessi. Idem se fossero invece state rubate le chiavi. Per la cronaca, sul mio terminale android VerificaC19 aggiornata ad ora valida ancora tutti i certificati farlocchi che si trovano pubblicati. |
28-10-2021, 21:34 | #12 |
Senior Member
Iscritto dal: Jul 2013
Messaggi: 381
|
Staranno valutando quanti certificati sono da ricreare se si annullano le chiavi se sono troppi si limiteranno a revocare so i certificati farlocchi.
Sarebbe anche interessante perchè hanno pubblicato questa roba e non sono stati zitti. Magari hanno ottenuto in qualche mondo altre chiavi? Quindi non gli frega se chiudono quelle? |
28-10-2021, 21:42 | #13 |
Senior Member
Iscritto dal: Feb 2005
Città: Padova
Messaggi: 818
|
|
28-10-2021, 21:51 | #14 |
Senior Member
Iscritto dal: Feb 2004
Messaggi: 5316
|
un passaggio importante del problema, mi pare di capire, è che sia insita nel sistema stesso una debolezza che consente di creare greenpass validi pur partendo da dati inventati, oltretutto senza bisogno di registrazione ma solo arrivando all'anteprima.
Questo li renderebbe indistinguibili da quelli veri, in quanto generati con la stessa procedura e le stesse chiavi, e pure non annullabili perchè non registrati, dico bene? Ma non si potrebbe risolvere a monte la cosa legando la generazione del greenpass a un documento di identità? In tal modo quelli generati da nomi inventati sarebbero esclusi a priori |
28-10-2021, 21:59 | #15 | ||
Senior Member
Iscritto dal: May 2009
Messaggi: 842
|
Quote:
Quote:
|
||
28-10-2021, 22:08 | #16 |
Senior Member
Iscritto dal: Dec 2005
Messaggi: 7061
|
|
28-10-2021, 23:14 | #17 |
Senior Member
Iscritto dal: Apr 2007
Messaggi: 518
|
Tra il farsi rubare le chiavi private e farsi rubare le credenziali per usare il tool che usa le chiavi private non cambia poi molto, sono entrambe cose di pari gravità direi visto che minano alla radice l affidabilità dei certificati emessi in ogni caso
|
29-10-2021, 08:09 | #18 | |
Senior Member
Iscritto dal: Oct 2001
Messaggi: 19669
|
Quote:
ma non sono certificati fittizi, sono anteprime di certificati perfettamente validi e firmati (altrimenti non verrebbero validati) io mi preoccuperei più del 2024 che del 1924...
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.) |
|
29-10-2021, 09:34 | #19 | |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 3975
|
Quote:
Questi sistemi automatici ricevono i dati che tu inserisci, controllano se sono validi, e poi mettono la firma e ti rilasciano il certificato. Qui tutto il casino si basa su una fantomatica funzione "anteprima", che riceve i tuoi dati e NON li controlla, firma immediatamente il documento e te lo mostra come "anteprima". In realtà si tratta di un certificato perfettamente valido, basta fare uno screenshot della schermata. Un po' come se andassi all'anagrafe a chiedere come è fatto un certificato di nascita, e l'impiegato ne compilasse uno con dati inventati e te lo mostrasse, e prima che lui lo strappi tu ne facessi una copia/foto... Non è una debolezza del sistema, è quello che rilascia il certificato che ne sta creando di falsi e li mostra agli utenti, credendo che non siano in grado di estrarli... |
|
29-10-2021, 09:54 | #20 | |
Member
Iscritto dal: Dec 2016
Città: Toulouse/Montpellier/Melbourne
Messaggi: 228
|
Quote:
o meglio, è una cosa senza senso. la firma la si applica affinché la sicurezza diventi intrinseca all'oggetto firmato, come una filigrana su una banconota. si annuncia la chiave pubblica a tutti, il cui meccanismo per recuperarla è, solitamente, anch'esso cablato nella firma, e così chiunque può verificare l'autenticità della firma apposta. se poi adesso viene fuori che in realtà la validità del certificato covid è tale solo se quest'ultimo è stato correttamente "registrato" su non si sa bene quali sistemi centrali, allora perché diavolo li firmano sti benedetti certificati? ma diamine, che generino un UUID e si tengano in pancia sui propri sistemi tutto quel che serve (sarebbe un design, come dire.... "anni 90" a voler esser diplomatici). quando mi serve qualcosa ti fornisco l'id e tu me lo validi. se si firma l'artefatto, l'idea stessa di salvarselo in pancia è un controsenso. la source of truth o è centralizzata o decentralizzata. ci dev'essere altro di cui non sono a conoscenza, sennò questo design non avrebbe davvero senso
__________________
ds/dev, del resto non me ne intendo |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 06:13.