Green Pass falsi con Adolf Hitler: ecco (forse) finalmente la spiegazione del problema

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/gr...ma_102002.html

Si è giunti forse ad una svolta nella questione dei Green Pass fasulli intestati da Hitler o anche a Topolino ma che di fatto permettevano di avere la convalida tramite le app di verifica delle certificazioni verdi. In questo caso non sembra che le chiavi siano state rubate ma che il sistema che genera i Green Pass in alcuni paesi sia rimasto ''poco sicuro'' e alla mercè di molti.

Click sul link per visualizzare la notizia.

[berson]

La "Macedonia", come studiamo a scuola, è una regione della Grecia, forse quello che intendete nell'articolo è lo Stato chiamato "Macedonia del Nord".

[kamon]

Quote:

Originariamente inviato da berson

La "Macedonia", come studiamo a scuola, è una regione della Grecia, forse quello che intendete nell'articolo è lo Stato chiamato "Macedonia del Nord".

Bisogna rendere onore a chi sottolinea un errore così grave e imperdonabile come chiamare la macedonia del nord "macedonia" come si è chiamata sino al lontanissimo 2019.

Sei un figone e ce l'hai lunghissimo, sei il Dio della sapienza, praticamente l'uomo gatto della geografia.

[k0nt3]

Quote:

Simpatico aver utilizzato Hitler

Non molto simpatico onestamente

[marcram]

Allora, prima di tutto basta togliere a codesti stati/enti la possibilità di rilasciare certificati europei, visto che non prendono la questione con serietà.
Secondo, trovo di cattivo gusto continuare a specificare, nell'articolo, di un'interfaccia open-source, come fosse questo la causa del problema. Non dico altro.
Terzo, poco importa se l'ente certificatore è definito in una stringa non crittografata, e quindi può essere falsificato: il vero ente che ha rilasciato il certificato è definito della chiave che ha firmato il certificato, quindi si sa con certezza chi è stato.

[igiolo]

Quote:

Originariamente inviato da kamon

Bisogna rendere onore a chi sottolinea un errore così grave e imperdonabile come chiamare la macedonia del nord "maceonia" come si è chiamata sino al lontanissimo 2019.

Sei un figone e ce l'hai lunghissimo, sei il Dio della sapienza, praticamente l'uomo gatto della geografia.

[frncr]

Quote:

Originariamente inviato da Bruno Mucciarelli

ottenendo comunque un codice del tutto veritiero e dunque riconoscibile dall'app di verifica ma non emesso dal sistema e dunque senza una firma crittografata

Non mi torna. Se il certificato "di prova" non fosse firmato con una chiave privata valida non risulterebbe valido alla verifica con l'app. Se il front-end open-source permette o permetteva di generare certificati firmati, allora siamo ben oltre al concetto di incompetenza per chi l'ha messo online. Mi pare comunque impossibile, significherebbe che il codice sul repository contiene le chiavi private di qualche ente nazionale.
Prova magari a chiarire cosa intendevi supporre nel tuo pezzo, che è molto confuso.

[frncr]

Mi rispondo da solo: al momento l'ipotesi più plausibile è che alcuni enti abbiano reso accessibili via web le loro interfacce per la generazione delle "anteprime", e questo permette o permetteva a qualunque malintenzionato di generare dei certificati firmati e quindi formalmente validi (anche se non registrati). Questo non comporterebbe la compromissione delle relative chiavi private, nel senso che i criminali non hanno ottenuto le chiavi ma solo dei certificati falsi firmati. Il risultato è comunque che quelle chiavi vanno revocate e con esse tutti i certificati veri che ne portano la firma.

Ovviamente il fatto che il codice per il front-end sia open source non significa un bel nulla.

Se dipendesse da me, bannerei dal sistema i paesi che hanno permesso questo scempio.

[kreijack]

Quote:

Originariamente inviato da marcram

Terzo, poco importa se l'ente certificatore è definito in una stringa non crittografata, e quindi può essere falsificato: il vero ente che ha rilasciato il certificato è definito della chiave che ha firmato il certificato, quindi si sa con certezza chi è stato.

+1 Finalmente qualcuno che ha attaccato il cervello !

[zappy]

Quote:

Originariamente inviato da frncr

Mi rispondo da solo: al momento l'ipotesi più plausibile...

che è quello che dice l'articolo

[frncr]

Quote:

Originariamente inviato da zappy

che è quello che dice l'articolo

Non mi pare, l'articolo dice (fra mille cose) che sarebbero stati emessi certificati validi ma non firmati (che è una contraddizione in termini) a causa di un'applicazione open-source installata in Macedonia.
Da quanto si legge da fonti un poco più circostanziate sembra che siano stati trovati almeno sei punti di accesso ad altrettanti sistemi nazionali; i certificati fittizi sono ovviamente firmati, e altrettanto ovviamente la responsabilità dell'abuso di questi sistemi da parte di criminali è in capo a chi li ha installati, configurati e lasciati esposti nei rispettivi paesi, non a un codice a sorgente aperto (se è per questo è open pure il codice dell'app di verifica italiana, giustamente).
Se la vicenda si è svolta effettivamente così, allora non vedo come possano risolverla se non revocando le chiavi di tutti i paesi coinvolti, e conseguentemente tutti i relativi certificati finora emessi. Idem se fossero invece state rubate le chiavi.

Per la cronaca, sul mio terminale android VerificaC19 aggiornata ad ora valida ancora tutti i certificati farlocchi che si trovano pubblicati.

[alien321]

Staranno valutando quanti certificati sono da ricreare se si annullano le chiavi se sono troppi si limiteranno a revocare so i certificati farlocchi.

Sarebbe anche interessante perchè hanno pubblicato questa roba e non sono stati zitti. Magari hanno ottenuto in qualche mondo altre chiavi? Quindi
non gli frega se chiudono quelle?

[ciolla2005]

Quote:

Originariamente inviato da k0nt3

Non molto simpatico onestamente

Per i tedeschi lo era, altrimenti non lo avrebbero votato.

[Opteranium]

un passaggio importante del problema, mi pare di capire, è che sia insita nel sistema stesso una debolezza che consente di creare greenpass validi pur partendo da dati inventati, oltretutto senza bisogno di registrazione ma solo arrivando all'anteprima.
Questo li renderebbe indistinguibili da quelli veri, in quanto generati con la stessa procedura e le stesse chiavi, e pure non annullabili perchè non registrati, dico bene?
Ma non si potrebbe risolvere a monte la cosa legando la generazione del greenpass a un documento di identità? In tal modo quelli generati da nomi inventati sarebbero esclusi a priori

[frncr]

Quote:

Originariamente inviato da alien321

Staranno valutando quanti certificati sono da ricreare se si annullano le chiavi se sono troppi si limiteranno a revocare so i certificati farlocchi.

Purtroppo questo al momento non è possibile. Anche se tecnicamente fattibile, quasi nessun paese ha finora implementato nelle proprie applicazioni qualche tipo di black-list per revocare specifici certificati, men che meno ci sono sistemi condivisi per sincronizzare tali liste. Allo stato attuale un certificato resta valido fino a scadenza o fino a quando viene revocata la chiave che l'ha firmato (la lista delle chiavi viene aggiornata ogni 24 ore).

Quote:

Originariamente inviato da alien321

Sarebbe anche interessante perchè hanno pubblicato questa roba e non sono stati zitti.

Perché così hanno dimostrato inequivocabilmente che è possibile generare certificati falsi e possono convincere meglio i soliti minus habens a pagarli per averne uno.

[k0nt3]

Quote:

Originariamente inviato da ciolla2005

Per i tedeschi lo era, altrimenti non lo avrebbero votato.

Vogliamo ricordare chi ha vinto le elezioni del '24 in Italia?

[xarz3]

Tra il farsi rubare le chiavi private e farsi rubare le credenziali per usare il tool che usa le chiavi private non cambia poi molto, sono entrambe cose di pari gravità direi visto che minano alla radice l affidabilità dei certificati emessi in ogni caso

[zappy]

Quote:

Originariamente inviato da frncr

...i certificati fittizi sono ovviamente firmati, e altrettanto ovviamente la responsabilità dell'abuso di questi sistemi da parte di criminali è in capo a chi li ha installati, configurati e lasciati esposti nei rispettivi paesi, non a un codice a sorgente aperto (se è per questo è open pure il codice dell'app di verifica italiana, giustamente).

concordo.
ma non sono certificati fittizi, sono anteprime di certificati perfettamente validi e firmati (altrimenti non verrebbero validati)

Quote:

Originariamente inviato da k0nt3

Vogliamo ricordare chi ha vinto le elezioni del '24 in Italia?

io mi preoccuperei più del 2024 che del 1924...

[marcram]

Quote:

Originariamente inviato da Opteranium

un passaggio importante del problema, mi pare di capire, è che sia insita nel sistema stesso una debolezza che consente di creare greenpass validi pur partendo da dati inventati, oltretutto senza bisogno di registrazione ma solo arrivando all'anteprima.
Questo li renderebbe indistinguibili da quelli veri, in quanto generati con la stessa procedura e le stesse chiavi, e pure non annullabili perchè non registrati, dico bene?
Ma non si potrebbe risolvere a monte la cosa legando la generazione del greenpass a un documento di identità? In tal modo quelli generati da nomi inventati sarebbero esclusi a priori

La certificazione è come l'apporre una firma in calce al documento.
Questi sistemi automatici ricevono i dati che tu inserisci, controllano se sono validi, e poi mettono la firma e ti rilasciano il certificato.
Qui tutto il casino si basa su una fantomatica funzione "anteprima", che riceve i tuoi dati e NON li controlla, firma immediatamente il documento e te lo mostra come "anteprima". In realtà si tratta di un certificato perfettamente valido, basta fare uno screenshot della schermata.

Un po' come se andassi all'anagrafe a chiedere come è fatto un certificato di nascita, e l'impiegato ne compilasse uno con dati inventati e te lo mostrasse, e prima che lui lo strappi tu ne facessi una copia/foto...

Non è una debolezza del sistema, è quello che rilascia il certificato che ne sta creando di falsi e li mostra agli utenti, credendo che non siano in grado di estrarli...

[lollo9]

Quote:

Originariamente inviato da marcram

[...]
Non è una debolezza del sistema, è quello che rilascia il certificato che ne sta creando di falsi e li mostra agli utenti, credendo che non siano in grado di estrarli...

ammesso e non concesso che le cose siano andate come supposto, è una "debolezza" bella e buona.
o meglio, è una cosa senza senso.

la firma la si applica affinché la sicurezza diventi intrinseca all'oggetto firmato, come una filigrana su una banconota. si annuncia la chiave pubblica a tutti, il cui meccanismo per recuperarla è, solitamente, anch'esso cablato nella firma, e così chiunque può verificare l'autenticità della firma apposta.

se poi adesso viene fuori che in realtà la validità del certificato covid è tale solo se quest'ultimo è stato correttamente "registrato" su non si sa bene quali sistemi centrali, allora perché diavolo li firmano sti benedetti certificati?
ma diamine, che generino un UUID e si tengano in pancia sui propri sistemi tutto quel che serve (sarebbe un design, come dire.... "anni 90" a voler esser diplomatici). quando mi serve qualcosa ti fornisco l'id e tu me lo validi.

se si firma l'artefatto, l'idea stessa di salvarselo in pancia è un controsenso. la source of truth o è centralizzata o decentralizzata.
ci dev'essere altro di cui non sono a conoscenza, sennò questo design non avrebbe davvero senso