Agenzia SEO
Leaderboards
Leaderboards
Consulenza SEO Ecommerce
Direttore responsabile Raffaella Zelia Ruscitto
Skyscraper 1
Skyscraper 1
Skyscraper 2
Skyscraper 2
Home
Scienza e Tecnologia
Informatica e Internet

Il green pass di Hitler (valido) invalida quelli con la stessa chiave
Data:
in: Informatica e Internet

Certificato fasullo ma regolare. Un precedente che rischia di creare molti problemi

di Michele Pinassi*

“L’assurdo è la lucida ragione che constata i suoi limiti.” (Albert Camus)

SIENA. Sappiamo che il meccanismo di verifica dei certificati DGC “green pass” funziona attraverso un sistema di firma digitale a chiave pubblica/privata che garantisce la validità dei dati contenuti nel QRcode.

Le specifiche dei DGC sono pubbliche e disponibili (github.com/ehn-dcc-development/hcert-spec), poiché l’intero meccanismo di certificazione dei dati si basa, secondo il buon principio di Kerckhoffs, non sulla segretezza dell’algoritmo ma della chiave usata per la firma.

Ma se la chiave privata per l’emanazione dei DGC di qualche governo europeo non fosse più così tanto “privata”, consentendo la creazione di “green pass” perfettamente validi ma non autorizzati?

È questo il sospetto dell’utente reversebrain che, su Twitter, ha pubblicato un QRcode invitando a verificarlo con l’app VerificaC19:

Se provate a verificare questo QRcode con una qualsiasi delle app di verifica ufficiali (per questo articolo ho usato l’app. Check DCC rumena, una delle più complete come dati visualizzati), scoprirete che è un “green pass” assolutamente valido emesso a beneficio di un tale Adolf Hitler, nato il 1°[ gennaio 1900 e vaccinatosi in data 01.10.2021 con il vaccino prodotto dalla Biontech Manufacturing Gmbh.

Solo un brutto scherzo?

Purtroppo no, non sembra affatto uno scherzo. Verificando i dati relativi all’emittente del certificato, risulta essere stati emesso dalla CNAM –Caisse Nationale d’Assurance Maladie-, francese in data 25.10.2021 con l’identificativo univoco URN:UVCI:01:FR:T5DWTJYS4ZR8#4:

Come prevedibile, l’accaduto ha scatenato un bel fermento sui vari network sociali e altri “green pass” validi vengono diffusi:

Questo, a differenza del precedente, indica come data di nascita il 1° gennaio 1930 e indica l’azienda Janssen-Cilag International come produttrice del vaccino somministrato, in Polonia, dal Centrum e-Zdrowia:

In qualche modo, sembra proprio la dimostrazione che una chiave privata valida viene utilizzata per generare greenpass arbitrari…

Il tutto sembra nascere da un thread su RaidForums, un market sul web ormai noto per essere punto di scambio e pubblicazione di data leaks e altro materiale non sempre lecito, dove peraltro c’è chi adombra la possibilità che anche la chiave privata del governo polacco possa essere stata sottratta.

Immagino che, a questo punto, le autorità preposte dovranno in qualche modo verificare l’accaduto e, se confermato, intervenire per evitare che l’intero meccanismo dei certificati verdi perda efficacia, attraverso meccanismi di verifica e la revoca degli eventuali certificati non validi (operazione decisamente non facile!).

Ad onor di cronaca, risalendo di qualche pagina la discussione sul forum già citato, sembra che un gruppo di connazionali abbia discusso in merito alla possibilità di craccare, con un attacco a forza bruta, la generazione di certificati verdi validi, pubblicando anche uno script in Python all’uopo:

#
#!env python3.8
#------------------------------------------------------------------------
#
#  Bruteforce random Private Key
# 
#  Ver 1.0  19/09/2021        Original
#
#  Cer 1.1  04/10/2021        With a right QR find
#
#------------------
#
#  ATTENZIONE
#  Ti informo che esibire un Green Pass autocostruito
#  in Italia è illegale.
#  Il programma è stato realizzato per hobby e per sfida personale.
#
#  NON PROMUOVO IN OGNI MODO NESSUNA ATTIVITA ILLEGALE
#
#  Se trovate la priv, vi prego di
#  inviarla all'indirizzo email : bruno.XXXXXXXXX@gmail.com
#
#  Grazie !
#
#  "I corrotti ci temono, gli onesti ci sostengono, gli eroi si uniscono a noi"
#
#----------------
#

Evidentemente attorno alla possibilità di ottenere “green pass” illegali c’è molto interesse, probabilmente creato dalle opportunità economiche dettate dalle imposizioni che, man mano che procede la campagna vaccinale, i Governi stanno istituendo nei vari paesi europei.

Chiaramente, come peraltro avevamo già discusso in un articolo di qualche mese fa in merito ai green pass farlocchi, uno dei prerequisiti essenziali per la tenuta del sistema è la corretta e gelosa conservazione della chiave privata usata per la firma. Qualcuno, negli uffici governativi preposti, se la sarà lasciata sfuggire?

*www.zerozone.it

PS Le chiavi che sono state sottratte sono state annullate e, di conseguenza, sono stati invalidati tutti i green pass generati con quei codici.

Intanto, però, nel deep web proliferano i venditori di green pass falsi ma validi…

[banner_mobile]
Are you looking for Krnl this is best Roblox executor this is one of the finest roblox executor.
Download Rapid Streamz for Android, this app will help you stream over 800+ TV channels! Watch free Live TV on Android using the best live tv app for Android. Rapid Streamz application is specially designed for those people who want to enjoy their favorite television shows and movies on the go.
Are you looking for Openiv which is one of the best modding toolset for the PC Versions of GTA 5, GTA 4, Episodes From Liberty City (EFLC) and Max Payne 3, etc. Latest version of the app supports Red Dead Redemption 2 as well. The toolset allows the users to view and alter the game files.
This is CodeX Executor which is a potent application designed to empower Roblox players by allowing them to run scripts within popular Roblox games such as Blox Fruits, Pet Simulator X, Project Slayers, Murder Mystery 2, Adopt Me, Arsenal, and many more.
Enhance your Roblox experience with BTRoblox which is extension that aims to enhance Roblox's website by modifying the look and adding to the core website functionality by adding a plethora of new features.
Winlator is a powerful tool that allows you to run Windows applications and games on your Android device. With Winlator, you can enjoy your favorite PC games on the go, all without the need for a high-end gaming PC. This opens up a whole new world of gaming possibilities, as you can now play your favorite titles anywhere and anytime.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
Sportsfire is a free live-streaming application that focuses on sporting events and is available for installation on Firestick, Fire TV Cube, Fire TV, and Android TV/Google TV Boxes.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
In the age of digital streaming, inat tv Inat TV APK is one of the most video streaming free application. Finding a reliable and feature-rich application to access your favorite TV shows, movies, and live channels has become crucial.
Krira TV is a free sports streaming app that allows fans around the world to watch their favorite sports events in HD quality.
Experience endless entertainment with blink streamz the top Free Live TV App for Android, offering free live sports streaming and more. Enjoy a vast selection of TV channels on your Android device.
krnl
cinema hd
beetv
inat tv
spotiflyer
aniyomi
saikou
scipt hook v
fluxus executor
flix vision
egg ns
fs23 mods
strato emulator
gacha nebula