<https://attivissimo.blogspot.com/2021/10/perche-questi-codici-qr-sembrano-green.html>
Sto ricevendo numerose segnalazioni di codici QR come quello qui accanto, che
le applicazioni di verifica dei “green pass” considerano validi ma che sono
intestati ad Adolf Hitler.
Provate a scansionarli con VerificaC19 o con l’app svizzera equivalente,
CovidCheck: restituiscono HITLER come cognome, ADOLF come nome e 01.01.1900
come data di nascita. Cosa più importante, queste app di verifica li accettano
come validi.
A prima vista sembrerebbe essere una gravissima violazione dell’affidabilità
del sistema dei green pass o certificati Covid digitali, che minerebbe alla
base la fiducia nel sistema di verifica. In teoria, infatti, soltanto gli enti
sanitari autorizzati hanno le chiavi crittografiche private che consentono di
generare green pass validi e rendono impossibile alterare un green pass
esistente immettendovi per esempio un nome differente. Ma affermazioni
straordinarie richiedono prove straordinarie, che per ora scarseggiano.
Questo è un altro codice QR (segnalato da @reversebrain) che fornisce lo stesso
risultato, anche qui con il nome e cognome interamente in maiuscolo:
Questo, invece, risulta valido e intestato a Adolf Hitler (in minuscolo tranne
le iniziali), con data di nascita 01.01.1930:
Secondo le prime analisi (grazie @fuomag9 e alla sua app Green Pass Decoder),
l’ente emittente indicato nei primi due codici QR sarebbe la CNAM francese
(Caisse Nationale d’Assurance Maladie), ma questo dato non farebbe parte di
quelli protetti dalla crittografia, per cui potrebbe essere stato alterato.
Il primo codice viene interpretato da Green Pass Decoder così (secondo queste
info, dob è la data di nascita, fn è il nome, gn è il cognome, co è il paese di
vaccinazione, dn è il numero di dosi ricevute, dt è la data di vaccinazione, is
è l’ente che ha emesso il green pass, ma è il produttore del vaccino, mp è
l’identificativo di prodotto del vaccino, sd è il numero totale di dosi, tg è
la malattia coperta dal vaccino, vp indica vaccino o profilassi, ver è la
versione dello schema, 4 indica la scadenza del codice e 6 indica la data di
generazione del codice):
{
1:"CNAM",
4:1697234400,
6:1635199742,
-260:{
1:{
"v":[
{
"ci":"URN:UVCI:01:FR:T5DWTJYS4ZR8#4",
"co":"FR",
"dn":2,
"dt":"2021-10-01",
"is":"CNAM",
"ma":"ORG-100030215",
"mp":"EU/1/20/1528",
"sd":2,
"tg":"840539006",
"vp":"J07BX03"
}
],
"dob":"1900-01-01",
"nam":{
"fn":"HITLER",
"gn":"ADOLF",
"fnt":"HITLER",
"gnt":"ADOLF"
},
"ver":"1.3.0"
}
}
}
Il secondo codice viene letto come segue:
{
1:"CNAM",
4:1697234400,
6:1635199742,
-260:{
1:{
"v":[
{
"ci":"URN:UVCI:01:FR:T5DWTJYS4ZR8#4",
"co":"FR",
"dn":2,
"dt":"2021-10-01",
"is":"CNAM",
"ma":"ORG-100030215",
"mp":"EU/1/20/1528",
"sd":2,
"tg":"840539006",
"vp":"J07BX03"
}
],
"dob":"1900-01-01",
"nam":{
"fn":"HITLER",
"gn":"ADOLF",
"fnt":"HITLER",
"gnt":"ADOLF"
},
"ver":"1.3.0"
}
}
}
Su Raidforums c’è una discussione molto lunga e tecnica che sembrerebbe aver
trovato le chiavi private. Se così fosse, chiunque potrebbe generarsi un green
pass e l’intero sistema sarebbe da buttare e rifare da capo (o almeno sarebbe
necessario revocare tutte le chiavi private attuali e cambiarle) e in ogni caso
il green pass avrebbe perso ogni credibilità presso l’opinione pubblica.
Stefano Zanero, docente di computer security e informatica forense al
Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia
trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia
discutibile, è abbastanza evidente.”
2021/10/27 1:25. VerificaC19 non riconosce più come validi i codici QR mostrati
qui sopra, o perlomeno questo è quello che dice l’app sul mio telefono Android,
mentre altre persone mi dicono che la loro app continua a ritenerli validi:
L’app svizzera CovidCheck, invece, li riconosce ancora validi.
---
Se scoprite qualcosa di più, segnalatemelo nei commenti; aggiornerò questo
articolo man mano che avrò informazioni più dettagliate e sicure. _______________________________________________
nexa mailing list
[email protected]
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
