https://attivissimo.blogspot.com/2021/10/perche-questi-codici-qr-sembrano-green.html?m=1
<https://attivissimo.blogspot.com/2021/10/perche-questi-codici-qr-sembrano-gr...> Sto ricevendo numerose segnalazioni di codici QR come quello qui accanto, che le applicazioni di verifica dei “green pass” considerano validi ma che sono intestati ad Adolf Hitler. Provate a scansionarli con VerificaC19 o con l’app svizzera equivalente, CovidCheck: restituiscono HITLER come cognome, ADOLF come nome e 01.01.1900 come data di nascita. Cosa più importante, queste app di verifica li accettano come validi. A prima vista sembrerebbe essere una gravissima violazione dell’affidabilità del sistema dei green pass o certificati Covid digitali, che minerebbe alla base la fiducia nel sistema di verifica. In teoria, infatti, soltanto gli enti sanitari autorizzati hanno le chiavi crittografiche private che consentono di generare green pass validi e rendono impossibile alterare un green pass esistente immettendovi per esempio un nome differente. Ma affermazioni straordinarie richiedono prove straordinarie, che per ora scarseggiano. Questo è un altro codice QR (segnalato da @reversebrain) che fornisce lo stesso risultato, anche qui con il nome e cognome interamente in maiuscolo: Questo, invece, risulta valido e intestato a Adolf Hitler (in minuscolo tranne le iniziali), con data di nascita 01.01.1930: Secondo le prime analisi (grazie @fuomag9 e alla sua app Green Pass Decoder), l’ente emittente indicato nei primi due codici QR sarebbe la CNAM francese (Caisse Nationale d’Assurance Maladie), ma questo dato non farebbe parte di quelli protetti dalla crittografia, per cui potrebbe essere stato alterato. Il primo codice viene interpretato da Green Pass Decoder così (secondo queste info, dob è la data di nascita, fn è il nome, gn è il cognome, co è il paese di vaccinazione, dn è il numero di dosi ricevute, dt è la data di vaccinazione, is è l’ente che ha emesso il green pass, ma è il produttore del vaccino, mp è l’identificativo di prodotto del vaccino, sd è il numero totale di dosi, tg è la malattia coperta dal vaccino, vp indica vaccino o profilassi, ver è la versione dello schema, 4 indica la scadenza del codice e 6 indica la data di generazione del codice): { 1:"CNAM", 4:1697234400, 6:1635199742, -260:{ 1:{ "v":[ { "ci":"URN:UVCI:01:FR:T5DWTJYS4ZR8#4", "co":"FR", "dn":2, "dt":"2021-10-01", "is":"CNAM", "ma":"ORG-100030215", "mp":"EU/1/20/1528", "sd":2, "tg":"840539006", "vp":"J07BX03" } ], "dob":"1900-01-01", "nam":{ "fn":"HITLER", "gn":"ADOLF", "fnt":"HITLER", "gnt":"ADOLF" }, "ver":"1.3.0" } } } Il secondo codice viene letto come segue: { 1:"CNAM", 4:1697234400, 6:1635199742, -260:{ 1:{ "v":[ { "ci":"URN:UVCI:01:FR:T5DWTJYS4ZR8#4", "co":"FR", "dn":2, "dt":"2021-10-01", "is":"CNAM", "ma":"ORG-100030215", "mp":"EU/1/20/1528", "sd":2, "tg":"840539006", "vp":"J07BX03" } ], "dob":"1900-01-01", "nam":{ "fn":"HITLER", "gn":"ADOLF", "fnt":"HITLER", "gnt":"ADOLF" }, "ver":"1.3.0" } } } Su Raidforums c’è una discussione molto lunga e tecnica che sembrerebbe aver trovato le chiavi private. Se così fosse, chiunque potrebbe generarsi un green pass e l’intero sistema sarebbe da buttare e rifare da capo (o almeno sarebbe necessario revocare tutte le chiavi private attuali e cambiarle) e in ogni caso il green pass avrebbe perso ogni credibilità presso l’opinione pubblica. Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.” 2021/10/27 1:25. VerificaC19 non riconosce più come validi i codici QR mostrati qui sopra, o perlomeno questo è quello che dice l’app sul mio telefono Android, mentre altre persone mi dicono che la loro app continua a ritenerli validi: L’app svizzera CovidCheck, invece, li riconosce ancora validi. --- Se scoprite qualcosa di più, segnalatemelo nei commenti; aggiornerò questo articolo man mano che avrò informazioni più dettagliate e sicure.
Fantastico! :-D On Wed, 27 Oct 2021 07:00:50 +0000 Alberto Cammozzo via nexa wrote:
"dt":"2021-10-01",
Assumendo che gli hacker[1] non abbiano voluto strafare, immettendo nel sistema green pass contenenti vaccinazioni future, quel documento è in circolazione da una ventina di giorni. Quale sarà il primo citrullo a sostenere che sono stati i primi e gli unici ad ottenere le chiavi private?
in ogni caso il green pass avrebbe perso ogni credibilità presso l’opinione pubblica
Da ormai qualche anno Paolo Attivissimo è in prima fila a sostenere qualsiasi forma di soluzionismo tecnologico del Covid. A quanto ricordo, ha iniziato con Immuni e SwissCovid. Insomma, questo è in realtà un auspicio: che la perdita di credibilità si limiti al Green Pass, non estendendosi a tutte le sciocchezze che propaganda. Giacomo [1] si tratta infatti di un hack in piena regola: se avessero voluto semplicemente far TANTI soldi, avrebbero potuto vendere Green Pass validi in tutta Europa a 5 euro l'uno. Invece hanno fatto in modo di diffondere la conoscenza acquisita.
Il 27/10/21 09:00, Alberto Cammozzo via nexa ha scritto:
Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.”
Già. Al momento per quanto posso capire i GP a nome AH con anno di nascita 1900 non sono più verificati da VerificaC19 (regole aggiornate alle 11:30). E' quello che appare emesso da "CNAM" (l'autorità francese). Rimane valido (almeno per la mia app) quello con anno 1930, che appare emesso da "PL". rob
In ogni caso, invalidare i due certificati non risolve il problema, nel caso ci sia stato -come sembra molto probabile- un abuso nell'uso delle chiavi private. Chissà quanti altri green pass "farlocchi" ci sono in giro... MP Il 27/10/21 11:43, Roberto Resoli ha scritto:
Il 27/10/21 09:00, Alberto Cammozzo via nexa ha scritto:
Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.”
Già. Al momento per quanto posso capire i GP a nome AH con anno di nascita 1900 non sono più verificati da VerificaC19 (regole aggiornate alle 11:30). E' quello che appare emesso da "CNAM" (l'autorità francese).
Rimane valido (almeno per la mia app) quello con anno 1930, che appare emesso da "PL".
rob
-- Michele Pinassi - Responsabile Cybersecurity Ufficio esercizio e tecnologie - CSIRT Università degli Studi di Siena irt@unisi.it
e' riconosciuto un solo certificato di firma o sono tanti ? se sono tanti, potrebbe essere stato un operatore burlone in uno di questi ? (e alla prima sincronizzazione il certificato di firma non e' riconosciuto piu' come valido ?) certo che ci possono essere documenti farlocchi. basta che chi li produce li farlocchi in origine. vale per tutto... una volta, in viaggio in sudamerica, uno zelante funzionario di una polizia di frontier mi offri' a prezzo modesto un passaporto originale... ciao, s. On 27/10/21 12:02, Michele Pinassi wrote:
In ogni caso, invalidare i due certificati non risolve il problema, nel caso ci sia stato -come sembra molto probabile- un abuso nell'uso delle chiavi private. Chissà quanti altri green pass "farlocchi" ci sono in giro...
MP
Il 27/10/21 11:43, Roberto Resoli ha scritto:
Il 27/10/21 09:00, Alberto Cammozzo via nexa ha scritto:
Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.”
Già. Al momento per quanto posso capire i GP a nome AH con anno di nascita 1900 non sono più verificati da VerificaC19 (regole aggiornate alle 11:30). E' quello che appare emesso da "CNAM" (l'autorità francese).
Rimane valido (almeno per la mia app) quello con anno 1930, che appare emesso da "PL".
rob
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Il 27/10/21 12:33, Stefano Quintarelli ha scritto:
e' riconosciuto un solo certificato di firma o sono tanti ? se sono tanti, potrebbe essere stato un operatore burlone in uno di questi ? (e alla prima sincronizzazione il certificato di firma non e' riconosciuto piu' come valido ?)
certo che ci possono essere documenti farlocchi. basta che chi li produce li farlocchi in origine. vale per tutto...
una volta, in viaggio in sudamerica, uno zelante funzionario di una polizia di frontier mi offri' a prezzo modesto un passaporto originale...
ciao, s.
Temo che il problema sia assai più grave ... come noto non è possibile revocare singoli GP, ma solo invalidare (ritirare) le chiavi con cui sono stati firmati. Non ho idea sinceramente di quante siano queste chiavi, ma invalidarne una significa togliere validità all'intero lotto di GP firmati con quella. https://nitter.1d4.us/jaromil/status/1453255678714335232?s=20 rob
certo, questo e' il problema non vorrei essere nei panni del "burlone" che ha fatto questa cavolata On 27/10/21 12:39, Roberto Resoli wrote:
Il 27/10/21 12:33, Stefano Quintarelli ha scritto:
e' riconosciuto un solo certificato di firma o sono tanti ? se sono tanti, potrebbe essere stato un operatore burlone in uno di questi ? (e alla prima sincronizzazione il certificato di firma non e' riconosciuto piu' come valido ?)
certo che ci possono essere documenti farlocchi. basta che chi li produce li farlocchi in origine. vale per tutto...
una volta, in viaggio in sudamerica, uno zelante funzionario di una polizia di frontier mi offri' a prezzo modesto un passaporto originale...
ciao, s.
Temo che il problema sia assai più grave ...
come noto non è possibile revocare singoli GP, ma solo invalidare (ritirare) le chiavi con cui sono stati firmati. Non ho idea sinceramente di quante siano queste chiavi, ma invalidarne una significa togliere validità all'intero lotto di GP firmati con quella.
https://nitter.1d4.us/jaromil/status/1453255678714335232?s=20
rob _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
non vorrei essere nei panni del "burlone" che ha fatto questa cavolata
burlone sì, ma immagino fesso no. In quanti sono a conoscere le chiavi private di questi certificati in Europa, 100, 1000 e vuoi tra questi non ce ne siano di "burloni"? La chiave privata è una stringa di poco più di 1600 caratteri, nulla, un copia/incolla. Puoi usare un qualsiasi sistema leaks (ultimamente anche Wired ne ha uno [1]) ovviamente dietro Tor e diffonderla, nessuno ti troverà mai. Una volta si diceva il "segreto di Pulcinella". A. [1] https://www.wiredleaks.it/
e' una sola coppia di chiavi ? On 27/10/21 13:04, Antonio Iacono wrote:
non vorrei essere nei panni del "burlone" che ha fatto questa cavolata
burlone sì, ma immagino fesso no. In quanti sono a conoscere le chiavi private di questi certificati in Europa, 100, 1000 e vuoi tra questi non ce ne siano di "burloni"? La chiave privata è una stringa di poco più di 1600 caratteri, nulla, un copia/incolla. Puoi usare un qualsiasi sistema leaks (ultimamente anche Wired ne ha uno [1]) ovviamente dietro Tor e diffonderla, nessuno ti troverà mai. Una volta si diceva il "segreto di Pulcinella".
A.
[1] https://www.wiredleaks.it/ _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Il 27/10/21 13:08, Stefano Quintarelli ha scritto:
e' una sola coppia di chiavi ?
Quelle compromesse imho sono almeno due:
Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.>
Già. Al momento per quanto posso capire i GP a nome AH con anno di nascita 1900 non sono più verificati da VerificaC19 (regole aggiornate alle 11:30). E' quello che appare emesso da "CNAM" (l'autorità francese).
Rimane valido (almeno per la mia app) quello con anno 1930, che appare emesso da "PL".
Quindi stamattina apparentemente una chiave è stata ritirata, l'altra è ancora attiva in questo momento. Probabilmente sono in corso analisi di impatto. rob
Il 27/10/21 13:47, Roberto Resoli ha scritto:
Il 27/10/21 13:08, Stefano Quintarelli ha scritto:
e' una sola coppia di chiavi ?
Quelle compromesse imho sono almeno due:
Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.>
Già. Al momento per quanto posso capire i GP a nome AH con anno di nascita 1900 non sono più verificati da VerificaC19 (regole aggiornate alle 11:30). E' quello che appare emesso da "CNAM" (l'autorità francese).
Rimane valido (almeno per la mia app) quello con anno 1930, che appare emesso da "PL".
Quindi stamattina apparentemente una chiave è stata ritirata, l'altra è ancora attiva in questo momento. Probabilmente sono in corso analisi di impatto.
Ora anche AH-1930 non valida più. rob
Dipende dall'app o, meglio, dalla banca dati delle firme revocate. Con l'app Check DCC rumena (https://play.google.com/store/apps/details?id=ro.sts.dcc&hl=it&gl=US) entrambi risultano ancora validi, ed ho aggiornato il db delle signature alle 15:00 odierne. MP Il 27/10/21 14:45, Roberto Resoli ha scritto:
Il 27/10/21 13:47, Roberto Resoli ha scritto:
Il 27/10/21 13:08, Stefano Quintarelli ha scritto:
e' una sola coppia di chiavi ?
Quelle compromesse imho sono almeno due:
Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.>
Già. Al momento per quanto posso capire i GP a nome AH con anno di nascita 1900 non sono più verificati da VerificaC19 (regole aggiornate alle 11:30). E' quello che appare emesso da "CNAM" (l'autorità francese).
Rimane valido (almeno per la mia app) quello con anno 1930, che appare emesso da "PL".
Quindi stamattina apparentemente una chiave è stata ritirata, l'altra è ancora attiva in questo momento. Probabilmente sono in corso analisi di impatto.
Ora anche AH-1930 non valida più.
rob _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Michele Pinassi - Responsabile Cybersecurity Ufficio esercizio e tecnologie - CSIRT Università degli Studi di Siena irt@unisi.it
On Wed, Oct 27, 2021 at 02:45:43PM +0200, Roberto Resoli wrote:
Ora anche AH-1930 non valida più.
Qualcuno mi/ci spiega dove sono le catene di certificazione e le eventuali liste di revoca? Vorrei capire come sono effettuati i deployment che portano a questi cambi di validità dei green pass farlocchi. Serve un aggiornamento della app di verifica (perché è lei che contiene le informazioni di cui sopra)? Oppure è un aggiornamento lato server, con la app che periodicamente verifica se deve aggiornare la sua copia locale della lista di revoca? Ciao -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader . OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
Il 27/10/21 15:03, Stefano Zacchiroli ha scritto:
On Wed, Oct 27, 2021 at 02:45:43PM +0200, Roberto Resoli wrote:
Ora anche AH-1930 non valida più. Qualcuno mi/ci spiega dove sono le catene di certificazione e le eventuali liste di revoca? Vorrei capire come sono effettuati i deployment che portano a questi cambi di validità dei green pass farlocchi.
Bisognerebbe conoscere bene i dettagli. Le specifiche sono nei collegamenti in questa pagina: https://ec.europa.eu/health/ehealth/covid-19_en Io non mi sono mai cimentato, nè ho mai esaminato il codice dell'app italiana o di altre.
Serve un aggiornamento della app di verifica (perché è lei che contiene le informazioni di cui sopra)?
No, ogni volta che si apre l'app (per lo meno questo è quanto appare dalle informazioni esposte in interfaccia) l'app apparentemente scarica configurazioni, chiavi e regole di verifica Stamattina comunque mi è apparso anche un aggiornamento, sono passato da v1.1.2 a v1.1.5 Chiudendola e riaprendola prima di ogni controllo infatti i QR farlocchi hanno progressivamente perso validità.
Oppure è un aggiornamento lato server, con la app che periodicamente verifica se deve aggiornare la sua copia locale della lista di revoca?
Bisogna leggere il codice. E' abbastanza banale ricompilare, comunque. Non l'ho fatto di persona. https://github.com/ministero-salute/it-dgc-verificaC19-android ciao, rob
Ciao
Scusate il top posting, ma per una volta mi adeguo. Nelle ultime ore sto riconsiderando l'ipotesi del "burlone" (operatore infedele che abusa di chiavi di firma), e che non ci sia una vera compromissione (svelamento) delle stesse, avanzata da Stefano Quintarelli da subito (secondo l'aureo principio KISS). Se questo è vero, mi vengono in mente alcune conseguenze: 1) Probabilmente l'operatore ha controllo su alcuni dati del pass, (nome cognome, data di nascita, numero di dosi, loro date ...) e non su altri (Paese emittente) e quindi ci sono operatori infedeli in più paesi UE. Le motivazioni dell'infedeltà possono essere lo screditamento del sistema o la vendita di gp per denaro (o anche entrambe). 2) In alcuni contesti le chiavi di firma possono essere usate senza lasciare traccia in un log o altro, altrimenti gli operatori sarebbero già stati scoperti (non è così, sono apparsi pass validi di Mickey Mouse e Sponge Bob in queste ultime ore). Questa è una incredibile falla in tutto il sistema, che si basa sulla fiducia e sul controllo che la stessa sia fondata. Come scriveva Carmela Troncoso nell'aprile scorso in un thread[1] su Twitter: " Carmela Troncoso @carmelatroncoso The security of the DGCs depends on: -No signature key being stolen -No IT system of test center/hospital being hacked -No employee (doctor, nurse, IT,...) of test center/hospital being coerced or corrupted in any country whose keys are accepted by countries in the program " 3) Non mi è chiaro come sia stato possibile invalidare alcuni pass farlocchi emessi in questi giorni senza ritirare le relative chiavi, invalidando così anche una moltiitudine di pass legittimi. Esiste la possibilità di mettere in blacklist singoli pass? [1] https://nitter.unixfox.eu/carmelatroncoso/status/1380439779951673347?s=20 Il 27/10/21 12:40, Stefano Quintarelli ha scritto:
certo, questo e' il problema non vorrei essere nei panni del "burlone" che ha fatto questa cavolata
On 27/10/21 12:39, Roberto Resoli wrote:
Il 27/10/21 12:33, Stefano Quintarelli ha scritto:
e' riconosciuto un solo certificato di firma o sono tanti ? se sono tanti, potrebbe essere stato un operatore burlone in uno di questi ? (e alla prima sincronizzazione il certificato di firma non e' riconosciuto piu' come valido ?)
certo che ci possono essere documenti farlocchi. basta che chi li produce li farlocchi in origine. vale per tutto...
una volta, in viaggio in sudamerica, uno zelante funzionario di una polizia di frontier mi offri' a prezzo modesto un passaporto originale...
ciao, s.
Temo che il problema sia assai più grave ...
come noto non è possibile revocare singoli GP, ma solo invalidare (ritirare) le chiavi con cui sono stati firmati. Non ho idea sinceramente di quante siano queste chiavi, ma invalidarne una significa togliere validità all'intero lotto di GP firmati con quella.
https://nitter.1d4.us/jaromil/status/1453255678714335232?s=20
rob
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
o anche la goliardia. possono essere piu' casi in giro per l'europa gli operatori sono certamente dell'ordine delle decine di migliaia se e' cosi, non sappiamo e credo non sapremo se non siano stati beccati e bacchettati ps. apparentemente c'e' la possibilita' di revocare singoli pass On 28/10/21 08:32, Roberto Resoli wrote:
1) Probabilmente l'operatore ha controllo su alcuni dati del pass, (nome cognome, data di nascita, numero di dosi, loro date ...) e non su altri (Paese emittente) e quindi ci sono operatori infedeli in più paesi UE. Le motivazioni dell'infedeltà possono essere lo screditamento del sistema o la vendita di gp per denaro (o anche entrambe).
C'è anche la possibilità di compromissione di un(o o più) server di emissione: https://github.com/ehn-dcc-development/hcert-spec/issues/103#issuecomment-95... vedremo ... rob Il 28/10/21 09:39, Stefano Quintarelli ha scritto:
o anche la goliardia. possono essere piu' casi in giro per l'europa gli operatori sono certamente dell'ordine delle decine di migliaia
se e' cosi, non sappiamo e credo non sapremo se non siano stati beccati e bacchettati
ps. apparentemente c'e' la possibilita' di revocare singoli pass
On 28/10/21 08:32, Roberto Resoli wrote:
1) Probabilmente l'operatore ha controllo su alcuni dati del pass, (nome cognome, data di nascita, numero di dosi, loro date ...) e non su altri (Paese emittente) e quindi ci sono operatori infedeli in più paesi UE. Le motivazioni dell'infedeltà possono essere lo screditamento del sistema o la vendita di gp per denaro (o anche entrambe).
Il 28/10/21 09:39, Stefano Quintarelli ha scritto:
o anche la goliardia.
speriamo ...
possono essere piu' casi in giro per l'europa
sì, specie alla luce delle ultime novità (htpasswd della reference implementation dimenticato ... ) vedi ultime email mia e di 380° (quest'ultima ha tutti i dettagli). La cosa è credibile (o resa tale) perchè sono circolate schermate della interfaccia web di emissione.
gli operatori sono certamente dell'ordine delle decine di migliaia
se e' cosi, non sappiamo e credo non sapremo se non siano stati beccati e bacchettati
Bisogna vedere chi aveva accesso a quella interfaccia web ... ovviamente se era rimasta la password di sviluppo l'utenza non è individuabile. Ci sono comunque altri metadati.
ps. apparentemente c'e' la possibilita' di revocare singoli pass
stamattina quasi tutti i pass farlocchi erano tornati validi, usando regole fresche di VerificaC19 (mia ipotesi: hanno provato a rimuovere alcune chiavi, ma sono tornati indietro perchè l'impatto era troppo forte). Al momento mi risultano non validi solo quelli che appaiono emessi da MK L'utente github denysvitali ne ha fatto un compendio: https://github.com/denysvitali/covid-cert-analysis rob
Il 28/10/21 15:19, Roberto Resoli ha scritto:
possono essere piu' casi in giro per l'europa
sì, specie alla luce delle ultime novità (htpasswd della reference implementation dimenticato ... ) vedi ultime email mia e di 380° (quest'ultima ha tutti i dettagli). La cosa è credibile (o resa tale) perchè sono circolate schermate della interfaccia web di emissione.
https://nitter.kavin.rocks/Xiloeee/status/1453493664806735876?s=20 Non viene collegata nel thread di cui sopra la faccenda dell'htpasswd, nè notato (mi pare) il fatto che i certificati DE, FR, PL siano tornati validi rob
L'utente github denysvitali ne ha fatto un compendio: https://github.com/denysvitali/covid-cert-analysis
concordo con dennysvitali quando afferma che con gli HSM le chiavi private sono al sicuro (anche dagli operatori) Ma gli HSM sono stati usati in tutti gli stati? "As regards the risks mentioned related to the issuers’ operating environments, mitigations measures to ensure effective control shall be implemented such as to generate, store and use the private keys in Hardware Security Modules (HSMs). Use of HSMs for signing health certificates is highly encouraged." [1] La "catena" della cybersecurity è tanto forte quanto il suo anello più debole A. [1] https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D1073
Buongiorno nexiane, una cosa è chiara (ed era chiara fin dall'inizio): il sistema messo in piedi è talmente /complicato/ (anche complesso, ma la complessità si può gestire) da essere TECNICAMENTE ingestibile la complicazione peggiore è stata quella di usare sistemi web: sarà mica una roba seria dai! Roberto Resoli <roberto@resolutions.it> writes:
Nelle ultime ore sto riconsiderando l'ipotesi del "burlone" (operatore infedele che abusa di chiavi di firma), e che non ci sia una vera compromissione (svelamento) delle stesse,
credo che tutti si augurino che sia /solo/ una compromissione locale di uno o più sistemi (online?!?!? [1]) di generazione dei certificati o uno o più "operatori burloni" (io dubito che un medico abbia voglia di rischiare), perché le altre ipotesi fanno Troppa Paura™, soprattutto quella che la chiavi non siano state rubate ma /indovinate/ [2] i vettori di attacco per una compromissione locale (multipla, cioè in più siti) sono molteplici, dal social engineering fino al "evil maid", passando per i malware in almeno un form su 4chan c'è chi sostiene di avere le chiavi private di tutte le nazioni [3] ma il fatto che i documenti farlocchi abbiano date di emissione recenti lascia aperto il dubbio che siano "solo" stati bucati i sistemi online
Se questo è vero, mi vengono in mente alcune conseguenze:
1) Probabilmente l'operatore ha controllo su alcuni dati del pass, (nome cognome, data di nascita, numero di dosi, loro date ...) e non su altri (Paese emittente) e quindi ci sono operatori infedeli in più paesi UE.
ci possono essere altri modi per ottenere le credenziali di un operatore che ha accesso al sistema di generazione del "green pass", non è detto si tratti di operatori infedeli (che comunque rischiano grosso): vedi il Tweet di Carmela Troncoso che riporti sotto. avete presente il livello medio di sensibilità alla sicurezza informatica di tutti gli utenti, medici compresi?... dai post-it appiccicati allo schermo a "orsetto1962" come password :-O vorrei essere una mosca e poter entrare a curiosare il modus operandi quotidiano nei centri vaccinali (o dove si inseriscono i dati) [...]
2) In alcuni contesti le chiavi di firma possono essere usate senza lasciare traccia in un log o altro, altrimenti gli operatori sarebbero già stati scoperti (non è così, sono apparsi pass validi di Mickey Mouse e Sponge Bob in queste ultime ore). Questa è una incredibile falla in tutto il sistema,
ben detto Roberto: possibile che non ci siano i log relativi all'emissione di "green pass"?!? ...magari ci sono eh, solo non lo sapiamo noi.
che si basa sulla fiducia e sul controllo che la stessa sia fondata
OK ma mancanza dei log a parte (cioè: in un sistema serio la tracciabilità deve essere garantita), qualunque sistema si basa in ogni caso sulla fiducia, il punto è saperla gestire bene (e il fattore umano è fondamentale in questo, non c'è tecnica che tenga) [...]
The security of the DGCs depends on: -No signature key being stolen -No IT system of test center/hospital being hacked -No employee (doctor, nurse, IT,...) of test center/hospital being coerced or corrupted
lo schema è un po' semplificato ma mi pare di poter tranquillamente affermare che /tutta/ la sicurezza è basata su presuttosti del genere; per esempio la sicurezza dell'intera "software chain" che ciascuno di noi utilizza sul proprio computer /presuppone/ che tutti e tre i criteri di cui sopra siano rispettati [...]
3) Non mi è chiaro come sia stato possibile invalidare alcuni pass farlocchi emessi in questi giorni senza ritirare le relative chiavi, invalidando così anche una moltiitudine di pass legittimi. Esiste la possibilità di mettere in blacklist singoli pass?
non l'ho ancora capito esattamente perché il thread è lunghissimo, ma se n'è discusso qui: https://github.com/ministero-salute/it-dgc-verificaC19-android/issues/103 qualcuno riesce a capire /tecnicamente/ come funziona la revoca di /singoli/ "green pass" in Italia? Stefano Zanero e Matteo Flora, nel Agosto 2021 dicevano [4] che l'app non ha (aveva?) questa funzione, anche e soprattutto per problemi di privacy: è così? L'allegato B paragrafo 2 del DPCM "Green Pass" [5] sostiene invece che esiste una lista di revoca (di un "green pass") e che tale lista è oggetto di scambio con gli altri paesi EU. Pare che anche in Francia ci sia un decreto del 30 Settembre [6] che preveda l'utilizzo di una lista di revoca: «So yes, there are places where local mechanisms exist to revoke certificates and generate new ones.» [6] Rimaniamo in trepida attesa di una relazione UFFICIALE delle autorità preposte, altrimenti... ci arrabbiamo :-D Saluti, 380° [1] Notare lo screenshot https://github.com/ehn-dcc-development/hcert-spec/issues/103#issuecomment-95... Il servizio web DCG della Macedonia è stato sospeso: https://github.com/ehn-dcc-development/hcert-spec/issues/103#issuecomment-95... [2] ma sarebbero /decisamente/ più interessanti, SE ci fosse la buona fede di analizzare le cause di questi altri scenari [3] https://github.com/ehn-dcc-development/hcert-spec/issues/103#issuecomment-95... [4] https://www.giornalettismo.com/revoca-green-pass-verifica-c19-stefano-zanero... [5] https://www.governo.it/sites/governo.it/files/Green_Pass_all_B.pdf [6] https://github.com/ehn-dcc-development/hcert-spec/issues/103#issuecomment-95... -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Breaking news! 380° <g380@biscuolo.net> writes: [...]
la complicazione peggiore è stata quella di usare sistemi web: sarà mica una roba seria dai!
l'utente PLTorrent ha segnalato circa 2 ore fa [1] che nel codice sorgente dell'applicazione web «EU Digital COVID Certificate Issuance Web Frontend.» [2] c'è questo file: https://github.com/eu-digital-green-certificates/dgca-issuance-web/blob/main... il cui contenuto è: --8<---------------cut here---------------start------------->8--- dgca-user:$apr1$p/TIVIAC$UPG8QZSTcVd/iJ6AhzEX5/ --8<---------------cut here---------------end--------------->8--- non ho tempo (e voglia) di capire se per autenticarsi sia necessario e sufficiente inserire come user "dgca-user" con relativa password (tecnicamente si tratta della "basic auth protection" di Nginx) ma se così fosse... beh, non ci sono parole. è stata aperta anche una issue: https://github.com/eu-digital-green-certificates/dgca-issuance-web/issues/11... nella quale è spiegato che l'hash della password sopra è "Apache APR1", il che significa che per indovinare la password sono sufficienti 1000 iterazioni di "brute force" attack c'è quindi la concreta possibilità che in alcune implementazioni nazionali sia stata usata in produzione una password facilmente "craccabile" e che questo abbia permesso l'accesso fraudolento ai sistemi web nazionali ...i log del webserver dovrebbero esserci :-O [...] saluti, 380° [1] https://github.com/ehn-dcc-development/hcert-spec/issues/103 [2] https://github.com/eu-digital-green-certificates/dgca-issuance-web -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
...
Rimaniamo in trepida attesa di una relazione UFFICIALE delle autorità preposte, altrimenti... ci arrabbiamo :-D
Nel frattempo la notizia ha varcato l'oceano [1] I non tecnici si staranno chiedendo perché tutta questa enfasi, concitazione ... paura. E che sarà mai, nella vita "reale" di chiavi se ne perdono ogni giorno. Il motivo è che ormai (con un'escalation negli ultimi dieci anni) quasi tutto il mondo digitale è legato, mani e piedi, alla crittografia asimmetrica (chiave privata / chiave pubblica). Scenari: 1) Chiave privata calcolata. Probabilità remotissima, vorrebbe dire che qualcuno ha trovato un algoritmo per risolvere velocemente il problema del logaritmo discreto o della fattorizzazione di numeri primi. Oppure si è costruito in garage un computer quantistico. In quel caso verrebbe giù di colpo il mondo digitale. 2) Chiave privata "rubata". Probabilità remota. Per rubare qualcosa bisogna che esista, la chiave privata ormai (da una ventina d'anni) è dentro smart card e HSM, di fatto "non leggibile", non copia/incollabile, ecc. Alla luce di questi scenari, mi chiedo, perché dalla lista dei certificati è stato, appena ieri, cancellato e riemesso quello della Macedonia del Nord? Antonio [1] https://threatpost.com/eus-green-pass-vaccination-id-private-key-leaked/1758...
A quanto pare si tratta banalmente di una serie di server macedoni esposti. <https://twitter.com/Xiloeee/status/1453493664806735876?t=OjZOX0kWM7opO1tvkYK...> Se avessi modo di aprire RSA2048 non mi gingillerei con i GP. ciao, A On 29/10/21 15:48, Antonio Iacono wrote:
...
Rimaniamo in trepida attesa di una relazione UFFICIALE delle autorità preposte, altrimenti... ci arrabbiamo :-D Nel frattempo la notizia ha varcato l'oceano [1] I non tecnici si staranno chiedendo perché tutta questa enfasi, concitazione ... paura. E che sarà mai, nella vita "reale" di chiavi se ne perdono ogni giorno. Il motivo è che ormai (con un'escalation negli ultimi dieci anni) quasi tutto il mondo digitale è legato, mani e piedi, alla crittografia asimmetrica (chiave privata / chiave pubblica).
Scenari: 1) Chiave privata calcolata. Probabilità remotissima, vorrebbe dire che qualcuno ha trovato un algoritmo per risolvere velocemente il problema del logaritmo discreto o della fattorizzazione di numeri primi. Oppure si è costruito in garage un computer quantistico. In quel caso verrebbe giù di colpo il mondo digitale.
2) Chiave privata "rubata". Probabilità remota. Per rubare qualcosa bisogna che esista, la chiave privata ormai (da una ventina d'anni) è dentro smart card e HSM, di fatto "non leggibile", non copia/incollabile, ecc.
Alla luce di questi scenari, mi chiedo, perché dalla lista dei certificati è stato, appena ieri, cancellato e riemesso quello della Macedonia del Nord?
Antonio
[1] https://threatpost.com/eus-green-pass-vaccination-id-private-key-leaked/1758... _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Alberto Cammozzo via nexa <nexa@server-nexa.polito.it> writes:
A quanto pare si tratta banalmente di una serie di server macedoni esposti.
<https://twitter.com/Xiloeee/status/1453493664806735876?t=OjZOX0kWM7opO1tvkYK...>
Se avessi modo di aprire RSA2048 non mi gingillerei con i GP.
A quanto ne capisco guardando l'elenco disponibile qui: https://dgcg.covidbevis.se/tp/ le chiavi sono EC P-256, non RSA2048: sbaglio? Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 30 ottobre 2021 00:32:32 CEST, "380°" <g380@biscuolo.net> ha scritto:
Alberto Cammozzo via nexa <nexa@server-nexa.polito.it> writes:
A quanto pare si tratta banalmente di una serie di server macedoni esposti.
<https://twitter.com/Xiloeee/status/1453493664806735876?t=OjZOX0kWM7opO1tvkYK...>
Se avessi modo di aprire RSA2048 non mi gingillerei con i GP.
A quanto ne capisco guardando l'elenco disponibile qui: https://dgcg.covidbevis.se/tp/
le chiavi sono EC P-256, non RSA2048: sbaglio?
Si, ECDSA è l'algoritmo scelto per motivi di robustezza e compattezza. Il risultato finale deve essere tradotto in QR di dimensioni ragionevoli. Una fonte piú pratica dell'elenco (per chi ama la command line) è la lista tedesca: https://de.dscg.ubirch.com/trustList/DSC/ basta togliere la firma alla prima riga e si ottiene un json valido. Notare che oltre alla chiave macedone (MK) altre chiavi sono state rinnovate in questi ultimi giorni ... rob
Ciao Roberto, purtroppo in questo periodo non ho proprio tempo di approfondire la questione. Solo una nota: On October 30, 2021 6:25:27 AM UTC, Roberto Resoli wrote:
Notare che oltre alla chiave macedone (MK) altre chiavi sono state rinnovate in questi ultimi giorni ...
Perché sostituirle se non sono state compromesse? Vi propongo una ipotesi: le applicazioni di firma erano buggate e selezionavano k [1] in modo predicibile o peggio costante. k deve essere impredicibile e diverso ad ogni firma, perché da due firme generate con lo stesso k è possibile calcolare la chiave privata. Immaginiamo un attaccante che osservi come lo stesso json produce la stessa firma tutte le volte: a quel punto sa che c'è un errore nell'implementazione ed è probabile che sia proprio relativo a k. Le applicazioni di firma esposte poi, erano soggette a timing attacks sempre relative a k. Ad esempio, si potrebbe far firmare lo stesso JSON migliaia volte, misurando il tempo della risposta e clusterizzando i risultati ottenuti per tale tempo, ottenendo una serie di firme con una probabilità più elevata di condividere lo stesso k. (Un attacco che non dovrebbe passare inosservato a posteriori analizzando i log, in particolare perché, dovendo ridurre il rumore, gli attaccanti sceglierebbero orari di basso carico). Naturalmente sono solo ipotesi. Non sono però ipotesi del tutto teoriche o da "armageddon crittografico": è già successo in passato [2]. E d'altro canto, perché sostituire le chiavi, in un momento in cui la credibilità del sistema è in discussione se non si hanno concrete ragioni per ritenerle compromesse? Giacomo [1] https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm#Sig... [2] https://www.theregister.co.uk/2013/08/12/android_bug_batters_bitcoin_wallets...
Il 30 ottobre 2021 11:19:17 CEST, Giacomo Tesio <giacomo@tesio.it> ha scritto:
Ciao Roberto,
purtroppo in questo periodo non ho proprio tempo di approfondire la questione.
Solo una nota:
On October 30, 2021 6:25:27 AM UTC, Roberto Resoli wrote:
Notare che oltre alla chiave macedone (MK) altre chiavi sono state rinnovate in questi ultimi giorni ...
Perché sostituirle se non sono state compromesse?
Perchè al momento pare è l'unico modo per togliere valdità a livello sovranazionale ai DGC emessi con quelle chiavi.
Vi propongo una ipotesi: le applicazioni di firma erano buggate e selezionavano k [1] in modo predicibile o peggio costante.
Mi sentirei di escluderlo, come anche di escludere "l'ipotesi dell'anteprima" di M. G. Flora, mi sembra veramente troppo ... rob
[1] https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm#Sig...
[2] https://www.theregister.co.uk/2013/08/12/android_bug_batters_bitcoin_wallets...
On October 30, 2021 9:45:48 AM UTC, Roberto Resoli wrote:
Il 30 ottobre 2021 11:19:17 CEST, Giacomo Tesio <giacomo@tesio.it> ha scritto:
Perché sostituirle se non sono state compromesse?
Perchè al momento pare è l'unico modo per togliere valdità a livello sovranazionale ai DGC emessi con quelle chiavi.
Se il problema è a valle, invalidare milioni di certificati per un pugno di farlocchi sarebbe irrazionale. Il danno perpetrato da Adolf Hitler e Mickey Mouse non è lontanamente comparabile con i certificati validi pubblicati periodicamente su giornali e riviste. Perché se ti trovi davanti Adolf Hitler qualche domanda te la fai, se ti trovi quella di uno sconosciuto anagraficamente simile a quello che hai davanti, no Eppure non invalidiamo milioni di Green Pass ad ogni leak di un singolo qrcode.
Vi propongo una ipotesi: le applicazioni di firma erano buggate e selezionavano k [1] in modo predicibile o peggio costante.
Mi sentirei di escluderlo, come anche di escludere "l'ipotesi dell'anteprima" di M. G. Flora, mi sembra veramente troppo ...
In realtà è un ipotesi tecnicamente plausibile, seppure meno probabile. I server esposti sono stati scoperti solo grazie a questo casino: di tutti quelli che ne compremdevano il funzionamento e li hanno usati, qualcuno ha voluto fare disclosure nell'unico modo veramente efficace. Per questo trovo l'ipotesi "burlone" ridicola. Piace perché riduce la dissonanza cognitiva di chi crede che l'informatica contemporanea sia in qualche modi affidabile. Non lo è. L'armageddon crittografico non serve. L'inferno è già qui, ma tutti sono addestrati a gioirne. ;-) Giacomo
Il 30/10/21 12:41, Giacomo Tesio ha scritto:
On October 30, 2021 9:45:48 AM UTC, Roberto Resoli wrote:
Il 30 ottobre 2021 11:19:17 CEST, Giacomo Tesio <giacomo@tesio.it> ha scritto:
Perché sostituirle se non sono state compromesse?
Perchè al momento pare è l'unico modo per togliere valdità a livello sovranazionale ai DGC emessi con quelle chiavi.
Se il problema è a valle, invalidare milioni di certificati per un pugno di farlocchi sarebbe irrazionale.
Il danno perpetrato da Adolf Hitler e Mickey Mouse non è lontanamente comparabile con i certificati validi pubblicati periodicamente su giornali e riviste.
Perché se ti trovi davanti Adolf Hitler qualche domanda te la fai, se ti trovi quella di uno sconosciuto anagraficamente simile a quello che hai davanti, no
Eppure non invalidiamo milioni di Green Pass ad ogni leak di un singolo qrcode.
Qui non si tratta di leak di un singolo QR, è la compromissione di un server di emissione. Credo che si stia valutando l'impatto delle rimozioni di chiavi. E ogni nazione può decidere quali chiavi rimuovere e quali no in maniera indipendente, ognuna emette la trustlist per la propria applicazione.
Vi propongo una ipotesi: le applicazioni di firma erano buggate e selezionavano k [1] in modo predicibile o peggio costante.
Mi sentirei di escluderlo, come anche di escludere "l'ipotesi dell'anteprima" di M. G. Flora, mi sembra veramente troppo ...
In realtà è un ipotesi tecnicamente plausibile, seppure meno probabile.
I server esposti sono stati scoperti solo grazie a questo casino: di tutti quelli che ne compremdevano il funzionamento e li hanno usati, qualcuno ha voluto fare disclosure nell'unico modo veramente efficace.
Per questo trovo l'ipotesi "burlone" ridicola.
Piace perché riduce la dissonanza cognitiva di chi crede che l'informatica contemporanea sia in qualche modi affidabile.
Non lo è.
Giusto, come qualsiasi cosa umana.
L'armageddon crittografico non serve. L'inferno è già qui, ma tutti sono addestrati a gioirne. ;-)
:-) rob
On October 30, 2021 11:21:52 AM UTC, Roberto Resoli wrote:
Il 30/10/21 12:41, Giacomo Tesio ha scritto:
Per questo trovo l'ipotesi "burlone" ridicola.
Piace perché riduce la dissonanza cognitiva di chi crede che l'informatica contemporanea sia in qualche modi affidabile.
Non lo è.
Giusto, come qualsiasi cosa umana.
Come qualsiasi cosa umana da cui tutti dipendono e che pochissimi comprendono e controllano. Giacomo
Il 30/10/21 15:13, Giacomo Tesio ha scritto:
On October 30, 2021 11:21:52 AM UTC, Roberto Resoli wrote:
Il 30/10/21 12:41, Giacomo Tesio ha scritto:
Per questo trovo l'ipotesi "burlone" ridicola.
Piace perché riduce la dissonanza cognitiva di chi crede che l'informatica contemporanea sia in qualche modi affidabile.
Non lo è. Giusto, come qualsiasi cosa umana. Come qualsiasi cosa umana da cui tutti dipendono e che pochissimi comprendono e controllano.
ri-giusto. rob
Giacomo
On Sat, 2021-10-30 at 10:41 +0000, Giacomo Tesio wrote: ...
Piace perché riduce la dissonanza cognitiva di chi crede che l'informatica contemporaneasia in qualche modi affidabile. Non lo è. L'armageddon crittografico non serve.L'inferno è già qui, ma tutti sono addestrati a gioirne. ;-)
Grandissimo !
A quanto pare si tratta banalmente di una serie di server macedoni esposti.
Sono d'accordo ma vorrei comunque continuare a puntare i riflettori sulle chiavi. "Le chiavi private sono conservate e custodite all’interno di un dispositivo di firma, ovvero di un apparato elettronico programmabile solo all’origine in grado di conservare in modo protetto le chiavi private e generare al suo interno firme digitali" Sono frasi scritte nel DPCM 8 febbraio 1999 !!! Siamo nel 2021, è possibile sapere se le chiavi private usate per i GP sono all'interno di un apparato elettronico (HSM, smart card, ecc.) o su un banale file? Antonio
Il 30 ottobre 2021 10:35:39 CEST, Antonio Iacono <antiac@gmail.com> ha scritto:
A quanto pare si tratta banalmente di una serie di server macedoni esposti.
Sono d'accordo ma vorrei comunque continuare a puntare i riflettori sulle chiavi. ... Siamo nel 2021, è possibile sapere se le chiavi private usate per i GP sono all'interno di un apparato elettronico (HSM, smart card, ecc.) o su un banale file?
Sezione 6.2 (Key Management) di https://ec.europa.eu/health/sites/default/files/ehealth/docs/digital-green-c... Ma sono solo raccomandazioni, non vincoli! Il sistema della Firma Elettronica è stato ben meditato, DGC è stato messo su in fretta e furia, e senza analisi sulle problematiche di sicurezza ... Lo notava Carmela Troncoso già nell'aprile scorso rob
Il 30 ottobre 2021 11:08:58 CEST, Roberto Resoli <roberto@resolutions.it> ha scritto:
Il 30 ottobre 2021 10:35:39 CEST, Antonio Iacono <antiac@gmail.com> ha scritto: ...
Il sistema della Firma Elettronica è stato ben meditato, DGC è stato messo su in fretta e furia, e senza analisi sulle problematiche di sicurezza ...
Lo notava Carmela Troncoso già nell'aprile scorso
https://nitter.eu/carmelatroncoso/status/1380439790391296003 rob
Buonasera Antonio e nexiane oggi non ho avuto modo di seguire nessun thread o issue in merito quindi potrei essermi perso qualcosa di importante, ma fino a questa mattina tutti gli indizi portano a credere che la cosa più probabile che sia successa è che abbiano "bucato" il servizio di emissione GP... sarebbe comunque piuttosto grave dal punto di vista della sicurezza (report ufficiali?!?!?) ma nulla rispetto allo scenario "armageddon", cioè lo scenario 1 descritto da Antionio. Antonio Iacono <antiac@gmail.com> writes: [...]
Scenari: 1) Chiave privata calcolata. Probabilità remotissima, vorrebbe dire che qualcuno ha trovato un algoritmo per risolvere velocemente il problema del logaritmo discreto o della fattorizzazione di numeri primi.
[...] Mio **cuggino** mi ha detto che l'altro ieri in una bisca ha sentito di nascosto un tizio losco che sussurrava all'amico che sotto sotto alcune implementazioni degli algoritmi crittografici sono taroccate... pensa te che leggende metropolitane circolano eh!?! :-O Vi lascio con una favola della buonanotte intitolata «Why I don’t Trust NIST P-256», in cui si racconta la famosissima vicenda di Alice e Bob che vogliono scambiarsi un segreto... ma poi si scopre che ci sono anche Eve, Jerry, John, Jim e altri personaggi minori. https://web.archive.org/web/20210410002501/https://credelius.com/credelius/?... --8<---------------cut here---------------start------------->8--- consider the fact that the method how EC parameters have been selected is not quite clear. To be more exact, it was not clear how a seed has been chosen to generate a curve parameter. It means that a statement about P-256 being “verifiable random” is simply not true and a D. J. Bernstein’s note in a TLS WG discussion confirms that and provides a hint about Jerry’s employer involvement in this case as well. The common suspicion here is that Jerry has tried many of them until found a weak EC curve that can be exploited in the same way as in Dual_EC_DRBG case. Since there is an opinion that there might be a “spectral weakness” in ECC (check also this), that suspicion seems quite plausible. “Spectral weakness” means that there is a uniform (?) distribution of weak EC curves that can be eventually found through enumeration in a reasonable time interval. --8<---------------cut here---------------end--------------->8--- Ma è una favola eh! Buona notte. 380° P.S.: see also http://safecurves.cr.yp.to/rigid.html -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 28 ottobre 2021 11:45:42 CEST, "380°" <g380@biscuolo.net> ha scritto:
Buongiorno nexiane,
...
2) In alcuni contesti le chiavi di firma possono essere usate senza lasciare traccia in un log o altro, altrimenti gli operatori sarebbero già stati scoperti (non è così, sono apparsi pass validi di Mickey Mouse e Sponge Bob in queste ultime ore). Questa è una incredibile falla in tutto il sistema,
ben detto Roberto: possibile che non ci siano i log relativi all'emissione di "green pass"?!? ...magari ci sono eh, solo non lo sappiamo noi.
https://github.com/eu-digital-green-certificates/dgca-issuance-web/pull/116#...
che si basa sulla fiducia e sul controllo che la stessa sia fondata
OK ma mancanza dei log a parte (cioè: in un sistema serio la tracciabilità deve essere garantita), qualunque sistema si basa in ogni caso sulla fiducia, il punto è saperla gestire bene (e il fattore umano è fondamentale in questo, non c'è tecnica che tenga)
[...]
Ma certo. Però almeno un audit trail sugli utilizzi delle chiavi ci vorrebbe no? Fermo restando che se esponi il sistema sul web (MK) e magari lasci file htpasswd dell' implementazione di riferimento, nemmeno quello aiuta. ...
3) Non mi è chiaro come sia stato possibile invalidare alcuni pass farlocchi emessi in questi giorni senza ritirare le relative chiavi, invalidando così anche una moltiitudine di pass legittimi. Esiste la possibilità di mettere in blacklist singoli pass?
non l'ho ancora capito esattamente perché il thread è lunghissimo, ma se n'è discusso qui: https://github.com/ministero-salute/it-dgc-verificaC19-android/issues/103
qualcuno riesce a capire /tecnicamente/ come funziona la revoca di /singoli/ "green pass" in Italia?
Stefano Zanero e Matteo Flora, nel Agosto 2021 dicevano [4] che l'app non ha (aveva?) questa funzione, anche e soprattutto per problemi di privacy: è così?
È così al momento per l'app italiana. Non esiste sistema di revoca per i GP, si può solo ritirare il cert di firma (DSC); cosa avvenuta per i fasulli emessi dal sistema macedone. Notare che i fasulli emessi con chiavi tedesche, francesi e polacche per C19 sono tornati validi. Pare che l'app francese invece abbia un sistema di blacklisting. Un vincolo forte è che l'app di verfica debba solo scaricare, non inviare dati, per evitare alla radice tracciamenti delle persone.
L'allegato B paragrafo 2 del DPCM "Green Pass" [5] sostiene invece che esiste una lista di revoca (di un "green pass") e che tale lista è oggetto di scambio con gli altri paesi EU.
Esiste solo per i DSC, i certificati di firma, non per i DGC stessi. Ogni DSC copre anche milioni di DGC. Dipende dalla numerosità dei DSC, l'Italia ne ha 1 (uno), la Germania 57. Ma anche per la Germania invalidare un DSC significa invalidare milioni di DGC.
Pare che anche in Francia ci sia un decreto del 30 Settembre [6] che preveda l'utilizzo di una lista di revoca: «So yes, there are places where local mechanisms exist to revoke certificates and generate new ones.» [6]
Si, da indagare cosa faccia l'app francese, che sembra aver tolto valdità a tutti i DGC farlocchi. ..
[6] https://github.com/ehn-dcc-development/hcert-spec/issues/103#issuecomment-95...
Trasformato in discussione: https://github.com/ehn-dcc-development/hcert-spec/discussions/105 Sembra al momento la fonte migliore di informazioni. rob
Il 30 ottobre 2021 11:37:49 CEST, Roberto Resoli <roberto@resolutions.it> ha scritto:
Il 28 ottobre 2021 11:45:42 CEST, "380°" <g380@biscuolo.net> ha scritto:
Buongiorno nexiane, ... Stefano Zanero e Matteo Flora, nel Agosto 2021 dicevano [4] che l'app non ha (aveva?) questa funzione, anche e soprattutto per problemi di privacy: è così?
È così al momento per l'app italiana. Non esiste sistema di revoca per i GP, si può solo ritirare il cert di firma (DSC); cosa avvenuta per i fasulli emessi dal sistema macedone. Notare che i fasulli emessi con chiavi tedesche, francesi e polacche per C19 sono tornati validi.
Pare che l'app francese invece abbia un sistema di blacklisting.
https://awa.scumm.it/posts/category/subcategory/2020/10/31/GreenPass/ "Some pass can be revoked because is considered fraudulent or simply expired for some reason (for example a person has a valid test but then get the virus). For this reason it is recommended to implement a revoke list. Unfortunately there is not a standard for it and each country uses its own. As usual, because I am not part of any healthcare network, I used one publicly available, in this case the French list that can be found on this git link." rob (
Il 30/10/21 18:20, Roberto Resoli ha scritto:
Il 30 ottobre 2021 11:37:49 CEST, Roberto Resoli <roberto@resolutions.it> ha scritto:
Il 28 ottobre 2021 11:45:42 CEST, "380°" <g380@biscuolo.net> ha scritto:
Buongiorno nexiane, ... Stefano Zanero e Matteo Flora, nel Agosto 2021 dicevano [4] che l'app non ha (aveva?) questa funzione, anche e soprattutto per problemi di privacy: è così?
È così al momento per l'app italiana. Non esiste sistema di revoca per i GP, si può solo ritirare il cert di firma (DSC); cosa avvenuta per i fasulli emessi dal sistema macedone. Notare che i fasulli emessi con chiavi tedesche, francesi e polacche per C19 sono tornati validi.
Pare che l'app francese invece abbia un sistema di blacklisting.
https://awa.scumm.it/posts/category/subcategory/2020/10/31/GreenPass/ "Some pass can be revoked because is considered fraudulent or simply expired for some reason (for example a person has a valid test but then get the virus). For this reason it is recommended to implement a revoke list. Unfortunately there is not a standard for it and each country uses its own. As usual, because I am not part of any healthcare network, I used one publicly available, in this case the French list that can be found on this git link."
Pare che anche l'ultima versione dell'app italiana abbia implementato qualcosa del genere. VerificaC19 v1.1.6 non verifica più alcuno dei QR in https://github.com/denysvitali/covid-cert-analysis/blob/master/RESULTS.md rob
Il 31/10/21 10:55, Roberto Resoli ha scritto:
Il 30/10/21 18:20, Roberto Resoli ha scritto:
Il 30 ottobre 2021 11:37:49 CEST, Roberto Resoli <roberto@resolutions.it> ha scritto:
Il 28 ottobre 2021 11:45:42 CEST, "380°" <g380@biscuolo.net> ha scritto:
Buongiorno nexiane, ... Stefano Zanero e Matteo Flora, nel Agosto 2021 dicevano [4] che l'app non ha (aveva?) questa funzione, anche e soprattutto per problemi di privacy: è così?
È così al momento per l'app italiana. Non esiste sistema di revoca per i GP, si può solo ritirare il cert di firma (DSC); cosa avvenuta per i fasulli emessi dal sistema macedone. Notare che i fasulli emessi con chiavi tedesche, francesi e polacche per C19 sono tornati validi.
Pare che l'app francese invece abbia un sistema di blacklisting.
https://awa.scumm.it/posts/category/subcategory/2020/10/31/GreenPass/ "Some pass can be revoked because is considered fraudulent or simply expired for some reason (for example a person has a valid test but then get the virus). For this reason it is recommended to implement a revoke list. Unfortunately there is not a standard for it and each country uses its own. As usual, because I am not part of any healthcare network, I used one publicly available, in this case the French list that can be found on this git link."
Pare che anche l'ultima versione dell'app italiana abbia implementato qualcosa del genere. VerificaC19 v1.1.6 non verifica più alcuno dei QR in https://github.com/denysvitali/covid-cert-analysis/blob/master/RESULTS.md
L'utente github @cifred98 spiega il meccanismo: https://github.com/ministero-salute/it-dgc-verificaC19-android/issues/103#is... Nelle impostazioni dell'applicazione sono stati elencati i certificati noti ovviamente falsi rimanenti dopo la revoca del DSC della Macedonia: { "name":"black_list_uvci", "type":"black_list_uvci", "value":"URN:UVCI:01:FR:W7V2BE46QSBJ#L;URN:UVCI:01:FR:T5DWTJYS4ZR8#4;URN:UVCI:01DE/A80013335/TCXSI5Q08B0DIJGMIZJDF#T;URN:UVCI:01:PL:1/AF2AA5873FAF45DFA826B8A01237BDC4;" } Solo una pezza, ovviamente ... rob
Buongiorno nexiane! Roberto Resoli <roberto@resolutions.it> writes: [...]
Temo che il problema sia assai più grave ...
come noto non è possibile revocare singoli GP, ma solo invalidare (ritirare) le chiavi con cui sono stati firmati.
Sì si tratta di furto di certificati X.509 no? ...mumble, credo che mio *cuggino* una volta ha sentito uno che al bar diceva che il modello di sicurezza delle CA X.509 è subottimale... mah?!? AFAIU i certificati europei sono redatti (e firmati) sulla base della «Electronic Health Certificates specification», il cui repo su GitHub è questo: https://github.com/ehn-dcc-development/hcert-spec --8<---------------cut here---------------start------------->8--- The core of the trust model consists of a simple (at this time, one layer deep) list of Country Signing Certificate Authorities (CSCA) that sign Document Signer Certificates (DSC). These are then used to sign the aforementioned digital health certificates (HCERT). --8<---------------cut here---------------end--------------->8--- Il manualone delle specifiche tecniche in PDF è questo: https://ec.europa.eu/health/sites/default/files/ehealth/docs/digital-green-c... Non mi è chiaro per ora se siano state rubate/trafugate le chiavi private di due (per ora?) DSC o di due intere CSCA. Oggi Emanuele Laface ha aperto una issue: https://github.com/ehn-dcc-development/hcert-spec/issues/103 circola anche (documentato nella issue) nei forum un codice per tentare brute-forcing dei certificati
Non ho idea sinceramente di quante siano queste chiavi,
Fino ad ora confermate sono "solo" una chiave FR e una PL, comunque tutta europa è ovviamente in fibrillazione https://www.ansa.it/english/news/2021/10/27/eu-green-pass-generation-keys-st... --8<---------------cut here---------------start------------->8--- Some of the IT keys used to generate the European Green Pass have been stolen and distributed on programming networks to create false COVID-19 health certificates, qualified Italian sources said on Wednesday. A series of meetings at the EU level were being held on Wednesday to examine the situation, according to the sources. It has been decided to cancel all the passes created with those keys, the sources said. The theft of the generation keys did not take place in Italy, they said. (ANSA). --8<---------------cut here---------------end--------------->8--- Però AFAIU non sono state rubate chiavi IT ma FR e PL
ma invalidarne una significa togliere validità all'intero lotto di GP firmati con quella.
https://nitter.1d4.us/jaromil/status/1453255678714335232?s=20
Interessante thread, tra cui si legge: --8<---------------cut here---------------start------------->8--- Not sure about what happens in Italy, but from my recent air travel experience, it doesn't really matter because everyone “scans” them by eye. Not a single verification. --8<---------------cut here---------------end--------------->8--- [...] Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
380° <g380@biscuolo.net> writes: [...]
Fino ad ora confermate sono "solo" una chiave FR e una PL,
e ora /pare/ ci sia il sospetto anche su una tedesca: https://github.com/ehn-dcc-development/hcert-spec/issues/103#issuecomment-95... --8<---------------cut here---------------start------------->8--- There's another forged QR code from the same forum that seems to have been issued by the German health authority, with some text in Finnish in the name area; is there a simple way for me to extract the correlated public key without publishing the QR here? Thanks. --8<---------------cut here---------------end--------------->8---
comunque tutta europa è ovviamente in fibrillazione
qui qualche dettaglio in più, in attesa che gli enti di sicurezza nazionali riescano a capirci qualcosa: https://newsrnd.com/life/2021-10-27-keys-stolen-to-generate-eu-green-pass.Sk... [...] -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 27/10/21 15:34, 380° ha scritto:
[...]
Fino ad ora confermate sono "solo" una chiave FR e una PL, e ora/pare/ ci sia il sospetto anche su una tedesca: https://github.com/ehn-dcc-development/hcert-spec/issues/103#issuecomment-95...
--8<---------------cut here---------------start------------->8---
There's another forged QR code from the same forum that seems to have been issued by the German health authority, with some text in Finnish in the name area; is there a simple way for me to extract the correlated public key without publishing the QR here? Thanks.
--8<---------------cut here---------------end--------------->8---
Sì, emessa da autorità tedesca ma con nome e cognome finlandesi che recitano: passaporto vaccinale eu contattare Wickr" === QR Code Issuer : DE QR Code Expiry : 2022-10-17 20:19:44 QR Code Generated : 2021-10-17 20:19:44 Vaccination Group Unique Certificate Identifier: UVCI : URN:UVCI:01DE/A80013335/TCXSI5Q08B0DIJGMIZJDF#T Country of Vaccination : DE Dose Number : 1 ISO8601 complete date: Date of Vaccination : 2021-09-22 Certificate Issuer : Robert Koch-Institut Marketing Authorization Holder : ORG-100001417 vaccine medicinal product : EU/1/20/1525 Total Series of Doses : 1 disease or agent targeted : 840539006 vaccine or prophylaxis : 1119305005 Date of birth : 1917-12-06 Surname(s), forename(s) Surname : Rokotepassieu Forename : Ota Yhteyttä Wickr Standardised surname : ROKOTEPASSIEU Standardised forename : OTA<YHTEYTTAE<WICKR Schema version : 1.3.0 ===
Il 27/10/21 15:34, 380° ha scritto:
qui qualche dettaglio in più, in attesa che gli enti di sicurezza nazionali riescano a capirci qualcosa:
https://newsrnd.com/life/2021-10-27-keys-stolen-to-generate-eu-green-pass.Sk...
E' la traduzione inglese della notizia ansa in italiano: https://www.ansa.it/sito/notizie/cronaca/2021/10/27/sottratte-chiavi-per-gen... rob
Ciao 380°, grazie dei link Il 27/10/21 15:16, 380° ha scritto:
Fino ad ora confermate sono "solo" una chiave FR e una PL, comunque tutta europa è ovviamente in fibrillazione https://www.ansa.it/english/news/2021/10/27/eu-green-pass-generation-keys-st...
--8<---------------cut here---------------start------------->8---
Some of the IT keys used to generate the European Green Pass have been stolen and distributed on programming networks to create false COVID-19 health certificates, qualified Italian sources said on Wednesday.
A series of meetings at the EU level were being held on Wednesday to examine the situation, according to the sources.
It has been decided to cancel all the passes created with those keys, the sources said.
The theft of the generation keys did not take place in Italy, they said. (ANSA).
--8<---------------cut here---------------end--------------->8---
Quindi è praticamente ufficiale ora, ok.
Però AFAIU non sono state rubate chiavi IT ma FR e PL
Non direi, se sono stati sottratti Document Signer Certificates (DSC), possono essere di qualsiasi nazione, indipendentemente da quanto scritto nel firmato (farlocco). rob
Ciao Roberto, Roberto Resoli <roberto@resolutions.it> writes:
Ciao 380°, grazie dei link
Il 27/10/21 15:16, 380° ha scritto:
[...]
Quindi è praticamente ufficiale ora, ok.
Beh sì, ufficialissimo... comincia a diventare anche una specie di barzelletta sui media generalisti: "Oh, sai che anche Adolf Hitler ha il Green Pass?!? ... però non è più valido, possiamo stare tranquilli allora."
Però AFAIU non sono state rubate chiavi IT ma FR e PL
Non direi, se sono stati sottratti Document Signer Certificates (DSC), possono essere di qualsiasi nazione, indipendentemente da quanto scritto nel firmato (farlocco).
Mi pareva di aver capito che i DCS sono a loro volta firmati dalle Country Signing Certificate Authorities (CSCA) e che questi ultimi sono i root certificates della catena di trust, quindi anche i DCS sono relativi a (e firmati da) ciascun ente nazionale: mi sbaglio? Ciao, Gio' -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Il 27/10/21 19:03, 380° ha scritto:
Ciao Roberto,
Roberto Resoli <roberto@resolutions.it> writes:
Ciao 380°, grazie dei link
Il 27/10/21 15:16, 380° ha scritto:
[...]
Quindi è praticamente ufficiale ora, ok.
Beh sì, ufficialissimo... comincia a diventare anche una specie di barzelletta sui media generalisti: "Oh, sai che anche Adolf Hitler ha il Green Pass?!? ... però non è più valido, possiamo stare tranquilli allora."
Immagino ...
Però AFAIU non sono state rubate chiavi IT ma FR e PL
Non direi, se sono stati sottratti Document Signer Certificates (DSC), possono essere di qualsiasi nazione, indipendentemente da quanto scritto nel firmato (farlocco).
Mi pareva di aver capito che i DCS sono a loro volta firmati dalle Country Signing Certificate Authorities (CSCA) e che questi ultimi sono i root certificates della catena di trust, quindi anche i DCS sono relativi a (e firmati da) ciascun ente nazionale: mi sbaglio?
Si, ma ovviamente se le chiavi private di qualche DCS sono compromesse, non c'è necessità di alcuna nuova firma da parte delle CSCA. rob
participants (9)
-
380° -
Alberto Cammozzo -
Antonio Iacono -
Giacomo Tesio -
Marco A. Calamari -
Michele Pinassi -
Roberto Resoli -
Stefano Quintarelli -
Stefano Zacchiroli