Un breve thread di riassunto sulla questione #GreenPassBucato
Sulla base di quanto sappiamo finora, l’ipotesi del furto delle chiavi private si fa sempre meno plausibile.
E quindi come è possibile che girino i Green Pass di Hitler, Topolino e Spongebob? 1/
👇
La spiegazione plausibile è che c’è una falla nella chain of trust fra gli istituti emittenti e gli operatori che possono generare Green Pass. In parole povere: qualcuno ha accesso a sistemi (farmacia? centro vaccinale? studio medico?) autorizzati a creare certificati validi. 2/
Il punto centrale è questo: nessuno sembra in grado di generare Green Pass retrodatati, cambiando quindi un parametro che non si potrebbe controllare dall’interfaccia di generazione del certificato. Tutto il resto (nomi, date di nascita) sono dati modificabili dal portale. 4/
Su 4Chan girano screenshot della maschera usata per firmare con chiave macedone GreenPass creati in altre nazioni.
È normale: le autorità devono poter scrivere ad esempio US in un pass se qualcuno si è vaccinato negli USA con vaccini approvati EMA. 5/
Se chi sta generando questi certificati volesse provare che ha in mano le chiavi private, il modo più semplice sarebbe retrodatare il pass a un periodo pre-covid. Lo si potrebbe fare solo manualmente e non da una di queste maschere di generazione del Green Pass. 6/
La buona notizia è che se sta succedendo questo, è scongiurata la necessità di una revoca di tutti i green pass per colpa di una falla sistemica. Quella meno buona è che diventa un po’ più complicato bloccarli (e bloccare quelli intestati a persone reali, ma falsificati). 7/
A dimostrazione di questa complicazione ci si mette il comportamento dell’app #VerificaC19, che ieri non riconosceva come validi i pass di Hitler, e oggi invece li valida di nuovo. @denysvitali li ha raccolti qui: github.com/denysvitali/co… 8/
L’ipotesi è che ieri il Ministero della Salute abbia revocato le chiavi legate a quei pass di sua sponte, tornando però sui propri passi perché la revoca non era avvenuta di concerto con altri enti europei. Per questo altre app nazionali vedevano quei certificati come validi. 9/
In conclusione:
• È molto probabile che le chiavi private NON siano state sottratte
• Serve capire quali sistemi di generazione siano stati compromessi e bloccarli
• Il sistema Green Pass è solido, ma il coordinamento internazionale è un casino
10/
P.s. se questo thread vi è stato utile, un retweet e/o un follow è ovviamente gradito /end
• • •
Missing some Tweet in this thread? You can try to
force a refresh
So, let me get this straight @KLM@airfrance — you don’t provide any online boarding pass, but then you keep all your counters closed two hours before a flight.
Airlines are definitely contributing to the @berlinairport utter and complete mess
A very distressed worker just told me the counters open only two hours before a flight. That mean 1h 20 mins before the boarding. All of this with people missing their flights because of check-in lines. And why are the fucking machines offline?! @berlinairport is a sad joke