Possibile annullamento dei green pass con le chiavi sottratte: cosa succede ai cittadini

Il problema dei green pass di Adolf Hitler potrebbe essere qualcosa di più di una semplice goliardata: si sta configurando sempre di più come una questione di sicurezza informatica non soltanto a livello italiano, ma comunitario. In queste ore è stato appurato che diversi QR Code validi – e verificati da tutte le app ufficiali per il controllo del green pass – si siano diffusi in rete. Alcuni di questi portano il nome e una data di nascita (non corretta) di Adolf Hitler. Possibile che tutto questo sia dovuto a un vero e proprio furto delle chiavi identificative per generare il green pass. Per questo motivo, al momento, il governo italiano sarebbe intenzionato a procedere con l’eventuale annullamento tutti i green pass – anche quelli regolarmente ottenuti – relativi a quei determinati codici identificativi.

LEGGI ANCHE > La storia del green pass di un Adolf Hitler nato il 1 gennaio 1900 (e riconosciuto da Verifica C19)

Per il momento sembra essere esclusa l’ipotesi del “furto” avvenuto all’interno dei nostri confini. Come spiega l’agenzia Ansa, infatti, non risultano attacchi hacker nei confronti di Sogei (la Società Generale d’Informatica, completamente controllata dal MEF e che si occupa di consulenza informatica per la pubblica amministrazione) che si occupa – nel nostro Paese – della gestione dei codici per generare la certificazione verde (sia post-vaccino che dopo tampone). Il furto della “chiave” – che potrebbe portare all’annullamento green pass, anche quelli attualmente validi, generati con quei codici identificativi – sarebbe avvenuto all’interno di un altro ente regolatore a livello europeo.

Cos’è la chiave rubata

In attesa di ulteriori informazioni e conferme sull’ipotesi di annullamento Green Pass, proviamo a capire quel elemento sia stato sottratto a uno degli enti regolatori che gestiscono la piattaforma per generare la certificazione verde. Per capire cosa sia questa “chiave”, leggiamo quel che viene spiegato tra le FAQ pubblicate sito ufficiale (italiano):

«No, la Certificazione non è falsificabile e non può essere contraffatta o manomessa. Ogni Certificazione viene prodotta digitalmente con una chiave privata dall’ente che rilascia la Certificazione (in Italia il Ministero della Salute). Le chiavi private assicurano l’autenticità delle Certificazioni, e vengono custodite in sistemi di massima sicurezza. Le corrispondenti chiavi pubbliche vengono poi utilizzate per verificare le Certificazioni attraverso le app di verifica (in Italia VerificaC19). Questo sistema di crittografia a doppia chiave assicura che non sia possibile risalire dalla chiave pubblica alla chiave privata e quindi rende impossibile produrre certificazioni non autentiche. L’app non ha bisogno di essere collegata alla rete per verificare le informazioni sulle Certificazioni. VerificaC19, si collega alla rete unicamente una volta al giorno per aggiornare le chiavi pubbliche di tutti i paesi europei. Nessun dato personale contenuto nelle Certificazioni viene quindi veicolato all’esterno al momento della verifica, né memorizzato sul dispositivo del verificatore».

Una visione molto ottimistica, alla luce di quanto accaduto questa mattina e di quel che potrebbe accadere di qui a poco. Quelle chiavi – un sistema crittografato che permettere di automatizzare il sistema informatico per la generazione dei Green Pass – sarebbero state sottratte (non tutte, ma solo alcune) facendo saltare – di fatto – il sistema di doppia protezione (quella pubblica e quella privata) consentendo di realizzare e generare false certificazioni verdi.

Le indicazioni date dall’Europa (diversi mesi fa)

La questione, dunque, è molto grave. Anche alla luce di quel documento denominato “Digital Green Certificate – Public Key Certificate Governance”, al capitolo 3,  dove vengono date alcune indicazioni di sicurezza per la gestione dei sistemi per generare il Green Pass:

«Nel caso in cui uno stato membro desideri gestire la propria CSCA, i certificati CSCA saranno molto probabilmente certificati autofirmati. Agiscono come l’ancora di fiducia dello stato membro e quindi lo stato membro deve proteggere fortemente la chiave privata corrispondente alla chiave pubblica del certificato CSCA. Si raccomanda agli Stati membri di utilizzare un sistema offline per la propria CSCA, ovvero un sistema informatico non connesso a nessuna rete. Per accedere al sistema è necessario utilizzare il controllo di più persone (ad es. seguendo il principio dei quattro occhi). Dopo aver firmato i DSC, dovrebbero essere applicati controlli operativi e il sistema che contiene la chiave CSCA privata dovrebbe essere archiviato in modo sicuro con forti controlli di accesso. I moduli di sicurezza hardware o le smart card possono essere utilizzati per proteggere ulteriormente la chiave privata CSCA».

La raccomandazione, dunque, è di conservare le chiavi (e quindi l’intera filiera che porta alla generazione della certificazione verde) offline, proprio per evitare che la CSCA – Country Signing Certificate Authority – finisca sotto l’attacco dei pirati informatici.

Annullamento Green Pass, la decisione immediata

Ansa riporta che, nel corso della mattinata, si attendono gli esiti di riunioni fondamentali tra tutti i soggetti tecnici interessati per un’analisi approfondita della situazione. In Italia sono in corso degli accertamenti, anche perché al momento non abbiamo nessuna idea del numero di green pass che possano essere stati coinvolti dal furto di queste informazioni.

Notizia in aggiornamento