Il day after delle “chiavi” rubate per generare Green Pass falsi

Il giorno dopo è il tempo delle valutazioni. Il caso delle “chiavi” utilizzate per creare certificazioni verdi fake – ma funzionanti (almeno fino a che non si è deciso di procedere con una cancellazione) – ha scosso l’Europa intera, ma ancora non è chiaro cosa sia realmente accaduto. Per avere un’analisi più approfondita, con le notizie che nel corso delle ore hanno evidenziato aggiornamenti, ci affidiamo a Enrico Ferraris, l’avvocato avvocato che si occupa principalmente di protezione dei dati personali e del diritto informatico, membro della Commissione Informatica dell’Ordine degli Avvocati di Torino dal 2019, con cui abbiamo parlato anche nella giornata di ieri, poche ore dopo la diffusione delle prime indiscrezioni sul caso delle “chiavi” utilizzate per generare Green Pass falsi.

LEGGI ANCHE > Anche se il furto delle chiavi non è avvenuto in Italia ci sono rischi per i green pass italiani?

L’avvocato, con un thread su Twitter, ha provato a ricostruire la genesi di questa vicenda, aggiungendo alcuni particolari che sono fondamentali per capire – soprattutto – quel che succederà nelle prossime ore e nei prossimi giorni.

Adesso si parla di istanze del servizio dgca-issuance-web mal configurate ed esposte sul web.
Le chiavi non sarebbero state, quindi, compromesse, ma solo abusate.
Resta il problema di individuare i QR firmati illecitamente e il fatto che non possono essere revocati singolarmente. https://t.co/3w67lcSbox

— Enrico Ferraris (@ebobferraris) October 28, 2021

Chiavi abusate e non compromesse. Questa situazione, rispetto alle indicazioni emerse nella giornata di ieri, modificano la percezione – e gli effetti futuri e futuribili – di cosa è accaduto. Soprattutto perché il sistema attuale non permette di procedere alla revoca solamente dei Green Pass falsi, ma di tutti quelli – anche “legali” – ottenuti dopo la vaccinazione (o anche un tampone negativo), ma generati con quelle stesse chiavi.

Green Pass falsi, cosa è successo alle “chiavi” rubate

Un altro aspetto interessante evidenziato dal ragionamento social di Enrico Ferraris arriva dal Paese di provenienza di quelle chiavi utilizzate per creare false certificazioni verdi. Sarebbero quattro in totale: una francese, una tedesca, una polacca e l’ultima macedone. Tutte e quattro non sono ancora state revocate.

📇 #GREENPASS – giorno 2

Nelle giornate di martedì e mercoledì sono stati pubblicati online alcuni QR Code di falsi DGC validamente firmati con almeno 4 diverse chiavi:

1 tedesca, 1 polacca, 1 francese e 1 macedone.
Nessuna delle chiavi risulta “revocata” sul gw europeo.

1/ pic.twitter.com/vWcO5KtI2W

— Enrico Ferraris (@ebobferraris) October 28, 2021

Nessuna revoca dunque, e lo stesso Ferraris prova a spiegare anche il motivo di questa decisione (che, comunque, potrebbe cambiare nel giro di poco tempo). Ci sono Paesi, come la Polonia, che hanno adottato il sistema a “firma singola” (l’Italia, come altri, ha invece optato per una maggior sicurezza con una chiave pubblica e una privata oltre a un sistema multi-chiave). La revoca di questo “codice crittografato” (perché di questo si tratta) comporterebbe gravi problemi nella gestione e nella nuova creazione di nuove certificazioni verdi per tutta la popolazione vaccinata.

La questione dei QR Code falsi (da Hitler a Topolino)

Altro tema di interesse – strettamente collegato a quello delle chiavi rubate – è quello dei QR Code lapalissianamente falsi. Ancora non è chiaro il motivo che abbia spinto questi soggetti – pirati informatici? – a creare falsi Green Pass con nomi paradossali (si va dalle declinazioni di Adolf Hitler a Mickey Mouse), ma sono palesi i Paesi da cui sono stati sottratti quei codici crittografati.

Questi ultimi 2 ci hanno permesso di capire che per la validità del QR non deve esserci coerenza tra l’appartenenza della firma e i campi in cui sono indicati nazione e struttura.
Una singola chiave privata può firmare DGC apparentemente provenienti da qualsiasi paese.

3/

— Enrico Ferraris (@ebobferraris) October 28, 2021

Germania, Francia, Polonia e Macedonia. Le chiavi fanno riferimento a quei Paesi ma questo non vuol dire che i Green pass falsi siano stati generati lì.

(foto ipp clemente marmorino)