Buongiorno nexiane! Roberto Resoli <robe...@resolutions.it> writes:
[...] > Temo che il problema sia assai più grave ... > > come noto non è possibile revocare singoli GP, ma solo invalidare (ritirare) > le > chiavi con cui sono stati firmati. Sì si tratta di furto di certificati X.509 no? ...mumble, credo che mio *cuggino* una volta ha sentito uno che al bar diceva che il modello di sicurezza delle CA X.509 è subottimale... mah?!? AFAIU i certificati europei sono redatti (e firmati) sulla base della «Electronic Health Certificates specification», il cui repo su GitHub è questo: https://github.com/ehn-dcc-development/hcert-spec --8<---------------cut here---------------start------------->8--- The core of the trust model consists of a simple (at this time, one layer deep) list of Country Signing Certificate Authorities (CSCA) that sign Document Signer Certificates (DSC). These are then used to sign the aforementioned digital health certificates (HCERT). --8<---------------cut here---------------end--------------->8--- Il manualone delle specifiche tecniche in PDF è questo: https://ec.europa.eu/health/sites/default/files/ehealth/docs/digital-green-certificates_v4_en.pdf Non mi è chiaro per ora se siano state rubate/trafugate le chiavi private di due (per ora?) DSC o di due intere CSCA. Oggi Emanuele Laface ha aperto una issue: https://github.com/ehn-dcc-development/hcert-spec/issues/103 circola anche (documentato nella issue) nei forum un codice per tentare brute-forcing dei certificati > Non ho idea sinceramente di quante siano queste chiavi, Fino ad ora confermate sono "solo" una chiave FR e una PL, comunque tutta europa è ovviamente in fibrillazione https://www.ansa.it/english/news/2021/10/27/eu-green-pass-generation-keys-stolen-sources_2b990838-f5a6-4c71-858d-280fea689bae.html --8<---------------cut here---------------start------------->8--- Some of the IT keys used to generate the European Green Pass have been stolen and distributed on programming networks to create false COVID-19 health certificates, qualified Italian sources said on Wednesday. A series of meetings at the EU level were being held on Wednesday to examine the situation, according to the sources. It has been decided to cancel all the passes created with those keys, the sources said. The theft of the generation keys did not take place in Italy, they said. (ANSA). --8<---------------cut here---------------end--------------->8--- Però AFAIU non sono state rubate chiavi IT ma FR e PL > ma invalidarne una significa togliere validità all'intero lotto di GP > firmati con quella. > > https://nitter.1d4.us/jaromil/status/1453255678714335232?s=20 Interessante thread, tra cui si legge: --8<---------------cut here---------------start------------->8--- Not sure about what happens in Italy, but from my recent air travel experience, it doesn't really matter because everyone “scans” them by eye. Not a single verification. --8<---------------cut here---------------end--------------->8--- [...] Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
