Verifica Green Pass API

IVIonty · 27 Ottobre 2021, 8:56am

Dopo l’aggiornamento di stamattina di Verifica C-19 alcuni GP tra quelli pubblicati vengono riconosciuti come non validi, altri si: io ad esempio usando l’ultimo aggiornamento 1.1.5 su iPhone me li valida tutti nel momento in cui scrivo. E’ anche interessante per vedere quanto sia responsivo il sistema messo in piedi per rispondere a questo tipo di anomalie, e direi non tantissimo…

Lorenzo_Berti · 27 Ottobre 2021, 1:27pm

Ma il funzionamento ormai è chiaro.
fintanto che non si aggiornano le rules i settings e gli update risulteranno validi.
Se hanno tolto i certificati con con quelle chiavi oggi, a chi ha aggiornato i valori non sarà più valido, a chi invece li ha aggiornati ieri sera, se non li ha ancora aggiornati, saranno ancora validi.
La tempistica è chiara ormai.
Purtroppo il lavorare offline porta con se determinati problemi di “sincronia”.
Ma ci sono pro e contro e questo è un problema che sicuramente avevano messo in conto.
Semmai, sarebbe molto più importante capire come diavolo sia stata rubata la chiave privata.
Questo si che è grave.

gioggi · 27 Ottobre 2021, 1:41pm

In questo momento la versione 1.1.5 su Android mi da non validi dei green pass che so per certo validi… Prevedo grossi danni

Lorenzo_Berti · 27 Ottobre 2021, 1:48pm

Anche qui il problema è chiaro. Se davvero è stata rubata una chiave privata, con ogni probabiltà tutti i greenpass firmati con quella chiave, che è stata tolta, risultereanno invalidi.
Non so davvero come ne escono da questo guaio se non rinviando a tutti dei greenpass validi firmati con altra chiave.

manuel.esse · 27 Ottobre 2021, 2:20pm

Buongiorno a tutti!
Ma solo a me continua a validare con successo il qrcode del tweet?
Sto usando una la dll C# GreenPassValidator ed ho appena scaricato le regole e le chiavi…

IVIonty · 27 Ottobre 2021, 2:38pm

Senza dubbio, un sistema distribuito con aggiornamento giornaliero e validazione offline ha questi aspetti negativi.
Stanno procedendo via via nei frontend dei singoli paesi, sui diversi certificati che stanno trovando come compromessi, creando una situazione a macchia di leopardo dove alcune app (come quella italiana) non validano i GP firmati con la chiave “francese” mentre valida quelli della chiave “Polacca”, mentre altre come quella svizzera o quella olandese continuano a validarli tutti.

E stiamo parlando di GP generati con firme rubate e pubblicati a scopo dimostrativo, quindi è facile supporre che fossero “sacrificabili”, ma che potrebbero esserci altre chiavi a disposizione dei “falsari” ma che non si conoscono.

E’ già comparso un terzo GP con altra firma usato come scam nei forum per farsi contattare per avere altri GP:

immagine
il nome della persona codificata in finlandese suona come “Contattami”

Credo che sia emersa solo la punta dell’iceberg.

frantheman · 27 Ottobre 2021, 3:02pm

Be’, dai, un’ottima palestra su documentalità, sicurezza, attendibilità e fiducia.
Poteva capitare in contesti più delicati.

frantheman · 27 Ottobre 2021, 3:08pm

Ma, curiosità, si sa come gli aderenti al circuito EU-DCC ottengono la chiave privata?

Crobu_Walter · 27 Ottobre 2021, 3:15pm

E’ probabile che il server di convalida abbia ancora in memoria le vecchie chiavi e non essendo aggiornate lo convalidi.
In ogni caso sarà necessario scaricare nuovamente il Green Pass aggiornato con gli strumenti ufficiali poichè alcuni green pass potrebbero risultare invalidi ora…

herald-si · 27 Ottobre 2021, 3:57pm

github.com

Digitaler-Impfnachweis/certification-apis/blob/master/dsc-update/README.md

# DSC TrustList Update API

To be able to validate [Digital COVID Certificates](https://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/safe-covid-19-vaccines-europeans/eu-digital-covid-certificate_en) (DCCs) from different EU countries, the national verifier apps need to retrieve a list of public keys from all possible issuing authorities. Those are called Document Signing Certificates (DSCs).
As more institutions get authorised to issue vaccination certificates, this list has to be maintained and synchronised to the verifier apps.

For an EU wide synchronisation of the list of issuing authorities, the EU commission installed a centralised service called the [EU DCC Gateway](https://github.com/eu-digital-green-certificates/dgc-gateway): a collection of REST API endpoints to upload individual DSCs as well as [fetch the latest list of all DSCs](https://eu-digital-green-certificates.github.io/dgc-gateway/#/Trust%20Lists/downloadTrustList).
Only EU Member States are allowed to access the EU Gateway (secured via mTLS), so every country must additionally provide the collection of their acknowledged DSCs via a national backend.
Bilateral exchanges are not prohibited, and private institutions (airlines, commercial verifying vendors) might request access to the national endpoint.
A removal of a DSC from the EU Gateway by a member state will be propagated to all verifier apps and is to be seen as invalidating all DCCs signed by this DSC.

This API spec defines the endpoint for the national backend that offers the list of Trusted DSCs to the verifier apps for seal verification.
A periodical request to the EU Gateway (~ every 6h) is made to fetch the latest set of all DSCs from all EU member states connected to the EU gateway.
As the national backend is public, an additional signature element is added to the overall content provided by the EU Gateway.

## Data Schema

The data structure that gets delivered looks as follows (inspired by the [COSE object](https://cose-wg.github.io/cose-spec/#rfc.appendix.C.1)):

```json
o3SWKd9PKKaQcLqc+z0F6IJAK6lxaw/B1JCWETB9EZBYgT8F/+R29+vedCO/Wkz0aXgi8SOGkXIr2rW9fEk/Jg==

This file has been truncated. show original

frantheman · 27 Ottobre 2021, 4:01pm

Questa e’ la fase di verifica/validation.
Chiedevo come una ASL qualsiasi ottiene la sua chiave privata, cosi’ per avere un’idea di come potrebbe cadere in mani sbagliate.

herald-si · 27 Ottobre 2021, 4:08pm

Penso che ogni paese agisca in maniera autonoma e differente.
Non credo sia pubblica la procedura per il certificato italiano, anche perché solamente uno (nella trust list ne vedo uno solo rilasciato CN=Italy DGC DSC 1, O=Ministero della Salute, C=IT ) a differenza di quelli francesi/tedeschi che ne hanno una serie (vedi qui SE DCC Trust Point - Main page)

frantheman · 27 Ottobre 2021, 4:24pm

Evidentemente l’Italia rilascia come Ministero e si appoggia, immagino, al SistemaTS (Tessera Sanitaria) o qualcosa di simile per raccogliere la segnalazioni degli eventi. Quindi, in teoria, il rischio può essere:

l’esfiltrazione della chiave privata (in Italia ai danni del Ministero che detiene l’unica chiave);
l’inserimento abusivo nel sistema capillare di punti sul territorio che comunicano i dati al ministero.

Nel primo caso si potrebbero creare certificativerdi esternamente al sistema eu-dcc, comodamente dal divano di casa sul proprio pc (oppure c’e’ anche una parte di composizione/firma da parte di un sistema sovranazionale?): in questo caso, visto che pare che esistano repositories dei certificati emessi (senno’ come possono funzionare le piattaforme INPS e MIUR, o come si potrebbe scaricare ripetutamente il certificatoverde tramite IO?), il certificato sarebbe ignoto al sistema nazionale centrale.
Il secondo caso ancora più subdolo, perché il qr-code entra anche in circolo nel sistema nazionale centrale.

Sottocaso del secondo caso è che un operatore inserisca a sistema eventi non veritieri, ma questa è una evenienza che penso difficilmente si può prevenire con rimedi informatici, nemmeno si può mettere un controllo sull’esistenza della persona protagonista dell’evento, visto che in teoria potrebbe essere un venusiano (cosi’ per nominare un posto esotico senza far torto a nessuno) in visita sulla Terra che si fa un tampone per andare al cinema.

gianniftp · 27 Ottobre 2021, 4:41pm

il problema nasce dal fatto che “per problemi di privacy” il green pass deve essere agnostico rispetto alla persona che lo porta. nel senso che e’ necessario verificare “de visu” il documento per capire se e’ vero, dopo aver verificato che e’ valido. Non c’e’ e non e’ possibile per decreto l’incrocio dei dati. Mi devo fidare del pezzo di carta/jpg. Secondo me viola il principio del “digital by design”. E’ pensato per un uso cartaceo. Sarebbe stato piu’ semplice un app che online validasse la certificazione partendo dal codice fiscale (come avviene infatti per i sistemi batch). senza inutili foglietti. la stampa non doveva essere possibile o doveva essere inutile.

frantheman · 27 Ottobre 2021, 5:18pm

nasce come sistema per veicolare contenuti che nascono digitali fuori da sistemi digitali. è geniale come cosa. niente di nuovo ma geniale.
da questo punto di vista e’ un’esperienza da affinare e ripetere, per esempio per i certificati anagrafici.
partendo dall’assunto che dati che girano su sistemi informatici tendono a restare appiccicati un po’ ovunque e/o ad essere intercettati e anche da una situazione concreta in cui non c’e’ possibilità di connettersi alla rete delle reti, incapsulare insieme contenuto informativo e dati di validazione consentendo anche di passare al supporto analogico e’ un’ottima soluzione (con dei limiti ma ottima).

detto questo (un po’ gratuitamente ma mi e’ scappato) non so se rispondevi a me sul fatto che non e’ possibile incrociare i dati. Lo so bene e meno male che e’ cosi’!
Quando parlavo di incrocio di dati mi riferivo alla fase di emissione da parte della struttura sanitaria pressa la quale si verifica l’evento.

se non ti fidi nemmeno del qr-code con firma elettronica fatta con chiave rilasciata da un soggetto autorevole… sei proprio miscredente

LucaD · 27 Ottobre 2021, 6:57pm

Al momento in cui scrivo ho provato al volo uno script che interroga i due endpoint del Ministero (elenco chiavi pubbliche e status dei KID) e non ne risultano di bannati:

211 valid KIDs downloaded
211 certificates downloaded

voi avete evidenza che siano state bannate delle chiavi o si è ricorsi a qualche altro meccanismo per invalidare alcuni GP?

LucaD · 27 Ottobre 2021, 7:15pm

ho provato ad analizzare i GP che riporta Paolo Attivissimo nel suo post.

Risultano firmati con 3 distinte chiavi:

CN = DSC_FR_023
CN = Robert Koch-Institut
CN = Poland Vaccination DGC Service 1

gianniftp · 28 Ottobre 2021, 7:11am

Io vedo che adesso ci sono in giro dei certificati che risultano firmati da un soggetto autorevole, ma il contenuto non e’ verificabile. Se hanno emesso certificati falsi con associato un documento falso, quel green pass sarà indistinguibile da uno vero associato ad un documento vero. Il controllore dovrà poi per conto suo verificare se ha davvero davanti a se topolino o hitler.
A me, per quanto possa essere geniale il tentativo, sembra che soprattutto in Italia, il processo sia stato piegato per esigenze esterne alla digitalizzazione e abbia virato su una versione cartacea della cosa (il controllo manuale del documento). Ci sono app di altri paesi che mostrano in chiaro tutti i dati. VerificaC19 li nasconde, così facciamo finta di garantire la privacy, diciamo che e’ l’unica app consentita e siamo a posto sulla carta con la legge.

ettoremazza · 28 Ottobre 2021, 8:48am

Scusi, ma quello che ha scritto non significa nulla. Qualunque sistema necessita della verifica dell’identità, quello che l’app nasconde non ha nessun rilevanza al riguardo.

IVIonty · 28 Ottobre 2021, 12:31pm

Sviluppo interessante sulla possibile origine dei Green Pass generati in maniera fraudolenta:

ipotesi: #GreenPass hackerato: ecco come hanno fatto (e cosa fare ora) - YouTube

prime conferme: https://twitter.com/Xiloeee/status/1453493664806735876

TLDR:
non sarebbero state sottratte delle chiavi private, ma delle persone con accesso a dei portali implementati con il frontend per il rilascio dei certificati Europei GitHub - eu-digital-green-certificates/dgca-issuance-web: Repository for the dgca issuance web app. ha sfruttato la funzione per generare l’anteprima del GP fatto con dati spuri. L’anteprima genera in tutto e per tutto certificati validi.

Fonte del materiale: Il Disinformatico: Perché questi codici QR sembrano “green pass” validi di Adolf Hitler, Topolino e Spongebob?