Perché il Green Pass di Hitler non è uno scherzo ma un problema

Il falso Green Pass intestato al fuhrer funziona perfettamente e potrebbe aver evidenziato una grossa falla di sicurezza

Hitler e il falso Green pass

Hitler e il falso Green pass

Da questa notte, improvvisamente, ha iniziato a circolare online su diversi social e forum specilizzati, un Green Pass valido ma palesemente "taroccato": quello di  Adolf Hitler. Non si tratta, purtroppo, solo di uno scherzo di cattivo gusto, ma una concreto problema di sicurezza perché il codice QR da cui è stato verificato il Green Pass del fuhrer è a tutti gli effetti funzionante.

I TERMINI DEL PROBLEMA

Basta inquadrare il codice QR con una qualsiasi delle app a disposizione e sullo schermo compare la schermata verde che ne garantisce la validità. All'origine del problema c'è sicuramente qualche esperto di informatica che è riuscito a impossessarsi, chissà come, delle chiavi private che servono per generare e firmare i green pass. Difficile, al momento, capire chi le abbia rubate e dove siano state reperite queste chiavi che dovrebbero essere protette al massimo livello. La vera questione è che il Green Pass di Hitler rischia ora di mettere in crisi tutto il sistema di sicurezza dei certificati verdi basato principalmente sul fatto che questi siano firmati con una chiave segreta che rappresenta il primo elemento che viene controllato dalle applicazioni di verifica dei certificati stessi.

COME FUNZIONA IL CODICE QR DEI GREEN PASS

I codici QR, solo all'apparenza un quadrato in bianco e nero senza senso, contengono in realtà diverse informazioni personali che formano una combinazione unica. Sono dati come il nome e il cognome della persona vaccinata, il paese della vaccinazione, il numero di dosi ricevute, la data di somministrazione, l’ente che ha emesso il Green Pass, il produttore del vaccino somministrato, il numero totale di dosi, la malattia coperta dal vaccino, la scadenza del codice e la data di generazione. Questi dati non sono cifrati e quindi condividerli online o con chiunque espone i propri dati sanitari ad un rischio concreto.

Nel codice QR esiste poi una parte cifrata, chiamata in gergo tecnico "chiave crittografica" che è invece una stringa di numeri, lettere e simboli che funziona come una firma che attesta che il codice QR non sia stato contraffatto. Questo tipo di crittografia utilizza un algoritmo detto “asimmetrico”: perché tutto sia regolare ed il Green Pass risulti valido quando viene scannerizzato, la chiave privata custodita dall’ente che ha emesso il certificato deve combaciare con la chiave contenuta nel certificato stesso. Le app per controllare il Green Pass verificano appunto che le due chiavi segrete, quella dell’ente e quella del certificato, si completino correttamente. Ed è proprio questo meccanismo che ora viene messo in dubbio. 

Teoricamente, solo enti sanitari autorizzati possono avere ed utilizzare le chiavi crittografiche private che consentono di generare Green Pass validi. Ma il fatto che sia stato creato e messo in circolazione un Green Pass funzionante intestato ad Adolf Hitler suggerisce che qualcuno sia entrato in possesso di queste chiavi e le abbia usate per produrre un certificato falso. Questo vuol dire che quella persona può ora potenzialmente creare un numero illimitato di Green Pass validi, intestati a chiunque. Le indagini sono in corso e solo nelle prossime ore sarà possibile capire i verti termini della questione ma sicuramente questo episodio getta nuove ombre sul certificato verde già oggetto di accesse discussioni e polemiche.

ANNULLATI I PRIMI GREEN PASSA FALSI CREATI

Si è intanto saputo che molti dei Green Pass contraffatti intestati ad Adolf Hitler, diffusi online sono via via in corso di invalidazione e sembra che non vengano più accettati dalle varie applicazioni di verifica compresa la C19, quella ufficiale del ministero della Salute che è stata proprio aggiornata stamattina alle ore 12.02 per correre ai ripari dopo quanto accaduto.