Domanda Decodifica Green Pass
- Autore discussione ilaTecnimed
- Data d'inizio
- Stato
Esatto, per questioni di privacy non è implementata la revoca, quindi hanno dovuto rifirmare i certificati emessi con quella compromessa
I siti .onion pullulano di truffe. L'unico modo per poter dimostrare di essere capaci di creare green pass fasulli è fare esattamente quello che hanno fatto questi tizi: postare un green pass palesemente falso, preferibilmente con un pezzo di informazione scelta da un avversario. È il meccanismo che sta dietro al concetto di zero knowledge proof. Ad esempio, se volessi convincerti che sono in grado di creare green pass falsi, ne genererei uno a nome St3ve e cognome Eoloprox. Chi ha la chiave privata impiega non più di 10 secondi a generare un certificato, se non è disposto a farlo non merita la vostra fiducia. Foto e video sono buoni solo a spillare soldi ai polli, serve qualcosa che potete verificare voi stessi con il vostro telefono.
Segnalo che in questo momento il green pass di Hitler firmato dal francese è rosso, il green pass di Hitler firmato dal polacco (postato qui) è rosso, ma circolano altri green pass appartenenti a personaggi immaginari (altri Hitler, Spongebob, etc.) verdi anche con la app appena aggiornata. Il problema è tutt'altro che risolto. Vedremo nei prossimi giorni.
No St3ve si stava parlando del procurarsi un GP autentico e spacciarsi con una ID card falsa, ovviamente devi andare solamente in posti dove NON ti conoscono.... Eviterei di andare in una palestra dove sei gia schedato con il tuo vero nome, credo sia la via più accessibile che scalare la chiave privata... oppure trovare un dottore che svouti il vaccino nel lavandino, dato che li da parte del medico c'è il penale, un giornalista dopo che si sparge la voce lo sputtana in due minuti.....poi con la pressone mediatica che si è creata farebbe un bello scoop. Altre alternative per ora non mi vengono... notte.
Le CI cioè? Con selfie
poi ad occhio vedono che non sei tu e taac, fregato! Viva i furbetti! Però è comunque simpatico sapere che c'è qualcuno che ci casca a queste cose e acquista un GP fake per 300 euro! Un affarone
Ultima modifica:
Ma che hai capito?? Il tuo Selfie con dati corrispondenti al green pass 
Trovi un GP che ha + o - la tua età, metti la data di nascita sulla carta di identità fake, il tuo selfie, il nome e cognome corrispondente al green pass, e via....
Trovi un GP che ha + o - la tua età, metti la data di nascita sulla carta di identità fake, il tuo selfie, il nome e cognome corrispondente al green pass, e via....
Comunque, da quanto dicono qui pare che abbiano semplicemente trovato un portale aperto. Può essere che le chiavi non siano mai state leakate.
Insomma, ieri sembrava una cosa seria e interessante. Ora siamo più o meno a questi livelli.
Insomma, ieri sembrava una cosa seria e interessante. Ora siamo più o meno a questi livelli.
Messaggio unito automaticamente:
idee su come bypassare?
Per saperlo bisognerebbe chiedere a un medico che si occupa di fare tamponi e a un medico che si occupa di fare vaccini. Io posso dirti che in Italia quando vai a fare un tampone in farmacia ti chiedono solo la tessera sanitaria e te lo stampano direttamente, mentre quando vai a un centro vaccinale previa prenotazione online ti chiedono solo la tessera sanitaria e lo potrai scaricare sul sito della regione solo qualche giorno dopo, ma comunque prima della data di attivazione. Assumo che in Italia chi ha fatto il vaccino non ha semplicemente il qr code con i dati firmati digitalmente dal Ministero della Salute, ma che la vaccinazione sia presente anche nella sua identità digitale; altrimenti non si spiega il motivo per cui il geren pass post-vaccinazione sia da scaricare sul sito della regione e non venga consegnato al momento dell'iniezione.
Negli altri paesi Europei la situazione potrebbe essere significativamente diversa e nei paesi extra UE che hanno aderito al green pass europeo (tra cui la famosa Macedonia del Nord) idem. Fatto sta che un green pass dei loro è riconosciuto anche da noi, e vice versa. Per questo è uscito fuori tutto sto casino.
Purtroppo funziona ancoraHanno hackerato il green pass. Pare che sia stato un polacco e ancora non si hanno notizie su come abbia fatto. Realisticamente ha violato i server nella italiani regione Lazio e ha beccato la chiave privata, ma ancora non è chiaro. Ansa parla di chiavi sottratte (link).
Secondo me è un errore dovuto al fatto che non hai le Grant necessarie per accedere, infatti non vedi login.jps, è una pagina creata appositamente per restituire un errore.
Credo usino IBM websphere dall'errore che becchi:
Link
puoi provare a pingare il DNS e risolverlo e poi fare un nslookup sull'IP che trovi;
ma probabilmente è sotto un LoaderBalancer, quindi dubito che tu riesca a risalire al'hostname reale del server.
Ragazzi faccio una domanda da ignorante. Ma da un GP valido è possibile poter estrarre la chiave privata?
No. La chiave privata serve solo per costruire un green pass valido. Per verificare il green pass serve quella pubblica, che viene scaricata dalla app una volta sola e poi viene utilizzata (offline) per verificare tutti i green pass che vuoi. All'interno del green pass non è presente né la chiave pubblica e né quella privata. Qui ci sono scritti i dati contenuti in un green pass.
In Italia e un po' ovunque usano ECDSA con prime256v1, quindi la chiave è di 256 bit. Sembra un numero piccolo, ma non lo è. Se hai un processore da 1000 THz e ad ogni colpo di clock riesci a testare una chiave diversa, ti ci vogliono 183 * 10^50 (i.e., 183000...000 con 50 zeri) anni per avere lo 0.1% di probabilità di indovinare la chiave.
Come ha fatto notare JunkCoder, alcuni paesi (e.g. Svizzera e Lituania) hanno anche delle chiavi con RSA 2048 e qualche altro paese (e.g., Macedonia del Nord) ha RSA 4096. In termini di sicurezza effettiva più o meno siamo lì, attaccare logaritmo discreto (ECDSA) su 256 bit è paragonabile ad attaccare la fattorizzazione (RSA) a 3072 bit.
Dico "più o meno siamo lì" perché sia RSA che ECDSA si possono attaccare con tecniche molto più intelligenti del bruteforce, quindi per garantire lo stesso livello di sicurezza un algoritmo ha bisogno di più bit dell'altro. Di fatto siamo attorno ai 128 bit of security, quindi in realtà bastano qualcosa del tipo 5 mila miliardi di anni (un numero a 13 cifre invece che 53) per avere lo 0.1% di probabilità 0.1% di beccare la chiave.
Stime molto spannometriche calcolate con python, ma rendono l'idea. Sono algoritmi usati da banche e da agenzie varie agenzie governative: se volete puntare a trovare una chiave privata, cercate quella che protegge il conto bancario di Bezos... poi il cinema, il teatro e il ristorante ve lo costruite privato a casa vostra, senza bisogno di green pass. Il livello di difficoltà, computazionalmente parlando, credo sia lo stesso.
Non capisco perchè io debba sconsideratamente prodigare e sudare per trovare il senso in questi discorsi mentre loro non si impegnano un minimo a metterlo.
Mi sanguinano gli occhi dalle innumerevoli stupidità che vedo leggendo. Per favore non condividete queste sconclusionatezze sul forum, e, nel caso vogliate un paio di delucidazioni sul tema, siate molto schifiltosi a dar retta alle ciance della gente che dice di sapere.
Ultima modifica:
ciao io ho trovato questo su github ma ora il repo e stato sospeso il file compressso che allego l ho scaricato appena in tempo prima che sospendessero il repo , l 'altro e una copia del sito offline che mi e rimasta sul tel ed e in inglese.......
io non sono molto esperto per cui chiedo a voi di cosa si tratti di preciso ...........
grazie
non so come mai non ha caricato l'altro file .......ecco forse ora si
io non sono molto esperto per cui chiedo a voi di cosa si tratti di preciso ...........
grazie
Messaggio unito automaticamente:
non so come mai non ha caricato l'altro file .......ecco forse ora si
- Stato
DISCUSSIONI SIMILI
- In evidenza
-
- 2
-
- 993