Domanda Decodifica Green Pass

St3ve

Utente Emerald
12 Ottobre 2011
2,135
5
1,469
628
ma farmacie e centri vaccinali come e a quali indirizzi passano i dati per la generazione del green pass?
Per saperlo bisognerebbe chiedere a un medico che si occupa di fare tamponi e a un medico che si occupa di fare vaccini. Io posso dirti che in Italia quando vai a fare un tampone in farmacia ti chiedono solo la tessera sanitaria e te lo stampano direttamente, mentre quando vai a un centro vaccinale previa prenotazione online ti chiedono solo la tessera sanitaria e lo potrai scaricare sul sito della regione solo qualche giorno dopo, ma comunque prima della data di attivazione. Assumo che in Italia chi ha fatto il vaccino non ha semplicemente il qr code con i dati firmati digitalmente dal Ministero della Salute, ma che la vaccinazione sia presente anche nella sua identità digitale; altrimenti non si spiega il motivo per cui il geren pass post-vaccinazione sia da scaricare sul sito della regione e non venga consegnato al momento dell'iniezione.

Negli altri paesi Europei la situazione potrebbe essere significativamente diversa e nei paesi extra UE che hanno aderito al green pass europeo (tra cui la famosa Macedonia del Nord) idem. Fatto sta che un green pass dei loro è riconosciuto anche da noi, e vice versa. Per questo è uscito fuori tutto sto casino.
 
Aquarifoundation.com: Investi in un oceano pulito
DOWNLOAD

Linux tux

Utente Bronze
27 Settembre 2020
76
23
12
46
Hanno hackerato il green pass. Pare che sia stato un polacco e ancora non si hanno notizie su come abbia fatto. Realisticamente ha violato i server nella italiani regione Lazio e ha beccato la chiave privata, ma ancora non è chiaro. Ansa parla di chiavi sottratte (link).

452294_FCqDPDFWUAQm_Sn.jpeg
Purtroppo funziona ancora
 

Psychonaut

Utente Jade
17 Giugno 2012
1,191
82
474
660
Messaggio unito automaticamente:

idee su come bypassare?
Secondo me è un errore dovuto al fatto che non hai le Grant necessarie per accedere, infatti non vedi login.jps, è una pagina creata appositamente per restituire un errore.
Credo usino IBM websphere dall'errore che becchi:
Link

puoi provare a pingare il DNS e risolverlo e poi fare un nslookup sull'IP che trovi;
ma probabilmente è sotto un LoaderBalancer, quindi dubito che tu riesca a risalire al'hostname reale del server.
 
DOWNLOAD
Aquarifoundation.com: Investi in un oceano pulito

St3ve

Utente Emerald
12 Ottobre 2011
2,135
5
1,469
628
Ragazzi faccio una domanda da ignorante. Ma da un GP valido è possibile poter estrarre la chiave privata?
No. La chiave privata serve solo per costruire un green pass valido. Per verificare il green pass serve quella pubblica, che viene scaricata dalla app una volta sola e poi viene utilizzata (offline) per verificare tutti i green pass che vuoi. All'interno del green pass non è presente né la chiave pubblica e né quella privata. Qui ci sono scritti i dati contenuti in un green pass.
 
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker
Supporta Inforge con una donazione

JunkCoder

Moderatore
5 Giugno 2020
775
15
607
339
OK un brute force, in quanto tempo la risolverebbe...almeno la lunghezza è possible saperla?

Il sistema accetta certificati RSA o ECDSA (Curva ellittica) senza specificare la dimensione, viene lasciata al singolo paese la scelta di cosa usare. Nel caso di ECDSA sarà molto probabilmente una chiave a 256 bit, per RSA quasi certamente a 4096 bit (è sicuro quanto ECDSA nonostante la dimensione della chiave). Il bruteforce non è pensabile se non con un potente computer quantistico che ha un notevole vantaggio nel rompere la crittografia asimmetrica.
 
  • Mi piace
Reactions: Eoloprox

St3ve

Utente Emerald
12 Ottobre 2011
2,135
5
1,469
628
OK un brute force, in quanto tempo la risolverebbe...almeno la lunghezza è possible saperla?
In Italia e un po' ovunque usano ECDSA con prime256v1, quindi la chiave è di 256 bit. Sembra un numero piccolo, ma non lo è. Se hai un processore da 1000 THz e ad ogni colpo di clock riesci a testare una chiave diversa, ti ci vogliono 183 * 10^50 (i.e., 183000...000 con 50 zeri) anni per avere lo 0.1% di probabilità di indovinare la chiave.

Come ha fatto notare JunkCoder, alcuni paesi (e.g. Svizzera e Lituania) hanno anche delle chiavi con RSA 2048 e qualche altro paese (e.g., Macedonia del Nord) ha RSA 4096. In termini di sicurezza effettiva più o meno siamo lì, attaccare logaritmo discreto (ECDSA) su 256 bit è paragonabile ad attaccare la fattorizzazione (RSA) a 3072 bit.

Dico "più o meno siamo lì" perché sia RSA che ECDSA si possono attaccare con tecniche molto più intelligenti del bruteforce, quindi per garantire lo stesso livello di sicurezza un algoritmo ha bisogno di più bit dell'altro. Di fatto siamo attorno ai 128 bit of security, quindi in realtà bastano qualcosa del tipo 5 mila miliardi di anni (un numero a 13 cifre invece che 53) per avere lo 0.1% di probabilità 0.1% di beccare la chiave.

Stime molto spannometriche calcolate con python, ma rendono l'idea. Sono algoritmi usati da banche e da agenzie varie agenzie governative: se volete puntare a trovare una chiave privata, cercate quella che protegge il conto bancario di Bezos... poi il cinema, il teatro e il ristorante ve lo costruite privato a casa vostra, senza bisogno di green pass. Il livello di difficoltà, computazionalmente parlando, credo sia lo stesso.
 

Eoloprox

Utente Gold
20 Marzo 2016
425
118
28
244
Bazzigando in rete ho trovato questo... con questa storia, cosa ne pensate..

A oggi esiste la possibilità di acquistare un green pass valido su telegram, non è vero che sono tutte truffe, un mio amico lo ha comprato e funziona perfettamente.
Perché gli hacker “cattivi” speculano vendendo green pass e gli hacker “buoni”invece non danno la possibilità di crearlo personalizzato facendo crollare informaticamente il sistema a vantaggio di tutti?
A quanto ho capito è un problema di “chiavi”, esiste già un pannello di creazione del green pass a questo link:
https://github.pathcheck.org/eu.dgc.html
Il problema è che la chiave privata non è valida e serve una persona compiacente all’interno del servizio sanitario in qualsiasi parte della comunità europea che ti rilasci la sua chiave per generare green pass che passino la validazione. Di queste persone compiacenti ce ne sono molte ed è per questo motivo che iniziano a girare molti green pass che sono perfettamente funzionanti ma c’è un problema, questa chiave non può essere rilasciata pubblicamente altrimenti chi controlla le frodi potrebbe facilmente annullare tutti i green pass creati con quella determinata chiave.
Quindi ad oggi per avere un green pass valido senza farsi il vaccino o il tampone l’unica soluzione è affidarsi a questi speculatori in rete.
Qui nasce l’ennesima discriminazione, soggetti che sono “smanettoni” riescono a procurarsi il green pass con 100 euro e si risolvono il “problema”, gli altri poco pratici continuano a farsi stuprare il naso per poter lavorare.
Il nostro governo si dovrebbe vergognare per tutto questo ma ormai siamo all’interno di una follia collettiva dove la vergogna non è contemplata.
Il sistema informatico del green pass si regge sul nulla, è pieno di falle e come ho già ripetuto spesso non può essere usato come strumento di controllo.
Questa cosa che ho scritto dovrebbe essere l’apertura di ogni telegiornale per denunciare questa truffa ma come al solito tutto tace...
 
  • Mi piace
Reactions: spenk
DOWNLOAD
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker

DidyMond

Utente Gold
24 Agosto 2015
853
3
259
223
Bazzigando in rete ho trovato questo... con questa storia, cosa ne pensate..

Direi che ci sono un po' di inesattezze....
Prima di tutto il personale medico non è in possesso di nessuna chiave privata... In Italia, il certificato viene emesso dal Ministero della Salute. Quello che fa il personale medico al momento del tampone / vaccino è inserire i dati del paziente nel portale web e questi vengono poi trasmessi al server preposto per generare il GreenPass.
La chiave privata è quindi custodita in qualche server del Ministero e, a dirla tutta, dubito fortemente che sia anche esposto su internet.
Gli ultimi GreenPass falsi che sono girati sono stati emessi dai server della Macedonia in quanto, a causa di una configurazione errata, il loro portale di immissione dati era esposto al pubblico, senza nessuna autenticazione.
Ci sono almeno altri due server (Vietnam e Lao) che hanno il loro servizio esposto al pubblico dove puoi inserire i dati e scaricarti il GreenPass, tuttavia il loro GP non è valido in Europa, quindi non te ne fai nulla.

Per quanto riguarda il link è stato detto più e più volte.
Il sistema del GreenPass poggia su fondamenti tecnici consultabili da chiunque su internet. Ci sono tutti i codici sorgenti su GitHub... dall'applicazione di verifica a come codificare il dato.
Non vedo perchè ci si continua a meravigliare quando si trovano queste cose....

Qui nasce l’ennesima discriminazione, soggetti che sono “smanettoni” riescono a procurarsi il green pass con 100 euro e si risolvono il “problema”, gli altri poco pratici continuano a farsi stuprare il naso per poter lavorare.
Ma discriminazione di cosa?
Se vuole il GreenPass si faccia vaccinare.
Se lo vuoi di sottobanco paghi qualcuno che te lo fa avere. Sbaglio o in Italia non puoi acquistare un carrarmato? Ma scommetto che se pago qualcuno riesco a metterlo nel mio garage... Quindi? Sono discriminato?!
 
  • Mi piace
Reactions: LinuxUser

nullptr

Utente Emerald
26 Novembre 2015
1,099
23
362
351
Bazzigando in rete ho trovato questo... con questa storia, cosa ne pensate..
Non capisco perchè io debba sconsideratamente prodigare e sudare per trovare il senso in questi discorsi mentre loro non si impegnano un minimo a metterlo.

Mi sanguinano gli occhi dalle innumerevoli stupidità che vedo leggendo. Per favore non condividete queste sconclusionatezze sul forum, e, nel caso vogliate un paio di delucidazioni sul tema, siate molto schifiltosi a dar retta alle ciance della gente che dice di sapere.
 
DOWNLOAD
Aquarifoundation.com: Investi in un oceano pulito