数日前、朝食をとっているときに、スマートフォンに「 "おはようございます。 グリーンパスを作成するための鍵を漏らしたようです...
確認されれば、理論的には誰でも有効なGreenPassを作成できることを意味します。
そのニュースはすぐに私の注意を引き、私はすぐに憂慮すべき考えを浮かび上がらせました。もしニュースが真実なら、パンデミック後の経済的、社会的、そして人間の再開計画の基礎となっている最も重要な管理ツールのXNUMXつを無効にしていたでしょう。
しばらくして、たったXNUMXつの単語で構成されていたにもかかわらず、さらに恐ろしい第二の考えがありました。ヨーロッパ全体です。
私の日々を特徴付けるプロセスと相互作用の渦の中で、私はニュースの進化に注意を向けようとしました。ニュースは正午までに、それが掲載されたいくつかのオンライン新聞から全国ニュースに転送されました。
提供された証拠は非常に具体的でした。公式のVerificationC19アプリで検証された場合に返されるQRコードは グリーンパス 有効なのは…アドルフ・ヒトラー、生年月日1900年。 しかし、キャラクターが1889年にオーストリアで生まれたため、日付が間違っていました。
学生の精神を超えた問題は、非常に深刻なままでした。 の生成に有効な暗号化キーが盗まれた可能性はどのようにありますか グリーンパス、最高レベルのセキュリティによって支配されるプロセスを持つ大臣または政府機関によって絶対的に正確に処理されるべきでしたか?
架空のニュース、仮説、おそらくアラームレベルを下げることを目的としたいくつかの明らかにありそうもない約束でさえ、一日中お互いを追いかけ、bleepingcomputer.comなどの有名なサイトで問題が発生した海外からのエコーと組み合わされ始めています。 。
これらのサイトはまた、秘密鍵の盗難やその他の漏えいの可能性についても話していました。 噂 盗まれた鍵は欧州連合のいくつかの加盟国に関係していると仮説を立てました。
ニュースのうわさは、両方を無効にするために進んだマネージャーの反応に一緒に(幸いなことに)さらに広がりました グリーンパス ヒトラーの名前で有効であり、その間に他の可能性の低いものが生成されました。 スポンジボブ これは最初に報告します(歪んだ、ndd)、無効化の相対的な証拠があります。
28日の夕方にコラム 「ハローインターネット」 YouTubeチャンネルのMatteoFloraは、特定の観点から、より説得力があり、率直に言って、より安心できる説明を提供しました。誰かがキーを悪用する方法を見つけました。
具体的には、dgca-issuance-webコード(欧州連合によってGitHubサイトで共有されているため簡単に入手可能)と、ユーザーが所有する有効な署名キーを組み合わせることで、悪用が発生したようです。
問題のコードは、GreenPassを生成するのに役立つプログラムを表しています。これは、デジタル形式で転置されたワクチン接種、綿棒、または回復の紙の証明書とあらゆる点で比較されます。
紙の証明書と同様に、デジタル証明書は価値を引き継ぐために署名する必要があります。 署名プロセス、使用できない ペンナ、 使う プライベートデジタルキー これは、 パブリックデジタルキー 証明書に挿入されます。 この パブリックデジタルキー 証明書の独創性を確認できるのは検証の対象です。
したがって、ややありそうもないことは、 有効な秘密鍵 -調号は国ごとにXNUMXつの割合で与えられるため。
さらに悪いことに、イタリアを含む一部の国では、国の鍵で署名された証明書を無効にするだけでなく、鍵を無効にする必要があります。 何百万もの再発行を必要とする操作 グリーンパス これまでに発行された、真実、公式、有効なもの。 オンラインサイト、薬局など、よく知られている従来のチャネルを通じて所有者にコピーを要求するように強制します。
問題は、13月40日の午後28時XNUMX分頃に有効なさらなる説明に向けて進展しました。 サイトによると Disinformatician 実際、生成可能なポータルへの少なくともXNUMXつの有効なアクセスポイントが特定されています。 グリーンパス モードで有効 プレビュー 保存されない架空のデータを使用する。
有効な証明書を表すその画像を保存することにより、所有者の可能性が低いWeb上に表示された証明書を生成することができます。 画像を保存した後、生成の痕跡を残さずに操作を安全にキャンセルできます。 いずれにせよ、有効なままの証明書の
したがって、起こっていることは、重要で、範囲と次元が非常に大きい、プロセスの脆弱性の結果であるように思われます。 と組み合わせた 人的要因、人間工学 疑わしい合法性のおかげで、パンデミックの壊滅的な影響から回復するための最も成功したプロセスのXNUMXつを潜在的にキャンセルする条件が作成されました。
したがって、少なくともこれまでに物事が進化した状態では、鍵の盗難はありません。.
唯一 悪いデジタル衛生 ITプロセスの実装において。
この事実は、私たちが話しているものを含め、多くのサイバーインシデントを統合することが多い側面について考えさせる必要があります。
を生成するために使用される技術 グリーンパス それは確かに堅実です。実際、デジタル証明書、QRコードによる情報の視覚化を組み合わせて、すべてを簡単に使用できるようにし、受け入れの均一性と複数の州間の実装の相互運用性を実現しています。
重要な点で脆弱な部分である欠陥は、実装プロセスと実装に関するものです。 トピックはプロセスの管理と安全性に関係しているため、ここには技術がほとんどありません。
これまでの指摘から、この段階で重大なミスがあったことは明らかです。
例としては、プレビューが最終バージョンをチェックするアプリケーション以外のアプリケーションによってのみ制御可能であることを確認せずに、すべての点で有効な証明書のプレビューの生成を許可することです。
別の例は、機密性の管理に関するものです。
の発行の場合 グリーンパス 公式の政府機関に属し、議論の余地のない真実を確認します-XNUMXつの主題間の不動産売却の証書を証明する公証人のように-特定の許可に直面して特権が正確に付与されるべきである追跡された許可されたオペレーターに制限されるべきでした。
言うまでもなく、アプリケーションは「本番環境に移行」する前に、次のセキュリティ専門家によってテストおよび検証される必要があります。 侵入試験機。 これらは、アプリケーションの潜在的な欠陥だけでなく、それを使用する方法...およびそれを悪用する潜在的な方法を研究することを目的としています。
これらのすべてのステップが事前に実行され、漏れが発生した場合に職人のような方法で修正されていれば、今日、私たちは事故に直面する必要はありません。
さらに重要なことは、この事件に対応するための費用を負担することすらすべきではありません。この事件は、確かに経済的であるだけでなく、経済的および社会的回復のための真に基本的な支援ツールの信頼性の観点からも真に壊滅的なリスクを伴います。
