Puncte:0

Abonamente verzi ale UE contrafăcute

drapel cn

În UE, o persoană va putea în curând să desfășoare anumite activități (mers la concerte, la evenimente sportive etc.) numai dacă poate prezenta un Green Pass valabil care să ateste că purtătorul a fost vaccinat, sau s-a vindecat de Covid, sau a fost testat negativ în trecutul recent.

Green Pass este practic un cod QR care conține informații criptate cu criptografie cu cheie publică (vezi Aici pentru detalii).

Imediat ce a fost introdus, spammerii au început să promoveze permise verzi false pentru persoanele care nu doreau să se vaccineze. Unele dintre acestea sunt în mod clar încercări de furt de identitate, deoarece spammerii susțin că au nevoie de o copie a unui ID valid pentru a genera Green Pass.

Aș dori să știu dacă schema Green Pass a fost de fapt ruptă¹; puținele surse pe care le-am găsit sunt în mod clar nesigure (explicațiile lor tehnice sunt farfurii).

NOTĂ: am avut loviturile mele și am un permis valid; Mă interesează doar aspectul tehnic (adică robustețea) schemei.


¹ Notă moderatorului: suntem pe un forum criptografic și dacă discutăm acest subiect, cel puțin ar trebui să rămânem strict la el criptografic aspecte.

Vadym Fedyukovych avatar
drapel in
Vă mulțumim că ați ridicat asta. Specificațiile par să arate un echilibru între confidențialitate și siguranță, cum ar fi deschis totul, semnate de autoritate, oferind „protecție a identității” împotriva cuiva care nu poate colecta și decoda coduri QR. Este posibil să existe o problemă la conectarea unui document „vaccinat” semnat de o persoană care afișează un cod QR pe ​​dispozitivul său. Vreo șansă de a o împrumuta de la un prieten, vreo răspundere pentru a face asta? Este obligatoriu să prezentați și buletinul de identitate, potrivindu-le la ușă?
Vadym Fedyukovych avatar
drapel in
Ideea de confidențialitate este de a da doar verde/roșu, așa cum este sugerat de numele captivant. A da nume, dată sau orice potrivire/link este „convenient”. Presupunând că altcineva ar cere ID-ul arată ca „aceasta nu este problema mea, sunt oameni buni de încredere”.
drapel cn
@vadym, există mai multe aplicații care citesc codul QR și imprimă numele purtătorului și data nașterii acestuia. Ideea este că proprietarul magazinului va cere un ID potrivit.
Puncte:8
drapel ng

The specificație mentioneaza ca semnatura este per ECDSA pe curba „P-256” (alias secp256r1), sau RSASSA-PSS cu un modul de 2048 de biți în combinație cu SHAâ256 haș (presupun că cu MGF1 cu SHA-256; nu pot fi sigur pentru dimensiunea sării). Acestea sunt de ultimă generație, neîntrerupte algoritmi.

Mi se pare de necrezut că a criptografic atacul ar permite să emită treceri false care sunt acceptate cu o validare adecvată conform acestor specificații, cu date falsificate ale utilizatorului.

poncho avatar
drapel my
O posibilitate deloc de neconceput este ca o greșeală a unui emitent să-i determine să genereze două semnături cu aceeași nonce ECDSA; dacă cineva a găsit asta, ar putea recupera cheia privată ECDSA și ar putea genera falsuri. Nu cred că este foarte probabil în acest caz - este posibil.
Puncte:-1
drapel in

Răspunzând la întrebarea ce este rupt, cu accent pe aspectele criptografice:

Titlul „Green Pass” implică decizie da/nu, în timp ce aplicația de fapt scanează numele, ziua de naștere și informațiile despre vaccinare din codul QR și imprimeuri aceasta în text clar. Pentru a atinge obiectivul, este nevoie de infrastructură precum bază de date accesibilă publicului cu informații medicale și verificare manuală de identitate.

În descrierea tehnică nu se sugerează nicio încercare de a folosi vreun instrument criptografic binecunoscut pentru confidențialitatea datelor. Și mai rău, semnăturile necesită ca toate datele semnate să fie disponibile în text clar. Declararea semnăturilor de scurtă durată cu atribute X.509 nu este soluția pentru confidențialitate. Pentru a fi constructiv, vă rog să-mi reamintesc că dovezile fără cunoștințe au fost luate în considerare pentru votul democratic de la sfârșitul anilor 80.

Conform „Interoperabilitatea certificatelor de sănătate Cadrul de încredere V.1.0 2021-03-12” secțiunea „7 Protocol de verificare”, scannerul verifică semnătura și imprimeuri datele semnate (partea offline):

Odată ce această semnătură digitală a fost verificată, verificarea software-ul poate decoda informațiile din codul de bare 2D și se poate baza pe acesta conţinut.

Partea UVCI a certificatului este cheia de căutare într-o bază de date așteptată mai târziu (funcția creep):

Verificarea online se va baza pe UVCI și va fi încorporată în următoarea versiune a specificațiilor (V2).

Comisia UE a fost întrebat privind aplicabilitatea cunoștințelor zero:

Întrebări parlamentare, 13 aprilie 2021, Pier Nicola Pedicini (Verts/ALE) ... Are în vedere Comisia:

  1. utilizarea ZKP pentru certificatul verde digital; ...

Brian Behlendorf (Fundația Linux) a spus la „Pașapoartele de vaccin: o soluție de sănătate publică sau un câmp minat etic și legal?”:

Au existat progrese recente în criptografie și matematică care sunt mult mai bine aliniate cu această idee de a putea demonstra un lucru fără a fi nevoie să arate multe informații despre acel lucru. .. Acea același tip de sistem de cunoștințe zero și dovada de cunoștințe zero trebuie să să fie ceva pe care îl standardizăm în întregul sistem.

Actualizare: aspecte criptografice ale scurgeri recente de date poate include raționamente precum imposibilitatea copierii datelor semnate care au fost trimise pentru verificare de cel puțin două ori și semnificația precisă a „indisponibile” a acestor date semnate.

fgrieu avatar
drapel ng
Nu înțeleg la ce se referă „bază de date accesibilă public”. În mod independent, nu văd cum ZKP sau orice altceva poate ajuta la confidențialitate în situație, dacă presupunem că permisul trebuie să fie un cod QR static, să nu fie transferabil trivial altcuiva și verificabil fără niciun secret.
Vadym Fedyukovych avatar
drapel in
Verificarea UVCI (programată pentru versiunea 2) este referința la baza de date. Cu ZKP ar trebui să existe șansa de a gestiona toate datele „intermediare” precum numele și ziua de naștere ca martor pe dispozitivul controlat de utilizator, în loc să le imprimați. Asta înseamnă, doar imprimarea da sau nu.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.