Avatar of Andrea Pavone
Andrea Pavone

Green Pass trapelate le chiavi private per la generazione dei Pass

Sono trapelate poche ore fa sul web le chiavi private utilizzare per la generazione Green Pass, questo potrebbe essere un bel problema da oggi in poi, perchè potrebbe rendere impossibile discriminare quali siano green pass leciti, rispetto a quelli "spoofati" e generati tramite le chiavi trapelate.

Uno dei Green Pass che sta trapelando sulla rete è associato ad Adolf Hitler ed il paese di vaccinazione sembrerebbe essere la Francia, non sono però disponibili in questo momento notizie ufficiali sull'accaduto.

Quanto accaduto permetterebbe a personale malintenzionato, in possesso di queste chiavi, di generare green pass di fatto validi a proprio piacimento senza alcuna limitazione.

Al fine di mitigare tale problematica è necessario che tutti gli enti che rilasciano Green Pass ruotino le chiavi utilizzate per la generazione e ne re-emettano di nuove.

@French_Gov oops pic.twitter.com/XNkruOX4Ej

— Mircha E. D'Angelo (@MirchaEmanuel) October 26, 2021

Per trovare le chiavi private è stato usato uno script python che attraverso un brute force trova la chiave privata partendo da un QR code valido. Lo script sembra essere stato creato il 19 Settembre, quindi presumibilmente tutti i Green Pass generati da quella data ad oggi potrebbero essere falsi. UPDATE: Lo script incriminato sembra creare un Green Pass "self-signed" partendo da una qualsiasi chiave privata. Poi se disponiamo delle chiavi private giuste, potremmo generare un Green Pass valido. Fonte: Medium

Questa tecnica, stando alle informazioni presenti su RaidForum, sarebbe stata usata in combinazione con un Lattice ECDSA Attack che permette di recuperare la chiave privata di una chiave ECDSA partendo da altre informazioni, ed è proprio questo tipo di informazioni che sono presenti nei Green Pass generati in precedenza. UPDATE: Dalle informazioni presenti su RaidForum l'utente che ha suggerito questa vulnerabilità sembra non aver portato alcuna conferma del fatto che venisse o meno utilizzata questa tecnica.

Aggiornamento del 27/10/2021

14:00 Come fatto notare da molte persone su Twitter pur essendo presente questo script di brute-force su RaidForum non è detto che effettivamente le chiavi trapelate siano state recuperate tramite questa tecnica in quanto richiederebbe molto tempo.

Trovare una chiave privata tramite un brute force richiederebbe un tempo enorme (migliaia di anni come minimo)
E' molto più probabile che sia stata rubata o usata in modo indebito pic.twitter.com/l4NUE7FGKO

— Alessandro ☂️🔑 (@alex2sats) October 27, 2021

Ad oggi risultano essere stati revocate alcune chiavi ed infatti uno dei 2 Green Pass generati a nome di Adolf Hitler sono stati revocati, si fa riferimento al Green Pass emesso dalla Francia.

Sogei ha inoltre confermato che non sono state trapelate le chiavi private italiane.

20:00 Non è stato utilizzato nessuno script di brute foce. Alcune testate già confermano il furto delle chiavi private: https://tg24.sky.it/cronaca/2021/10/27/green-pass-europa-chiavi-furto-adolf-hitler


Fonti:

Questi argomenti sono stati recuperati da RaidForum e da alcuni Tweet citati nella pagina, pertanto non rappresentano informazioni ufficiali.