Pensavamo di aver visto tutto quello che la follia anti-scientifica poteva inventare contro gli sforzi globali per mitigare la pandemia, ma non è così. Dopo le carte di identità e i passaporti falsi nel DarkWeb, i vaccini scaduti contrabbandati via WhatsApp, sedicenti imprenditori che vendono Green Pass fasulli su Telegram e no-vax che fanno il tifo per loro in piazza, adesso in rete c’è pure chi promuove la vendita, a €300, di Green Pass funzionanti ma illegali, pubblicizzandoli con la faccia di Hitler.

Un Green Pass legittimo intestato però ad Adolf Hitler è in effetti circolato in rete certificando come il dittatore “Nato il primo gennaio 1900” (data sbagliata), sarebbe stato sottoposto a vaccino o a tampone per il Covid-19, allarmando tutti gli esperti perché la sua esistenza dimostra la possibilità concreta di falsificare i preziosi Green Pass.

Ma come è potuto succedere? Pare che qualcuno sia stato capace di generare Green Pass francesi e polacchi fasulli come quello di Hitler e di farseli riconoscere come veri dall’app di validazione.

Possibile? Ma il Green Pass non dovrebbe essere sicuro come una cassaforte dato il carattere sensibile dei dati contenuti al suo interno?

In realtà la generazione del Green Pass segue logiche pubbliche e non è un mistero come esso venga generato. Esistono numerosi strumenti rilasciati da enti governativi capaci di generare e verificare il Green Pass. O meglio, tutti in linea teorica possono farlo, ma non tutti possono generare Green Pass validi.

La validità del Green Pass è garantita da un sistema di cifratura a doppia chiave, pubblica e privata, secondo un meccanismo chiave-serratura. Se non hai la chiave giusta non apri la serratura e non puoi generare il certificato con uno specifico algoritmo che ne garantisce paternità, integrità e confidenzialità delle informazioni in esso contenute, le basi della sicurezza dei dati.

L’uso di questo algoritmo si fonda sul principio che solo con tutte e due le chiavi, quella privata (strettamente personale e che non va mai condivisa) e quella pubblica (che invece può essere condivisa con tutti), si possa verificare il Green Pass.

L’informazione “certificata” con la chiave privata può essere “visionata” (verificata) solamente con la chiave pubblica associata e, se questo avviene, allora significa che quel certificato è autentico, ovvero appartiene a colui che detiene la rispettiva chiave privata (si parla di “non ripudio”).

Ecco, è successo che nella giornata di ieri si è diffusa la notizia incontrollata che le chiavi che consentono la generazione del Green Pass sarebbero state sottratte a una società IT europea che fornisce gli strumenti per generare i certificati verdi con lo scopo di realizzare certificati fasulli che risultano però validi alla verifica. Lo dimostrerebbe il fatto che nella notte tra il 26 e il 27 ottobre sul sito hacker Raid Forums siano state fornite proprio le chiavi crittografiche per creare illegalmente questi Green Pass con tanto di QR code validi per memorizzare quelle informazioni sulla vaccinazione destinate a essere lette tramite un apposito lettore ottico o da uno smartphone.

Chi ha provato e riprovato a usarle dice che le chiavi divulgate non funzionano più. Intanto però è successo.

Le ipotesi del fattaccio adesso sono due.

La prima è che qualcuno abbia avuto accesso, abusivamente, alle chiavi private; la seconda è che un insider (interno a un’autorità di certificazione) abbia usato le chiavi private in suo possesso per generare i pass veri ma illegittimi.

La buona notizia è che il sistema di creazione dei Green Pass non è “fallato”, visto che l’eventuale compromissione di una chiave privata è prevista nel protocollo europeo di pubblicazione dei certificati e basterà revocare il certificato digitale compromesso e generarne uno nuovo.

Tuttavia, secondo gli esperti, potrebbe essere complicato applicare azioni correttive in maniera selettiva. Questo potrebbe significare dover invalidare moltissimi certificati già rilasciati, e potrebbe anche essere inutile, almeno finché non si troverà il responsabile del furto delle chiavi o la causa del perché quei certificati risultano validi.