Điểm:0

Thẻ xanh EU giả mạo

lá cờ cn

Tại EU, một người sẽ sớm có thể thực hiện một số hoạt động nhất định (đi xem hòa nhạc, tham gia các sự kiện thể thao, v.v.) chỉ khi họ có thể xuất trình Thẻ xanh hợp lệ xác nhận rằng người mang nó đã được tiêm phòng hoặc đã khỏi bệnh Covid, hoặc đã được thử nghiệm âm tính trong quá khứ gần đây.

Green Pass về cơ bản là một mã QR chứa thông tin được mã hóa bằng mật mã khóa công khai (xem đây để biết chi tiết).

Ngay sau khi nó được giới thiệu, những kẻ gửi thư rác đã bắt đầu quảng cáo Thẻ Xanh giả cho những người không muốn tiêm vắc xin. Một số trong số này rõ ràng là những nỗ lực đánh cắp danh tính, vì những kẻ gửi thư rác tuyên bố rằng họ cần một bản sao ID hợp lệ để tạo Thẻ xanh.

Tôi muốn biết liệu kế hoạch Green Pass đã thực sự bị phá vỡ hay chưa¹; một số nguồn mà tôi tìm thấy rõ ràng là không đáng tin cậy (các giải thích kỹ thuật của họ rất vô nghĩa).

LƯU Ý: Tôi đã tiêm và có Thẻ hợp lệ; Tôi chỉ quan tâm đến khía cạnh kỹ thuật (tức là độ bền) của chương trình.


¹ Lưu ý của người điều hành: chúng tôi đang ở trên một diễn đàn mật mã và nếu chúng ta thảo luận về chủ đề đó, ít nhất chúng ta nên tuân thủ nghiêm ngặt mật mã các khía cạnh.

Vadym Fedyukovych avatar
lá cờ in
Cảm ơn bạn đã nâng cao điều này. Các thông số kỹ thuật dường như thể hiện sự cân bằng giữa quyền riêng tư và an toàn như mở mọi thứ, được ký bởi cơ quan có thẩm quyền, giúp "bảo vệ danh tính" đối với người nào đó không thể thu thập và giải mã mã QR. Có thể đã xảy ra sự cố khi liên kết tài liệu "đã tiêm phòng" có chữ ký với một người đang hiển thị mã QR trên thiết bị của anh ta. Bất kỳ cơ hội nào để mượn nó từ một người bạn, bất kỳ trách nhiệm pháp lý nào khi làm điều đó? Có bắt buộc phải xuất trình chứng minh nhân dân, khớp với họ ở cửa không?
Vadym Fedyukovych avatar
lá cờ in
Ý tưởng về quyền riêng tư là chỉ cung cấp màu xanh lục/đỏ, như ngụ ý của cái tên hấp dẫn. Đặt tên, ngày tháng hoặc bất kỳ đối sánh/liên kết nào là "tiện lợi". Giả sử người khác hỏi Id thì có vẻ như "đây không phải là vấn đề của tôi, họ là những người đáng tin cậy".
lá cờ cn
@vadym, có một số ứng dụng đọc mã QR và in tên của người mang và ngày sinh của anh ấy/cô ấy. Ý tưởng là chủ cửa hàng sẽ yêu cầu một ID phù hợp.
Điểm:8
lá cờ ng

Các sự chỉ rõ đề cập rằng chữ ký là mỗi ECDSA trên đường cong "P-256" (còn gọi là secp256r1), hoặc RSASSA-PSS với mô-đun 2048 bit kết hợp với SHA256 băm (tôi đoán với MGF1 với SHA-256; không thể chắc chắn cho kích thước muối). Đây là những nhà nước-of-the-nghệ thuật, không bị gián đoạn thuật toán.

Tôi thấy thật khó tin rằng một mật mã cuộc tấn công sẽ cho phép phát ra các thẻ giả mạo được chấp nhận với xác thực phù hợp theo thông số kỹ thuật này, với dữ liệu người dùng giả mạo.

poncho avatar
lá cờ my
Một khả năng không thể tưởng tượng được là một sai lầm của người phát hành đã khiến họ tạo ra hai chữ ký có cùng ECDSA nonce; nếu ai đó tìm thấy điều đó, họ có thể khôi phục khóa riêng ECDSA và tạo ra các giả mạo. Tôi không nghĩ rằng nó rất có thể xảy ra trong trường hợp này - nó có thể xảy ra.
Điểm:-1
lá cờ in

Trả lời câu hỏi cái gì bị hỏng, tập trung vào các khía cạnh mật mã:

Tiêu đề "Green Pass" ngụ ý quyết định có/không, trong khi ứng dụng thực sự quét tên, ngày sinh và thông tin tiêm chủng từ mã QR và bản in nó trong văn bản rõ ràng. Để đạt được mục tiêu, nó đòi hỏi cơ sở hạ tầng như cơ sở dữ liệu có thể truy cập công khai với thông tin y tế, và kiểm tra ID thủ công.

Không có nỗ lực nào được đề xuất trong mô tả kỹ thuật để sử dụng bất kỳ công cụ mật mã nổi tiếng nào cho bảo mật dữ liệu. Tệ hơn nữa, chữ ký yêu cầu tất cả dữ liệu đã ký phải có sẵn trong văn bản rõ ràng. Tuyên bố chữ ký tồn tại trong thời gian ngắn với các thuộc tính X.509 không phải là giải pháp cho quyền riêng tư. Để mang tính xây dựng, tôi xin nhắc lại rằng bằng chứng không có kiến ​​thức đã được xem xét để bỏ phiếu dân chủ từ cuối những năm 80.

Dựa theo "Khả năng tương tác của chứng chỉ sức khỏe Khung tin cậy V.1.0 2021-03-12" phần "7 Giao thức xác minh", máy quét xác minh chữ ký và bản in dữ liệu đã ký (phần ngoại tuyến):

Khi chữ ký điện tử này đã được xác minh, quá trình xác minh phần mềm có thể giải mã thông tin trong mã vạch 2D và dựa vào Nội dung.

Phần UVCI của chứng chỉ là khóa tìm kiếm vào cơ sở dữ liệu được mong đợi sau này (chức năng creep):

Xác minh trực tuyến sẽ dựa vào UVCI và nó sẽ được kết hợp trong phiên bản tiếp theo của thông số kỹ thuật (V2).

Ủy ban EU đã được hỏi về khả năng ứng dụng tri thức bằng không:

Câu hỏi của quốc hội, ngày 13 tháng 4 năm 2021, Pier Nicola Pedicini (Verts/ALE) ... Ủy ban có đang xem xét:

  1. sử dụng ZKP cho Chứng chỉ xanh kỹ thuật số; ...

Brian Behlendorf (Quỹ Linux) đã nói tại "Hộ chiếu vắc-xin: Giải pháp y tế công cộng hay bãi mìn đạo đức & hợp pháp?":

Có những tiến bộ gần đây trong mật mã học và toán học phù hợp hơn nhiều với ý tưởng này về khả năng chứng minh một điều mà không cần phải hiển thị nhiều thông tin về điều đó. .. Điều đó cùng một loại hệ thống không kiến ​​thức và bằng chứng không kiến ​​thức cần phải là một cái gì đó mà chúng tôi tiêu chuẩn hóa trên toàn hệ thống.

Cập nhật: các khía cạnh mật mã của rò rỉ dữ liệu gần đây có thể bao gồm lý do như không thể truy xuất nguồn gốc của việc sao chép dữ liệu đã ký đã được gửi đi để xác minh ít nhất hai lần và ý nghĩa chính xác của "không khả dụng" của dữ liệu đã ký đó.

fgrieu avatar
lá cờ ng
Tôi không hiểu "cơ sở dữ liệu có thể truy cập công khai" đề cập đến điều gì. Một cách độc lập, tôi không thấy ZKP hoặc bất kỳ thứ gì khác có thể giúp ích về quyền riêng tư trong tình huống như thế nào, nếu chúng tôi cho rằng thẻ phải là mã QR tĩnh, không thể chuyển nhượng một cách tầm thường cho bất kỳ ai khác và có thể xác minh mà không có bất kỳ bí mật nào.
Vadym Fedyukovych avatar
lá cờ in
Xác minh UVCI (được lên lịch cho phiên bản 2) là tài liệu tham khảo cơ sở dữ liệu. Với ZKP, sẽ có cơ hội xử lý tất cả dữ liệu "trung gian" như tên và ngày sinh làm nhân chứng trên thiết bị do người dùng kiểm soát, thay vì in nó. Điều đó có nghĩa là, chỉ in có hoặc không.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.