Autore |
Messaggio |
|
Inviato: Mar 14 Set, 2021 07:59 Oggetto: |
|
|
Nirgal ha scritto: |
In realtà uno deve verificare l'identità chiedendo un documento solo in caso di palese difformità.
Tipo tu presenti quello di sua suocera.
|
Sì, la sapevo anch'io. C'è chiaramente una zona grigia per cui tu, gestore di locale, puoi trovarti in seria difficoltà, aiutata dal fatto che hai tutto l'interesse (economico) a non essere troppo fiscale |
|
|
Inviato: Mar 14 Set, 2021 08:24 Oggetto: |
|
|
Nirgal ha scritto: |
(...) mi sono tolto una curiosità.
Ho scaricato l'app per la verifica del GP (...) |
Quale esattamente? Ho visto un'app del ministero della salute in googleplay ("VerificaC19") con commenti al contorno francamente imbarazzanti, a partire dal fatto di riconoscere /non riconoscere come validi gli stessi qr code a fasi alterne usando lo stesso telefono.
Cioè, ma perché metterla se funziona così male? |
|
|
Inviato: Mar 14 Set, 2021 08:33 Oggetto: |
|
|
il_Cimpy_Spinoso ha scritto: | Nirgal ha scritto: |
(...) mi sono tolto una curiosità.
Ho scaricato l'app per la verifica del GP (...) |
Quale esattamente? Ho visto un'app del ministero della salute in googleplay ("VerificaC19") con commenti al contorno francamente imbarazzanti, a partire dal fatto di riconoscere /non riconoscere come validi gli stessi qr code a fasi alterne usando lo stesso telefono.
Cioè, ma perché metterla se funziona così male? |
E' l'unica app ufficiale, visto che deve collegarsi al ministero.
Sui commenti, vorrei vedere chi la usa.
Perché se sei all'aperto e fai la scansione di uno schermo di smartphone (che è riflettente), puoi avere dei problemi.
Poi devi vedere che smartphone usi, perché alla fine il suo comparto fotocamera (compreso il software) fa il suo.
Anche solo uno schermo che adatta la luminosità mentre l'app della fotocamera sta mettendo a fuoco, può creare un problema di lettura.
Purtroppo ci sono parecchie variabili in gioco nonostante la gente pensi si tratti "solo" di inquadrare un rettangolo. |
|
Tobanis
«Antinano»
Messaggi: 20999 Località: Padova
|
Inviato: Mar 14 Set, 2021 09:58 Oggetto: |
|
|
Io la app l'ho scaricata (verificac19) e ha sempre funzionato perfettamente, l'ho provata su Green Pass cartacei e su smartphone, zero problemi. Così, giusto per vedere.
Non l'ho ancora provata sui GP farlocchi. |
|
|
Inviato: Mar 14 Set, 2021 11:10 Oggetto: |
|
|
Okay, la provo |
|
|
Inviato: Mer 15 Set, 2021 14:10 Oggetto: |
|
|
Provato
Mi dice che il gp è valido e che, per completare la verifica, bisogna controllare un documento di identità a me intestato.
Ora devo fare una controprova: crearne uno uguale ma intestato ad Alighieri Dante e vedere se l'app dice la stessa cosa o capisce la differenza. Perché mi dice che il pass è valido anche offline, quindi non fa una ricerca online in qualche db ufficiale per vedere se un certo codice esiste ed è associato a me... |
|
|
Inviato: Mer 15 Set, 2021 14:29 Oggetto: |
|
|
Alla fine mi sono fatto spiegare bene la storia del asilo.
Accettano bambini solo se hanno almeno una persona che va prendere il bimbo che sia vaccinato con due dosi.
Infatti la mia vicina ha avuto il posto solo perché due bambini non rispettavano questo requisito.
Solo persone vaccinate con due dosi sono ammesse all'interno della struttura a prendere i bambini.
Per la serie ognuno fa che cavolo vuole |
|
|
Inviato: Mer 15 Set, 2021 14:36 Oggetto: |
|
|
il_Cimpy_Spinoso ha scritto: | Provato
Mi dice che il gp è valido e che, per completare la verifica, bisogna controllare un documento di identità a me intestato.
Ora devo fare una controprova: crearne uno uguale ma intestato ad Alighieri Dante e vedere se l'app dice la stessa cosa o capisce la differenza. Perché mi dice che il pass è valido anche offline, quindi non fa una ricerca online in qualche db ufficiale per vedere se un certo codice esiste ed è associato a me... |
L'app controlla solo il QRCode, quindi non verifica il nome dell'intestatario.
Certo che il fatto che che non vi sia un controllo su database remoto è veramente criminale, di fatto è quasi inutile.
Io potrei mettermi a vedere i miei a chiunque, oppure provare a crearne a caso finché non ne genero uno che funziona e poi venderlo
Mi sembra sempre più demenziale.
P.S.:Ho provato offline e non ci sono problemi. |
|
|
Inviato: Mer 15 Set, 2021 16:55 Oggetto: |
|
|
Fatta anche questa prova semplice: copiato il mio green pass, sostituiti "Alighieri Dante, nato il 20 maggio 1260 e rotti" a "Lo Spinoso, vecchio ma non così tanto", creato il qr code per il resto uguale e ottenuto responso negativo anche offline
Quindi uno (o più) dei campi numerici contiene un checksum (o c'è una firma digitale che non passa, ma scommetto la prima)
Edit:
Controllato in internet: checksum su tutti i campi, dicono le specifiche |
|
|
Inviato: Gio 16 Set, 2021 07:10 Oggetto: |
|
|
Quale Profonda Tristezza
Proprio vero che è meglio vivere nell'ignoranza |
|
|
Inviato: Gio 16 Set, 2021 13:42 Oggetto: |
|
|
Beh, adesso devo scoprire il segreto del checksum (dove sta, tra i vari campi alfanumerici). E comunque parliamo del check fatto dall'app che scarichi da googleplay, mica detto che la polizia che ti fermi non abbia anche di che fare un check verso i db degli enti rilascianti. |
|
HappyCactus
«Ministro alle puntualizzazioni»
Messaggi: 8880 Località: Verona
|
Inviato: Gio 16 Set, 2021 14:12 Oggetto: |
|
|
Ragazzi chiedete al vecchio Cactus invece di inventarvi chissà quali spiegazioni.
1) nessun checksum. C'è una firma digitale. Dando per assunto che sappiate come funziona la crittografia asimmetrica a chiave pubblica (In caso contrario chiedete), il SSN che rilascia il certificato lo firma con la propria chiave privata. Per verificare il GP è sufficiente avere la chiave pubblica del SSN e confrontare la firma. Match == certificato genuino
2) La app funziona offline proprio perché una volta nota la chiave pubblica del SSN è sufficiente la matematica per verificare la bontà della firma e l'integrità del certificato. MA ha bisogno di collegarsi almeno una volta alla rete per scaricare la chiave pubblica e il set di regole per la validazione dei certificati, ossia per esempio la durata del certificato con vaccinazione per i vari tipi di vaccino e i vari tipi di dose, o la validità per tampone. Il legislatore è stato abbastanza lungimirante da prevedere che tali regole potessero essere flessibili e modificabili a seconda delle necessità.
3) Assieme alle regole dovrebbe essere scaricata anche la lista di revoca dei certificati, ma in realtà non è stato mai implementato (almeno che io sappia). I dettagli li trovate nel mio articolo.
5) Ovviamente il possesso di uno specifico GP non garantisce la titolarità dello stesso, per questo è necessario che l'identità della persona che esibisce il GP sia verificata in altro modo (carta d'identità, passaporto) e che nome e data di nascita combacino
6) Falsificare un GP non è possibile, a meno che non si abbia accesso alla chiave privata del SSN.
7) Se avete tempo potete provare a generare i GP a caso. Ma temo che anche abbiate a disposizione tutto il tempo dell'universo, ciò non basti. E' crittografia forte ragazzi, la chiamano così per un motivo.
8 ) No, meglio non ci sia accesso al DB. Per un elenco talmente grande di motivi che è anche lunga da scrivere. Non da ultimo, che per accedere al database servono delle credenziali a meno che non vogliate che CHIUNQUE possa interrogare il db e avere accesso ai dati -- comprese le foto evidentemente -- e le credenziali si possono agevolmente rubare.
Anything else? |
|
HappyCactus
«Ministro alle puntualizzazioni»
Messaggi: 8880 Località: Verona
|
Inviato: Gio 16 Set, 2021 14:15 Oggetto: |
|
|
Se volete qualche dettaglio sulla crittografia asimmetrica, chiedete pure. Non è detto che risponderò, ma se lo accompagnate con un bonifico, magari lo farò |
|
|
Inviato: Gio 16 Set, 2021 14:28 Oggetto: |
|
|
Ok, tutto quello che vuoi.
Rimane sbagliato il concetto.
Hai a che fare con dati dinamici, abbiamo già parlato del fatto che se io prendo il covid ho un green pass valido.
Sembra che abbiano preso come modello le certificazioni "scolastiche", invece che un sistema di controllo medico. |
|
HappyCactus
«Ministro alle puntualizzazioni»
Messaggi: 8880 Località: Verona
|
Inviato: Gio 16 Set, 2021 15:25 Oggetto: |
|
|
Se hai letto l'articolo, ne faccio un inciso. Anche se diventi positivo non è che il vaccino lo annulli. E se sei positivo, Green Pass o no, hai l'obbligo di quarantena. Quindi annullarlo non ha alcun senso.
E comunque, no, la soluzione "dinamica" (macché) non ha alcun vantaggio rispetto quella statica, solo svantaggi e rischi. |
|
|