Due green pass intestati a Hitler, evidentemente falsi, ma ritenuti validi dall’app VerificaC19 e da altri servizi europei simili. È la notizia che in queste ore ha mandato in fibrillazione l’intero apparato europeo della certificazione verde.
In poco tempo le due certificazioni farlocche (emesse in Francia e Polonia) hanno fatto il giro del web e delle chat. In molti hanno potuto così scansionare i due QR code e verificare come risultato la spunta verde di “green pass valido”. L’episodio è un campanello d’allarme sulla sicurezza del sistema green pass, visto come strumento di tutela sanitaria dei cittadini e di ripartenza economica del continente. Bisognerà chiarire cosa non ha funzionato, in una vicenda dai contorni non ancora definiti.
Cosa garantisce l’autenticità di un green pass
Ogni certificato contiene nel QR code una firma digitale che ne impedisce la falsificazione. La firma digitale si basa sulla crittografia asimmetrica, che prevede due chiavi crittografiche, una privata e una pubblica. Ogni organismo autorizzato a rilasciare i certificati (in Italia c’è Sogei, società del Mef) firma digitalmente e cifra il certificato con la propria chiave privata. La verifica avviene decifrando il certificato con la chiave pubblica: se i dati corrispondono il certificato è autentico.
Su come sia stato possibile produrre i due certificati fasulli le ipotesi sono due.
Secondo una prima ipotesi i certificati sono stati creati grazie al furto delle chiavi crittografiche private necessarie per emettere certificati autentici. Questo sarebbe grave perché significherebbe che anche altri certificati emessi utilizzando quelle stesse chiavi private potrebbero risultare fasulli, ma regolari alla verifica. A quanto pare, tuttavia, sia la Francia che la Polonia hanno rassicurato di non aver subìto alcun furto di chiavi private.
L’ipotesi più accreditata pare essere il furto delle credenziali di qualcuno che (dipendenti o medici) ha accesso ai sistemi su cui transitano dati e certificati.
A ogni modo, anche se i certificati di Hitler sono stati scoperti e annullati, l’episodio impone un intervento rapido per evitare che possa ripetersi.