Ключи для подписи COVID–сертификатов некоторых стран, вероятно, украдены
Похоже, система COVID–сертификатов ЕС стоит на пороге большой проблемы с безопасностью хранения ключей для подписи сертификатов. В сети на форумах активно обсуждается факт утечки ключей как минимум нескольких стран ЕС, в том числе и в открытом доступе публикуются даже сами приватные ключи, хотя их достоверность не подтверждена.
За 300 евро предлагается выдача сертификата на любое лицо с подписью ключом Франции или Польши на выбор. И, в качестве доказательства, вчера в твиттере был опубликован QR–код сертификата, выданного на Адольфа Гитлера, который прошел вакцинацию Pfizer 1 октября. И подписан этот сертификат ключом Франции.
На данный момент, проблему детально изучают, как минимум, в Италии и Нидерландах, которые сегодня и опубликовали эту информацию в СМИ.
Италия даже оперативно обновила свое приложение, и данный сертификат Гитлера с сегодняшнего дня больше не принимается, хотя еще вчера все было в порядке. Но, вероятно, это было просто быстрое решение добавления в черный список конкретного сертификата. Словацкое приложение OverPass успешно принимает данный сертификат и считает его полностью действительным.
На данный момент ни Франция, ни Польша официально не признали утечки. Но если это все же произойдёт, то приведёт к отзыву всех миллионов сертификатов, которые были подписаны скомпрометированными ключами, и перевыпуску сертификатов.
Написал கிட்டி kindzarp на coronavirus.d3.ru / комментировать