Il probabile furto di diverse chiavi che permettono la generazione del green pass europeo avvenuto nei giorni scorsi, sta mettendo in discussione l’affidabilità e la sicurezza del certificato verde. Innovery, multinazionale italiana nel mercato ICT, specializzata nel comparto cybersecurity, aveva già messo in guarda negli scorsi mesi sulla possibilità che questo strumento finisse al centro degli interessi dei cyber criminali.
Tuttavia, come spiegano gli esperti di Innovery, il problema non risiede nello strumento del Green Pass in sé: “Il Green Pass è stato pensato per essere uno strumento di autenticazione rapido e immediato, che non richiedesse molti passaggi per garantirne l’autenticità. Questo ovviamente comporta dei compromessi dal punto di vista della sicurezza. Se volessimo pensare a come incrementare il livello di sicurezza di questo strumento, la prima risposta sarebbe verificare in tempo reale che il Green Pass corrisponda esattamente con quello emesso, oppure si potrebbe utilizzare un’autenticazione multifattore: ossia, alla semplice verifica del certificato, affiancare un ulteriore strumento di autenticazione, per esempio un token legato allo SPID, questo consentirebbe non solo la verifica del green pass ma anche l’identità di chi lo presenta.” Spiega Massimo Grandesso, Cybersecurity Intel ligence Manager di Innovery.
Con un tipo di autenticazione forte, come quella che utilizza due o più fattori, diventerebbe più difficile l’utilizzo di un certificato contraffatto. Come nel caso balzato alle cronache in questi giorni relativo a Green Pass intestati ad Hadolf Hitler, sviluppati, secondo le informazioni per ora diffuse, dall’accesso abusivo ai sistemi di generazione di tali certificati.
La soluzione della verifica in tempo reale presuppone una infrastruttura complessa con un’anagrafe unica o una federazione di tutti gli emettitori che possa rispondere in tempo reale alle richieste di validazione provenienti da tutta Europa. Questa tipologia di infrastruttura è inoltre prevista come possibile espansione futura nella verifica del Green Pass, ma non ancora definita nei dettagli.
Come successo con il Green Pass di Hitler, senza un’autenticazione multifattore, un certificato firmato con chiavi di cifratura valide, ma utilizzate abusivamente, verrebbe riconosciuto come valido nel momento di verifica attraverso l’app “verificaC19”, e consentirebbe la libera circolazione ad un individuo non vaccinato. Con una doppia richiesta di verifica questo sarebbe più difficile, perché, sebbene il certificato risultasse valido, per avere un’autenticazione completa al soggetto sarebbe chiesto di inserire un codice generato da una seconda app. Se il soggetto in questione utilizzasse di conseguenza un certificato fasullo o non il suo, non avrebbe a disposizione il secondo tassello per completare la verifica. In questo caso la truffa verrebbe svelata.
“Una soluzione tecnica come questa potrebbe aumentare significativamente il livello di sicurezza e quindi il livello di difficoltà di falsificazione del certificato, ma allo stesso tempo renderebbe il processo di controllo molto meno agevole e rapido. Il dilemma è quello di bilanciare in maniera corretta la comodità e la facilità di utilizzo rispetto alla sicurezza e complessità delle verifiche”. conclude Massimo Grandesso, Cybersecurity Manager di Innovery.
