Score:0

EU Green Passes ปลอม

ธง cn

ในสหภาพยุโรป บุคคลจะสามารถทำกิจกรรมบางอย่างได้ในไม่ช้า (ไปคอนเสิร์ต ไปงานกีฬา ฯลฯ) ก็ต่อเมื่อพวกเขาสามารถแสดงกรีนพาสที่ถูกต้องซึ่งรับรองว่าผู้ถือได้รับการฉีดวัคซีนหรือหายจากโควิดแล้ว หรือมีผลตรวจเป็นลบในช่วงที่ผ่านมา

Green Pass นั้นเป็นรหัส QR ที่มีข้อมูลที่เข้ารหัสด้วยการเข้ารหัสคีย์สาธารณะ (ดู ที่นี่ สำหรับรายละเอียด)

ทันทีที่เปิดตัว ผู้ส่งสแปมก็เริ่มโปรโมต Green Passes ปลอมสำหรับผู้ที่ไม่ต้องการรับการฉีดวัคซีน สิ่งเหล่านี้บางส่วนเห็นได้ชัดว่าเป็นการพยายามขโมยข้อมูลประจำตัว เนื่องจากผู้ส่งสแปมอ้างว่าต้องการสำเนาบัตรประจำตัวที่ถูกต้องเพื่อสร้าง Green Pass

ฉันต้องการทราบว่าโครงการ Green Pass ถูกทำลายจริงหรือไม่? แหล่งข้อมูลบางแหล่งที่ฉันพบนั้นไม่น่าเชื่อถืออย่างชัดเจน (คำอธิบายทางเทคนิคของพวกเขานั้นพูดพล่อยๆ)

หมายเหตุ: ฉันมีนัดและมีบัตรผ่านที่ถูกต้อง ฉันสนใจเฉพาะด้านเทคนิค (เช่น ความทนทาน) ของโครงการ


เธ หมายเหตุผู้ดูแล: เราอยู่ในฟอรัมการเข้ารหัสและ ถ้า เราถกกันเรื่องนั้น อย่างน้อยๆ เราก็ควรจะยึดตามนั้นอย่างเคร่งครัด การเข้ารหัส ด้าน

Vadym Fedyukovych avatar
in flag
ขอบคุณที่เลี้ยงสิ่งนี้ ข้อมูลจำเพาะดูเหมือนจะแสดงความสมดุลระหว่างความเป็นส่วนตัวและความปลอดภัย เช่น เปิดทุกอย่าง ลงนามโดยผู้มีอำนาจ ให้ "การป้องกันข้อมูลประจำตัว" กับคนที่ไม่สามารถรวบรวมและถอดรหัสรหัส QR อาจมีปัญหาในการเชื่อมโยงเอกสาร "ฉีดวัคซีน" ที่ลงนามแล้วกับบุคคลที่แสดงรหัส QR บนอุปกรณ์ของเขา มีโอกาสที่จะยืมมันจากเพื่อน ความรับผิดใด ๆ สำหรับการทำเช่นนั้น? จำเป็นต้องแสดงบัตรประชาชนตรงกับหน้าประตูด้วยหรือไม่?
Vadym Fedyukovych avatar
in flag
แนวคิดเรื่องความเป็นส่วนตัวคือการให้สีเขียว/แดงเท่านั้น ตามนัยของชื่อลวง การให้ชื่อ วันที่ หรือการจับคู่/ลิงก์ใด ๆ คือ "ความสะดวก" สมมติว่ามีคนอื่นขอรหัสดูเหมือนว่า "นี่ไม่ใช่ปัญหาของฉัน พวกเขาเป็นคนที่ไว้ใจได้"
cn flag
@vadym มีหลายแอพที่อ่านคิวอาร์โค้ดและพิมพ์ชื่อผู้ถือและวันเกิดของเขา/เธอ แนวคิดคือเจ้าของร้านจะขอรหัสที่ตรงกัน
Score:8
ธง ng

เดอะ ข้อมูลจำเพาะ ระบุว่าลายเซ็นต่อ ECDSA บนเส้นโค้ง "P-256" (aka secp256r1), หรือ RSASSA-PSS ด้วยโมดูลัส 2048 บิตร่วมกับ SHAâ256 แฮช (ฉันเดาว่าด้วย เอ็มจีเอฟ1 ด้วย SHA-256; ไม่สามารถแน่ใจได้ ขนาดเกลือ). สิ่งเหล่านี้ล้ำสมัยไม่แตกหัก อัลกอริทึม.

ฉันคิดว่ามันไม่น่าเชื่อว่าก การเข้ารหัส การโจมตีจะปล่อยบัตรผ่านปลอมที่ได้รับการยอมรับด้วยการตรวจสอบที่เหมาะสมตามข้อกำหนดนี้ พร้อมข้อมูลผู้ใช้ปลอมแปลง

poncho avatar
my flag
ความเป็นไปได้อย่างหนึ่งที่นึกไม่ถึงคือความผิดพลาดของผู้ออกทำให้พวกเขาสร้างสองลายเซ็นที่มี ECDSA เดียวกัน หากมีคนพบสิ่งนั้น พวกเขาสามารถกู้คืนคีย์ส่วนตัว ECDSA และสร้างการปลอมแปลงได้ ฉันไม่คิดว่ามันเป็นไปได้มากในกรณีนี้ - เป็นไปได้
Score:-1
ธง in

ตอบคำถามว่าอะไรเสีย โดยเน้นที่ด้านการเข้ารหัส:

ชื่อ "กรีนพาส" หมายถึง ใช่/ไม่ใช่การตัดสินใจในขณะที่สมัครจริง สแกน ชื่อ วันเกิด และข้อมูลการฉีดวัคซีนจาก QR-code และ พิมพ์ เป็นข้อความที่ชัดเจน เพื่อให้บรรลุเป้าหมายนั้นจำเป็นต้องมีโครงสร้างพื้นฐานเช่น ฐานข้อมูลที่สาธารณะสามารถเข้าถึงได้ พร้อมข้อมูลทางการแพทย์และ ตรวจสอบ ID ด้วยตนเอง.

ไม่มีคำแนะนำในคำอธิบายทางเทคนิคให้ใช้เครื่องมือการเข้ารหัสที่รู้จักกันดีใดๆ ความเป็นส่วนตัวของข้อมูล. ที่แย่ไปกว่านั้น ลายเซ็นจำเป็นต้องมีข้อมูลที่เซ็นชื่อทั้งหมดในรูปแบบข้อความที่ชัดเจน การประกาศลายเซ็นอายุสั้นด้วยแอตทริบิวต์ X.509 ไม่ใช่วิธีแก้ปัญหาความเป็นส่วนตัว เพื่อเป็นการสร้างสรรค์ โปรดให้ฉันเตือนว่าหลักฐานที่ไม่มีความรู้ได้รับการพิจารณาสำหรับการลงคะแนนเสียงตามระบอบประชาธิปไตยตั้งแต่ช่วงปลายทศวรรษที่ 80

ตาม "การทำงานร่วมกันของกรอบความน่าเชื่อถือของใบรับรองสุขภาพ V.1.0 2021-03-12" ส่วน "7 โปรโตคอลการตรวจสอบ" เครื่องสแกนตรวจสอบลายเซ็นและ พิมพ์ ข้อมูลที่ลงนาม (ส่วนออฟไลน์):

เมื่อลายเซ็นดิจิทัลนี้ได้รับการยืนยันแล้ว การตรวจสอบ ซอฟต์แวร์สามารถถอดรหัสข้อมูลในบาร์โค้ด 2 มิติและพึ่งพาได้ เนื้อหา.

ส่วน UVCI ของใบรับรองคือคีย์การค้นหาในฐานข้อมูลที่คาดว่าจะใช้ในภายหลัง (ฟังก์ชันคืบ):

การตรวจสอบออนไลน์จะขึ้นอยู่กับ UVCI และจะถูกรวมเข้าด้วยกัน ในข้อกำหนดเวอร์ชันถัดไป (V2)

คณะกรรมาธิการสหภาพยุโรป ถูกถาม ในการบังคับใช้ความรู้เป็นศูนย์:

คำถามรัฐสภา 13 เมษายน 2021, Pier Nicola Pedicini (Verts/ALE) ... คณะกรรมาธิการกำลังพิจารณา:

  1. ใช้ ZKP สำหรับ Digital Green Certificate; ...

Brian Behlendorf (มูลนิธิลินุกซ์) พูด ในงาน "Vaccine Passports: ทางออกด้านสาธารณสุขหรือเขตทุ่นระเบิดทางจริยธรรมและกฎหมาย":

มีความก้าวหน้าล่าสุดในการเข้ารหัสและคณิตศาสตร์ที่ สอดคล้องกับแนวคิดในการพิสูจน์สิ่งต่างๆ ได้ดีกว่ามาก โดยไม่ต้องแสดงข้อมูลมากมายเกี่ยวกับสิ่งนั้น .. ที่ ระบบความรู้เป็นศูนย์แบบเดียวกันและจำเป็นต้องมีการพิสูจน์ความรู้เป็นศูนย์ เป็นสิ่งที่เรากำหนดมาตรฐานทั้งระบบ

อัปเดต: ด้านการเข้ารหัสของ การรั่วไหลของข้อมูลล่าสุด อาจรวมถึงการให้เหตุผล เช่น การคัดลอกข้อมูลที่ลงนามซึ่งไม่สามารถติดตามได้ซึ่งถูกส่งออกไปเพื่อตรวจสอบอย่างน้อยสองครั้ง และความหมายที่ชัดเจนของข้อมูลที่ลงนามนั้น "ไม่พร้อมใช้งาน"

fgrieu avatar
ng flag
ฉันไม่เข้าใจว่า "ฐานข้อมูลสาธารณะที่เข้าถึงได้" หมายถึงอะไร ฉันไม่เห็นว่า ZKP หรือสิ่งอื่นใดจะช่วยเรื่องความเป็นส่วนตัวในสถานการณ์นี้ได้อย่างไร หากเราคิดว่าบัตรผ่านต้องเป็นรหัส QR แบบคงที่ ไม่สามารถโอนให้คนอื่นได้เล็กน้อย และสามารถตรวจสอบได้โดยไม่มีความลับใดๆ
Vadym Fedyukovych avatar
in flag
การตรวจสอบ UVCI (กำหนดไว้สำหรับเวอร์ชัน 2) เป็นการอ้างอิงฐานข้อมูล ด้วย ZKP ควรมีโอกาสที่จะจัดการข้อมูล "ระดับกลาง" ทั้งหมด เช่น ชื่อและวันเกิดในฐานะพยานบนอุปกรณ์ที่ผู้ใช้ควบคุม แทนที่จะพิมพ์ออกมา หมายความว่า พิมพ์แค่ใช่หรือไม่ใช่เท่านั้น

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา