Ormai manca poco e il 6 agosto è vicino, data a partire dalla quale, una serie di attività commerciali, tra cui palestre, bar e ristoranti, sarà consentito l’accesso solo a persone munite di Green Pass valido. La verifica e il controllo di tali accessi spetta, appunto, ai proprietari/responsabili delle attività interessate e a tal proposito il Ministero della Salute ha implementato una app Android/iOS, VerificaC19, che esegue il controllo in automatico, leggendo il QR Code del Green Pass. Agevolando dunque in questo modo l’attività di verifica e garantendo la sicurezza dei dati personali/sensibili che il Green Pass porta con sé.
VerificaC19: come funziona la app?
Tramite un documento condiviso dal Ministero della Salute, possiamo rapidamente riassumere il funzionamento di questa app nel suo processo di verifica e controllo, che si articola in queste fasi:
- Il verificatore della Certificazione verde COVID-19 lo richiede alla persona che lo mostra nel suo formato QR;
- Utilizzando VerificaC19 viene letto il QR Code e viene validato utilizzando la chiave pubblica di firma della Certificazione verde COVID-19. Per fare ciò VerificaC19 esegue la ricerca della chiave tra quelle memorizzate localmente;
- VerificaC19, una volta decodificato il contenuto informativo del QR Code, mostra le informazioni principali in esso contenute:
- Nome, cognome e data di nascita dell’intestatario della Certificazione Non vengono visualizzati gli altri dati contenuti nella Certificazione.
- VerificaC19 mostra al soggetto incaricato se la Certificazione è valida anche rispetto ad alcune regole di validazione automatizzate che ne verificano la durata in relazione all’evento che l’ha generata. Tali regole definite dal Ministero della Salute sono parametriche e l’aggiornamento di tali parametri viene comunicato all’app, una volta al giorno, attraverso il meccanismo utilizzato nella sincronizzazione delle chiavi pubbliche descritto nel successivo paragrafo 6.
- A questo punto il soggetto incaricato procede alla verifica a vista della corrispondenza dei dati anagrafici dell’intestatario della Certificazione verde COVID-19 con quelli mostrati su VerificaC19.
A questo punto ci occorre riassumere anche il processo di sincronizzazione della app con i dati presenti nei database governativi, al fine di riuscire a verificare il singolo Green Pass:
Alla prima installazione l’app scarica, tramite questo servizio della piattaforma nazionale, tutte le chiavi presenti nel database europeo. Ogni 24 ore l’app interroga il servizio e scarica la lista delle chiavi valide. Nel fare questa operazione confronta i dati scaricati con quelli già presenti nella lista salvata localmente e aggiorna la propria base dati (inserendo le nuove chiavi ed eliminando quelle vecchie). Ciascuna chiave pubblica è identificata univocamente attraverso un identificativo denominato KID (Key Identifier). In aggiunta alla lista delle chiavi, il servizio permette all’app di scaricare anche alcuni parametri da utilizzare nella validazione delle Certificazioni verdi COVID-19 al fine di calcolare la relativa validità.
VerificaC19: la sicurezza
La app per come è strutturata garantisce un livello di sicurezza e rispetto della privacy per i dati che tratta, offrendo la garanzia che i dati non vengono in nessun modo comunicati all’esterno dal dispositivo utilizzato come verificatore, e funzionando anche (come requisito) in assenza di connettività Internet.
Nonostante tutto è presente un malfunzionamento, probabilmente intrinseco alla caratteristica principale che è quella di funzionare anche senza connettività Internet, ma sicuramente superabile.
Nello specifico la app affida come punto fermo di riferimento il suo funzionamento alla data/ora del dispositivo che la ospita. Ecco lo scenario:
- Se capita che un verificatore controlla un Green Pass scaduto, la app emette il segnale rosso di Certificato non valido:
- In quel momento se in malafede, il verificatore dovesse modificare la data del proprio dispositivo, portandola nel passato, lo stesso Green Pass che normalmente risulta scaduto, viene automaticamente certificato come valido.
Questa caratteristica viene per la prima volta messa in risalto online, da un tweet di un utente che riportiamo qua sul link.
Quello che possiamo aggiungere è che si tratta sicuramente di un problema funzionale dell’applicazione, come dicevamo legato al fatto che la app è in grado di funzionare anche in assenza di connettività remota e quindi anche la data non è verificata su server esterni. Inoltre è un problema che emerge da un utilizzo scorretto della app, da parte del verificatore, che essendo un commerciante ha tutto l’interesse ad avere quante più certificazioni valide nella propria attività, ma che non gli garantisce in questo modo, l’esenzione alle sanzioni previste da decreto in caso di controllo/accertamento da autorità pubbliche (che invece non hanno alcun interesse in gioco).
Quindi attenzione a come utilizziamo la app e se la utilizziamo, è decisamente conveniente utilizzarla nel modo corretto, perché utilizzarla con gli espedienti indicati sopra, equivale decisamente a non utilizzarla.