偽造的歐盟綠色通行證
在歐盟,只有出示有效的綠色通行證,證明持有人已接種疫苗或已從 Covid 中康復,一個人將很快能夠進行某些活動(參加音樂會、體育賽事等),或最近被檢測為陰性。
綠色通行證基本上是一個二維碼,其中包含使用公鑰密碼術加密的資訊(詳見此處)。
一經推出,垃圾郵件發送者就開始為不想接種疫苗的人宣傳假綠色通行證。其中一些顯然是身份盜竊的嘗試,因為垃圾郵件發送者聲稱他們需要有效 ID 的副本來生成綠色通行證。
我想知道綠色通行證計劃是否真的被打破了¹;我發現的少數來源顯然不可靠(他們的技術解釋是胡言亂語)。
注意:我已經拍攝並持有有效的通行證;我只對方案的技術方面(即穩健性)感興趣。
¹主持人注意:我們在一個密碼論壇上,如果我們討論這個主題,至少我們應該嚴格遵守它的密碼方面。
回答問題是什麼,重點放在密碼學方面:
“綠色通行證”標題暗示是/否決定,而應用程序實際上是從二維碼中掃描姓名、生日和疫苗接種資訊,並以明文形式****列印出來。為了實現這一目標,它需要基礎設施,如可公開訪問的包含醫療資訊的數據庫和手動 ID 檢查。
技術描述中沒有建議嘗試使用任何眾所周知的加密工具來保護數據隱私。更糟糕的是,簽名要求所有簽名數據都以明文形式提供。用 X.509 屬性聲明簽名是短暫的,並不是解決隱私問題的方法。為了具有建設性,請讓我提醒一下,自 80 年代末以來,零知識證明就被考慮用於民主投票。
根據“健康證書互操作性信任框架V.1.0 2021-03-12”部分“7驗證協議”,掃描器驗證簽名並列印簽名數據(離線部分):
一旦這個數字簽名被驗證,驗證軟體就可以解碼二維條碼中的資訊並依賴其內容。
證書的 UVCI 部分是稍後預期的數據庫中的搜尋鍵(功能蠕變):
線上驗證將依賴於 UVCI,並將納入下一版本的規範 (V2)。
歐盟委員會被問及零知識適用性:
議會問題,2021 年 4 月 13 日,Pier Nicola Pedicini (Verts/ALE) … 委員會是否考慮:
- 將 ZKP 用於數字綠色證書;…
Brian Behlendorf(Linux 基金會)在“疫苗護照:公共衛生解決方案還是道德和法律雷區?”中確實說過:
密碼學和數學方面的最新進展與能夠證明某事物而不必顯示有關該事物的大量資訊的想法更好地保持一致。.. 同樣的零知識系統和零知識證明需要成為我們在整個系統中標準化的東西。
更新:最近數據洩漏的加密方面可能包括諸如複製至少兩次發送以供驗證的簽名數據的不可追踪性之類的推理,以及該簽名數據“不可用”的確切含義。