Il green pass è per marchiarvi

Che il green pass non servisse a controllare il contagio era ormai chiaro da mesi: le persone vaccinate sono contagiose ma ottengono un pass permanente senza dover sostenere tamponi.

Anzi, il pass potrebbe per questo motivo addirittura essere controproducente.

Ma una questione ancora più incredibile torna alla luce: una persona vaccinata in possesso del green pass – qualora si ammali – continua ad avere il green pass valido.

Una persona vaccinata in possesso del green pass – qualora si ammali – continua ad avere il green pass valido

Cioè, nonostante il  nome «green pass» suggerisca un sistema di semafori per regolare il traffico dei contagi, abbiamo che per i vaccinati (anche malati)  il semaforo rimane sempre verde.

Ebbene, non si tratta di un bug (cioè di un difetto, come nei sistemi informatici) o di una grossolana svista; si tratta piuttosto di un limite intrinseco allo strumento di marchiatura.

Pochi riconoscono che la tecnologia con cui il pass è stato progettato non è pensata per monitorare, bensì soltanto per marchiare.

D’altra parte ce lo hanno anche detto esplicitamente: il green pass serve a rendere la vita impossibile a coloro che non si vaccinano.

Lo scopo dunque non è  – per adesso – controllare le persone in tempo reale, ma forzarle a ricevere il vaccino.

Pochi riconoscono che la tecnologia con cui il pass è stato progettato non è pensata per monitorare, bensì soltanto per marchiare

In altri termini, la tecnologia con cui è stato implementato il green pass dimostra che lo scopo non è mai stato quello di monitorare il contagio, ma semplicemente quello di marchiare i cittadini.

Il green pass non è una semaforo, è una marchiatura del bestiame. Lo si può capire dagli strumenti tecnici su cui è stato implementato.

Per spiegare la tecnologia con cui funziona la marchiatura del green pass conviene descrivere brevemente che cosa non è. Per farlo citeremo come esempio il sistema di assicurazioni automobilistiche della Svizzera.

Nella Confederazione Elvetica la motorizzazione gestisce il controllo delle assicurazioni sui veicoli. Quando un cittadino sottoscrive una polizza (obbligatoria) con una certa compagnia assicurativa , questa lo comunica alla motorizzazione, la quale associa la polizza alla targa del veicolo.

Ce lo hanno anche detto esplicitamente: il green pass serve a rendere la vita impossibile a coloro che non si vaccinano

Se alla motorizzazione non risulta la copertura assicurativa attiva per un veicolo, la polizia si reca a sequestrare il veicolo entro poche settimane dalla mancata assicurazione. Viceversa, quando si paga, scatta il dissequestro. In Svizzera fate attenzione a non pagare le polizze RC auto in ritardo: il semaforo diventa rosso in tempo reale.

Veniamo ai controlli. Quando la polizia elvetica ferma per strada un veicolo con targa svizzera, prende la targa e interroga il database centrale della motorizzazione, la quale risponde in tempo reale sullo stato assicurativo del veicolo.

Se la polizia non avesse la connessione internet o il telefono, il controllo non potrebbe essere svolto, dato che non ci sarebbe modo di accedere alla informazioni aggiornate della motorizzazione.

Quindi c’è un controllo che interroga un database centrale per verificare lo stato di qualcosa (nel nostro caso lo stato assicurativo del veicolo).

La tecnologia con cui è stato implementato il green pass dimostra che lo scopo non è mai stato quello di monitorare il contagio, ma semplicemente quello di marchiare i cittadini

Ora, il sistema green pass non è stato pensato per verificare lo stato di qualcosa in tempo reale, ma solo per attestare che qualcosa è avvenuto in passato. Si tratta, pertanto, di una marchiatura.

Il marchio imprime in modo più o meno permanente su un oggetto il fatto che un certo evento si è verificato. Nel caso del bestiame, l’evento del passaggio di proprietà  viene impresso col fuoco sulla pelle dell’animale venduto.

I green pass sono dei certificati digitali che sono timbrati digitalmente dallo Stato, così da non poter essere contraffatti. A meno che non si entri illegalmente in possesso dei timbri digitali (chiavi crittografiche private) che usa lo Stato.

Le applicazioni su smartphone che verificano il green pass non interrogano nessuna anagrafe centrale, bensì verificano che il timbro digitale contenuto nel QR code sia autentico. 

Il green pass non è una semaforo, è una marchiatura del bestiame. Lo si può capire dagli strumenti tecnici su cui è stato implementato

Le app di controllo infatti non devono essere collegate a internet per effettuare il controllo, ma devono solo avere dei pezzi del timbro digitale (chiavi pubbliche) che lo Stato ha usato per firmare tutti i green pass emessi.

Dunque, le app di controllo dei QR code devono collegarsi a internet soltanto una volta ogni 24 ore per scaricare i pezzi dei timbri digitali nuovi (chiavi pubbliche)  e riconoscere anche i certificati rilasciati il giorno precedente: lo Stato ogni 24 ore cambia il timbro digitale con cui sigilla i nuovi green pass.

Per capire in dettaglio facciamo un parallelo con le banconote di grosso taglio. Il QR code di un green pass contiene una specie di filigrana al suo interno. Lo Stato aggiorna la filigrana ogni giorno sulle nuove banconote emesse. Le applicazioni di controllo sono aggiornate per riconoscere l’autenticità delle filigrane usate dall’inizio fino all’ultimo giorno.

Come nel caso di una banconota però, il green pass – una volta emesso –  è di per sé valido al portatore senza possibilità di revoca.

Hanno implementato un sistema di controllo del contagio (che dovrebbe essere in tempo reale – e al massimo grado) su una tecnologia che da un punto di vista logico-funzionale non consente la revoca sui singoli oggetti, cioè i certificati

Provate a pensarci, se avete in mano una banconota da 100 euro potete spenderla ovunque; come farebbero a revocare la validità di una banconota da 100 euro? Dovrebbero revocare la validità della filigrana di tutte le banconote emesse in un certo lotto. I dispositivi per il controllo delle banconote infatti leggono la filigrana, e quella risulterebbe sempre valida. Quindi, una volta che qualcuno vi consegna 100 euro, voi potrete spenderli in qualsiasi momento. A meno che, daccapo, non venga revocata la validità della filigrana di un certo lotto di banconote. Cosa impraticabile per ovvi motivi.

Ci sarebbe solo un modo per rendere non spendibile la vostra singola banconota: segnalare il numero di serie sulla stessa. Peccato che le macchinette anti contraffazione non siano pensate per leggere il numero di serie delle banconote, ma solo la filigrana. Senza considerare il fatto che sarebbe demenziale che ogni singolo dispositivo di contraffazione dovesse contenere la lista aggiornata di tutte le banconote segnalate in Italia.

Per quanto demenziale possa essere, tuttavia è l’unico modo che ora possono usare per mettere una toppa al limite intrinseco del green pass: 

«Rispetto ad agosto – racconta l’esperto di sicurezza informatica Mattea Flora – è cambiata solo una cosa: l’app, da circa un mese, è abilitata per avere una revocation list, ma solo per i pass falsi. I famosi certificati a nome Hitler o Topolino sono stati revocati, ma solo perché eliminare un falso non crea alcun problema di privacy». (Il Fatto Quotidiano, 10 dicembre)

Con un sistema di marchiatura come il green pass la pattuglia potrebbe verificare la validità del vostro documento anche in assenza di telecomunicazioni.

Per farla breve, hanno implementato un sistema di controllo del contagio (che dovrebbe essere in tempo reale – e al massimo grado) su una tecnologia che da un punto di vista logico-funzionale non consente la revoca sui singoli oggetti, cioè i certificati.

Ci chiediamo se sia possibile che questa sia una svista.

A questo punto conta infatti osservare che: la funzionalità di revoca è la prima domanda che sarebbe venuta in mente a qualsiasi informatico che ha implementato l’architettura del sistema green pass. Certo, sempre che lo Stato non abbia commissionato un sistema di marchiatura che debba funzionare al meglio anche senza connessione internet.

Sorge un dubbio abissale: non è che prevedono che internet venga spenta? O che vi sia un blackout totale?

In tal caso si spiegherebbe molto bene perché abbiano implementato un sistema di identità digitale che non richiede controlli centralizzati.

Sorge un dubbio abissale: non è che prevedono che internet venga spenta? O che vi sia un blackout totale?

Come vi sarete accorti negli anni, quando vi fermano a un posto di blocco l’autenticità dei vostri documenti viene verificata dalla pattuglia consultando un’anagrafe centrale. Questa operazione richiede la presenza di telecomunicazioni funzionanti.  Mentre con un sistema di marchiatura come il green pass la pattuglia potrebbe verificare la validità del vostro documento anche in assenza di telecomunicazioni.

Vuoi vedere che forse non sono così fessi come sembrano?

Gian Battista Airaghi