Há, een Poolse Sleutel ! Waar kwam ik dat eerder tegen...:
https://www.fietsersbond.nl/de-fiets/onderdelen/sloten/axa-ringsloten-en-de-poolse-sleutel/

En zo blijkt ook in het geval van QR-code-check-apps digitalisering niet zozeer een bron van "veiligheid" te zijn, maar vooral één van onveiligheid.

Vraagt de horeca-portier: "Mag ik uw QR-code even zien?"

Wedervraag: "Mag ik dan eerst even uw beveiligingsinstellingen zien?"

Antwoord: "Nee, dat is een telefoonboek van vijf kilo en dat ligt binnen, dat ga ik niet telkens naar de deur dragen."

Vervolgvraag: "Maar dat kan toch ook gewoon met een laptopje, vanuit de cloud?"

Antwoord: "Nee, want dat valt niet goed te beveiligen."

Vervolgvraag: "Maar hoe weet ik dan dat ik veilig ben als ik in dit café naar binnen stap?"

Antwoord: "Dat hangt af van uw vaccinatie in combinatie met uw natuurlijke immuunsysteem."

Vervolgvraag: "Maar dat moet hier aan de ingang toch juist worden gecheckt?"

Antwoord: "Zucht. We checken een QR-code, verder niks."

Vervolgvraag: "Is dat dan niet een beetje zinloos?"

Antwoord: "Er staat een rij wachtenden achter u. Als u geen QR-code laat zien, wilt u dan plaats maken voor de volgende?"

M.J.

Even uitgeprobeerd: de app met de betreffende qr-code werkt inderdaad. Zo zie je maar weer wat er gebeurt als een private key wordt gelekt. Het lekken van een private key mag nimmer gebeuren en in zo'n geval hoef je je niet af te vragen of de beveilging slecht geregeld was.

Manmanman wat een onzin betoog weer (samen met een mooi stukje scenario dat nooit heeft/zal plaatsvinden). Wat hier fout is gegaan, is hetzelfde risico dat aan een willekeurige PKI fout kan gaan (want dat is dit immers, je hebt een certificaat dat door een CA ondertekend is). U betoogt ook dat het hele internet een grote bron van onveiligheid is?

Het internet en veel van de protocollen die het internet rijk is, zijn inderdaad een grote bron van onveiligheid. Het blijft verbazingwekkend dat er nog zoveel goed gaat op het internet ...

Ja dat krijge je als je zoveel signing services vertrouwd. Er zit er altijd wel eentje tussen die de private key niet in een HSM heeft zitten. Vervolgvraag is dan of al die apps die de code checken goed zijn geimplementeerd en de revocation status van de gebruikte certificaten wel checken. Het zou mij niets verbazen als en nog in een of ander land een app is die de hele certificaatcheck uit heeft staan, zoals de ING app een aantal jaren geleden ook had.

Er zijn meer problemen gevonden.

Onlangs heeft er in een wijkblaadje in Nederland een QR-code gestaan. Wie deze vervolgens scant met de Italiaans App, krijgt een groen vinkje te zien dat men gevalideerd is (!!). Alleen de naam van de echte drager komt niet overeen met mijn eigen naam. Als de controle in onze maatschappij bijvoorbeeld slap wordt uitgevoerd, kan men dus gewoon ergens binnen komen zonder dat de persoon ook echt gevaccineerd is. Uit veiligheidsoverweging maak ik verder geen details bekend waar deze QR-code te vinden is.

Zo te zien is die QR-code business tegen Corona werkelijk zo lek als een mandje.

De coronapas is niet onomstreden in Frankrijk https://nos.nl/artikel/2392732-omstreden-franse-coronapas-en-vaccinatieplicht-voor-zorgmedewerkers-komen-er.

Misschien een ontevreden systeembeheerder die een kopietje van de private key voor zichzelf heeft gemaakt, voor het geval dat?

Met een crypto-backdoor zoals ze hier in Den Haag willen was het nog veel eerder gebeurd.

Toch amusant. Het blijft me toch verbazen hoe dit elke keer kan. Volgens mij hadden ze bij het opzetten van dit systeem beter het systeem van McDonalds kunnen gebruiken. Volgens mij is dat systeem een stuk beter doordacht.

Ik heb geen vader bij McDonalds, en kom daar sowieso nooit.
Wat is "het systeem van McDonalds" ...?

Als men aan de deur de qr code niet controleert, wat heeft zo'n app dan nog voor zin?

Ik heb voor de overheid als security officer gewerkt, maar er zijn ambtenaren die zich echt met álles willen bemoeien (en dus ook met de beveiliging) maar vervolgens nooit het vak van de security hebben geleerd.

Het resultaat is dat je dit soort wangedrochten krijgt.

Het systeem van McDonalds? Kun je dat toelichten, ik ken het niet. Voor zover ik mij kan herinneren van lang geleden vond ik de smaak van het eten niet zo lekker.

Je bedoeld toch niet dit systeem van McDonalds? https://nypost.com/video/clever-mcdonalds-customer-figures-out-hack-for-a-free-burger/

Een QR-code met iemand anders delen is ontzettend simpel. Daarom moet ook eigenlijk altijd een identiteitsbewijs worden gecontroleerd, om een hogere zekerheid te hebben dat de QR-code ook bij die persoon hoort.

Dat is overigens met een "analoog" vaccinatiebewijs niet anders. Dat kan ook worden gekopieërd.

Nou dat specifieke aspect is inderdaad een grote bron van onveiligheid... het hele model van "deze 150 CA's zijn te
vertrouwen voor het ondertekenen van ieder willekeurig certificaat" dat zuigt enorm.
Maar die QR check werkt niet helemaal op die manier. Wat die er wel mee gemeenschappelijk heeft is dat je nu een
probleem hebt wat je alleen kunt oplossen door die specifieke twee sleutels ongeldig te maken, waarmee je niet alleen
die grappig bedoelde QR codes ongeldig maakt maar tevens alle geldige codes die bij die instantie zijn aangevraagd.
Wat natuurlijk niet leuk is als je een gezagsgetrouwe Fransman of Pool bent die met zijn QR code bij een deur komt
en daar geweigerd wordt. Die kan dan weer opnieuw ergens een QR code gaan aanvragen...

Gut gut gut wat een ramp, en wat doe je geheimzinnig over het wijkblaadje.

Je snapt hopelijk dat je _iedere_ geldige QR code van _iemand_ kan kopieren - en dan heb je een geldige code waarvan "alleen de naam niet overeenkomt" .

Ik snap alleen niet waarom je die met Italiaanse app scant - dat moet ook werken met de Nederlandse scan app.

Je hoeft dus echt niet zo geheimzinnig te doen over "het blaadje" , want een code van iemand uit een vrienden/kennissenkring lenen zal echt het probleem niet zijn.

De theorie is dat je , naast de code, dus ook het ID vraagt van degene die de code laat zien.

Dat wordt het inderdaad als iemand ongevaccineerd is, met corona besmet, en vrolijk binnenkomt waar jij toevallig ook verblijft.

De Nederlandse CoronaCheck Scanner-app kan alleen de Nederlandse QR-code scannen. Niet de internationale QR-code. Ik ben persoonlijk wel benieuwd naar hoe de Nederlandse horeca omgaat met toeristen.

Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) doet onderzoek naar geruchten op internetfora dat de sleutels die een QR-code geldig maken in Frankrijk en Polen gelekt zouden zijn. Hiermee zou onder andere een geldige QR-code aangemaakt zijn op naam van Adolf Hitler, meldt RTL Nieuws.
https://www.ad.nl/binnenland/ministerie-onderzoekt-eventueel-gelekte-sleutels-die-groen-coronavinkje-adolf-hitler-mogelijk-maakten~ab2b330a/

Ik vind het mooi.

Ik snap wel wat je bedoelt maar vind het toch vooral schijnveiligheid en bezigheidstherapie voor ambtenaren en opsporingsdiensten. Met het QR-systeem is vooral een nieuw slagveld opgetuigd op kosten van de belastingbetalers.

Ja en ? Je dacht dat ik daar bang voor zou zijn ofzo ?

Het grootste probleem is die nodeloos overdreven angst.

Een ketting is zo sterk als de zwakste schakel. De EU (is iets anders dan Europa) wil meer en meer koppelen en centraliseren en controleren en uitwisselbaar maken. Dit is een voorproefje van wat ons nog te wachten staat. Het is niet alleen de Nederlandse Overheid die een traditie heeft hoog te houden in falende ICT projecten (met uitzondering van het CJIB wellicht).

Okay, vanaf nu dus QR code, paspoort en een bloedsample laten nemen voordat je een cola mag drinken in een café...

't Is één grote fraude. Mensonterend en ook nog lek. Eigenlijk precies zoals het hoort, karmatisch gezien. Zeer toepasselijk ook icm een grote Duitse leider uit het verleden.

Kan er toch nog gelachen worden.

Gelukkig er zijn nog mensen met ethisch besef en verzetsstrijders!
Zij staan straks in de geschiedenisboeken als helden.
Dank hackers!!

Ja. Alleen kunnen gevaccineerden die besmet zijn en positief getest nu ook gewoon met een groene QR-code binnenlopen. En ja, na ongeveer 3 maanden biedt een vaccin vrijwel geen bescherming meer tegen besmetten.

Realiseer je dat even.

Je kan tientallen apps downloaden om zelf QR codes zowel van NL als de internationale versie te scannen wel leuk om te zien want in de internationale versie wordt veel meer info getoond zoals de volledige naam en het gebruikte vaccin.

Oh, dat realiseer ik mij ter dege hoor! Ik vraag me alleen af waar deze qr-onzin nu voor nodig was. Het blijkt gewoon een waardeloos middel te zijn.

net zoveel zin als je auto rijdt en niet naar je rijbewijs wordt gevraagd...

Net als de overvallen op de persoonsregisters in duistere tijden.

Maar nu zoiets met het QR-Ausweis, waar straks van alles aan komt te hangen
en waartoe door de EU al in 2018 in principe werd besloten.

Wat doen overheden? Zie hen aan voor degenen, die zij werkelijk thans zijn.

We zullen er nog veel plezier aan gaan beleven, aan deze Build-Back-Better-figuren.

Je doet nog steeds alsof ongevaccineerden iets verspreiden.

Dat komt niet overeen met wat je zou verwachten. Immers, je haalt een vaccinatie om immuun te zijn. Dus zouden gevaccineerden er geen last van moeten hebben ALS een ongevaccineerde wat zou verspreiden.

Ik zie het eerder omgekeerd: De ongevaccineerde is getest. En zou als gevolg daarvan helemaal niks moeten verspreiden. De gevaccineerde is niet getest. Zelf als die positief getest is, blijft die z'n groene vinkje houden. Inmiddels mag toch bekend verondersteld worden dat die dan anderen besmetten. Toch?

Een inside job is inderdaad het meest waarschijnlijke. Systeembeheerders zijn intelligente mensen waarvan je mag verwachten dat ze de gevolgen van zo'n daad kunnen overzien. Deze actie zal zeker bijdragen aan de verspreiding en dus ook doden tot gevolg hebben.

Ik ben benieuwd of deze personen dan ook voor doodslag voor een rechter gebracht gaan worden. Als ze de daders vinden.

Nee doden tot gevolg heeft dit niet, t vaccine stop de verspreiding namelijk totaal niet , dat is ook algameen bekend.
bij mensen met een iq van > 100.
die kunnen biuiten programeren ook medische raporten lezen.
ACGT , is niet aners dan een 4 tallig stelsel.
https://www.genome.gov/genetics-glossary/acgt
in computers heb je 0/1 2 tallig , wetten in echte virusen zijn niet anders dan in computer virusen...
je hebt code wars , aleen is het in de levende wereld zo dat een virus deel neemt aan een code war , tgen een ander virus of een vaccine...
het vaccine is niet instaat het virus te doden , waarom niet heeft te maken dat het aleen een stukje van de netwerk stack aanpakt namelihk poort 5320 , (spreekwoordelijk) of te wel 1 van de 18 proteines namelijk aleen t spike stukjede restvan het virus blijft in tact!
dus wat doet hhet virus het past zich zelf aan , en dat is precies wat er is gebeurd...
daarom dus die boosters die aleen poort 5320 blijven blocken..
de rest van het verhaal snap je wel het virus laat t vaccine links ligen en muteerd door..
iedere goede systeem beheerder die goede binare kennis heeft snapt dit verhaal en weet dat dit hele gedoe zo snel mogelijk moet stoppen , je red er nemelijk geen levens mee in tegen deel!
aleen denuurlijke antistoffen doden het virus , reden heel simpel..
ieder mens maakt andere anticode aan , dus is integendeel tot het vaccine de code van ieder mens op aarde uniek!
daar kan je als virus dus NIET op anticiperen!
dat aleen al zou voor een coder duidelijk moeten maken hoe belachelijk deze vaccines zijn.
fijne dag!.

Briolet, wat een dramatische reactie.

Helemaal in de lijn van hoe de pro-vaxxer er in staat. Corona dodelijk voor de tachtig plusser.
Een verschrikkelijk uitsluitingsmiddel gehackt en de ransomware artiest dan?
Er vallen vast dooien. Iedereen krijgt nu corona - je praat als de beddenbaas met het pierlala-hoofd.

Meten met twee maten liefst. Beschouw je de hacker als een partizaan of als een "Lump",
zoals de schreeuwende Nazi-rechters dit noemden ten tijde van het Reich (nu het vierde),
zoiets als Assange, Mitnick, allemaal verwerpelijke lui met mensen op hun geweten.

Ja, daar zitten we inmiddels in via onze politiek aangezwengelde polarisatie.

Stel je eigen overtuigingen (of zijn het die wel of aangepraat) eens ter discussie.
Je bent "overgenomen" man door de pandemie-dwang.

multi anoniem

Ik vind de term hacker hier wat teveel: als je zo'n private key hebt is het kinderlijk eenvoudig om zelf zo'n QR code te maken.

Jezus kerel wordt wakker! Gevaccineerde zijn net zo besmettelijk als niet gevaccineerde. Deze coronapas/greenpass had er nooit mogen komen. Heeft totaal niets met gezondheid te maken maar geeft een vals gevoel van veiligheid.

Er is mij tot nu toe 3x gevraagd naar mijn QR-code, bij precies 0 van die keren moest ik mij ook legitimeren. Wassen neus dus. Had ook de QR-code van de buurman mee kunnen nemen. Nog wel gevraagd, maar ze wilden mijn ID niet zien.

De vervalsers van de QR-code van de coronapas zijn misdadigers die voor het gerecht moeten worden gesleept.

Vervalsers? Ze genereren d.m.v. de private key een valide QR code. Gebruiken ze deze op het moment van check (bijvoorbeeld bij een uitgaansgelegenheid) dat ze eigenlijk Covid19 hebben? Geen idee. Deze mensen kunnen net zo goed gezond zijn zonder een infectie.

Feit is wel dat een gevaccineerde wordt gecheckt, op dat moment negatief wordt bevonden en daarna de vrijbrief (QR code) krijgt om 6 maanden te doen en laten wat hij/zij wilt. Kan deze gevaccineerde nog steeds Covid19 krijgen... jazeker. Immuun? Zeker niet.

Wie de echte misdadigers zijn? Daar kan je van mening over verschillen. De pro en anti kant namelijk. Wie niet naar een Mainland China punt 2 versie wil, moet dus voor een gerecht gesleept volgens degenen, die hier naar toe willen. Ieder het zijne stond op de poort van het concentratiekamp.

Je kent die mop toch van die chinees die om een QL code vraagt?

Echt gebeurt:
Ik dus gisteren bij de chinees en ging ff binnen zitten. Ze mompelt wat...en ik denk wat zegt ze nou? Pardon mevrouw kunt u het herhalen want ik begrijp niet wat u bedoelt.

QL --code ja hoor daar was die lol. Als of de duivel er mee speelt.

Nu heb ik niet zo'n ding en ook niet zo'n app en sta ik ook niet geregistreerd maar wel 2x keer gevaccineerd.

Sta je toch mooi buiten te wachten.

Dat was niet eellijk.

Man, man, je wordt toch strontziek van dat gezeik overal.

Weg met internet weg met al die welvaart geef mij maar een overlevingspakket een lekker wijf en een hut in Alaska.

Geen geouwehoer over windows linux randsomeware chinezen die doorpezen, russen die bij klussen, of een Hugo Taliban en een premier die er doorheen zit zonder missie.

Hatseflats!

6 maanden? 12 maanden na uitgifte van de QR code blijft een papieren bewijs nog geldig. Dus niet 12 maanden na vaccinatie, maar 12 maanden na generatie van de code (dus nu weer opnieuw laten genereren is valide t/m 27-10-2022, ondanks een vaccinatie die in het ergste geval al meer dan 6 maanden geleden heeft plaatsgevonden). Hoezo een wassen neus (naast natuurlijk de onwenselijkheid hiervan en het vertrouwen op het groene vinkje zonder verdere controles).

Intussen is het duidelijk geworden dat er waarschijnlijk geen sprake is van gelekte keys maar van een malversatie
in het registratiesysteem voor vaccinaties in die landen. Dwz er heeft gewoon iemand een fake persoon met fake
vaccinatiestatus aangemaakt en daar een QR voor gegenereerd.
Dat kan natuurlijk "altijd" gebeuren, vergelijkbaar probleem met het lekken van persoonlijke informatie door GGD
medewerkers. Er zijn altijd wel mensen die toegang hebben tot dit level en "grappige dingen" kunnen uithalen, maar
dat wil dan nog niet zeggen dat de key gelekt is natuurlijk.

Kan de moderator misschien even die wappie reacties die niet over de QR code gaan maar afdwalen naar "werkt
een vaccinatie wel?" verwijderen? Dat maakt een dergelijk topic zo onleesbaar en er is al een topic voor.

Interessant - maar jammer dat je er geen bron voor geeft .

Het genereren van enkele fake/joke/dummy certificaten is qua security inderdaad een stuk minder erg dan het lekker van een signing key .

Het is nog steeds wel opmerkelijk dat het kan - je zou verwachten dat het genereren van QR codes redelijk strak gekoppeld zit aan een burger-registratie .
Dan is het niet zomaar free text een persoons naam inkloppen, maar ook een fake burger aanmaken - wat ergens moet opvallen - en normaal gesproken ook herleidbaar zal zijn naar degene die het aanmaakt .

Aan de andere kant - uiteindelijk zal er een test/ontwikkelstraat zijn bij de hele QR infrastructuur, en hebben daar beslist mensen ook tig dummy QRs zitten aanmaken in de ontwikkelfase . Misschien eerst met een test-signing key, maar uiteindelijk moet je de productieversie testen voordat je 'm definitief live zet .
Dan is het wel voorstelbaar dat je een stel dummy QRs maakt - en die kunnen ook lekken

Het zou ook kunnen .

Wat ook nog kan is dat het verhaal dat het slechts dummy certificaten zijn en niet het lekken van de key - een coverup omdat de key wel degelijk gelekt is, en ze dat verdoezelen om het hele circus van revoke en heruitgeven te vermijden.

De zorg dreigt dicht te slippen door de ongevaccineerde rasegoïsten en IQ-beperkten waardoor directe gezondheidsschade ontstaat bij mensen die wel verantwoordelijkheid nemen voor eigen gezondheid en de samenleving. Dat trekt altijd weer criminelen aan. Ophangen aan de hoogste boom!

M.J.

Graag gedaan hoor, maar ik beschouw mijzelf niet als een hacker, maar eerder als een veiligheidsonderzoeker.
En wat security betreft: als die niet getest wordt, dan weet je eigenlijk niks.

In een goede omgeving zou dit niet mogen gebeuren. Ten eerste zou de private key veilig moeten worden opgeslagen, in dit geval zou ik zeker een HSM verwachten, waarmee ook het keypair gegenereerd zou moeten worden, en waarbij de HSM ook het signeren voor zijn rekening neemt (gebruik makend van bijv, de PKCS#11 standaard). Indien goed geimplementeerd zal dan de private key nooit de HSM kunnen verlaten (hooguit naar een andere HSM voor availability/escrow) en dus nooit in handen ven een persoon kunnen vallen.

En daarbij, wanneer het mechanisme in test werkt met een test keypair, dan werkt het in produktie ook echt wel met het produktie keypair. Hooguit nog een testje met een produktie account ter verificatie, dan kun je gewoon live. Dus daarvoor heb je echt niet het produktie keypair nodig binnen een testomgeving.

Wanneer dus de private keys echt gelekt zouden zijn dan deugt in die gevallen in ieder geval de implementatie niet.

Ja jammer he? Nou moet je zelf weer gaan zoeken. En kun je niet afgeven op de geldigheid van mijn bron.
Maar goed, als het nieuws later overal opduikt dan denk er nog maar even aan dat je het hier al gelezen had.

Voel met je mee. Even heel eerlijk: jij hebt me vandaag erg laten lachen.
Toevallig ben ik regelmatig in zo'n hut, niet in Alaska, maar wel ergens waar het vrij rustig is.
Enige "probleem": er is wel internet, waardoor ik toch een beetje blijf plakken aan het geouwehoer.
Vanwege niet vaak genoeg bezoek van... Nee, Hugo komt vaak genoeg, die staat maar te sprietsen op de ramen. Maar hij heeft geen LW-code dus hij komt er niet in. Ik heb ruitenwissers laten installeren.

Salud!

M.J.

Waarom laat je zo duidelijk zien dat je mijn casus niet snapt of niet gelezen hebt ?

Het is precies wat ik schrijf : de signing key _hoeft_ niet gelekt te zijn uit een HSM , maar bij het ontwikkelen van de hele QR straat zijn er gegarandeerd een serie dummy certificaten gemaakt .
Of je die nu laat signing door ze door een HSM te trekken of anders, je zult een serie QR testcertificaten maken die goed valideren in de ontwikkelfase. En testen die fout valideren maak je ook .


Ik schreef " maar uiteindelijk moet je de productieversie testen voordat je 'm definitief live zet ."
En dan kom je spuit elven "Hooguit nog een testje met een produktie account ter verificatie, " - alsof je iets anders zegt dan ik ?

Dat "testje met een productie account" zou dan inderdaad zo'n (gelekt ?) 'A Hitler' certificaat kunnen zijn.

Maar goed - ergens is ook een moment waarop een key _in_ een HSM gezet wordt.
En dat kan een zwakke schakel zijn als de mensen die het moeten doen (één of meer mensen tezamen) besluiten een kopie te maken.
Het hoort niet - en op sommige plaatsen beschrijven ze een heel proces circus van veel mensen en delen van sleutels om maar te garanderen dat het heel erg moeilijk/onwaarschijnlijk is om om op dat moment te sleutel te pakken.
Of dat overal de praktijk is - wie zel het zeggen.


No shit. Het _kan_ - we hebben het gezien bij bijvoorbeeld Diginotar .

Private keys voor genereren van valse coronacertificaten toch niet gelekt
donderdag 28 oktober 2021, 17:25 door Redactie

https://www.security.nl/posting/727708/Private+keys+voor+genereren+van+valse+coronacertificaten+toch+niet+gelekt

Ik was vroeger net als u. Paranoide en angstig voor vaccineren. De GGZ kan u ook genezen net als mij wanneer u daar open voor staat.

#neemnetalsikdeliefdesprik

Nu moet ik maar afgeven op een anoniem die een vaag gerucht de wereld in gooit, inderdaad.
Ook goed.


Het gerucht duikt wel op inderdaad. Jammer dat je voor dit soort zaken zo ontzettend weinig informatie in de massa media kunt vinden.
Ze schrijven allemaal hetzelfde persbericht over.