iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Private Schlüssel kompromittiert? 

Impfzertifikat „Adolf Hitler“: CovPass Check bestätigt Echtheit

Artikel auf Mastodon teilen.
120 Kommentare 120

Die vom Robert-Koch-Institut ausgegebenen, offizielle CovPass Check-Applikation der Bundesregierung bestätigt, was eigentlich nicht sein kann: Nach dem Einscannen eines auf dem Kurznachrichten-Portal Twitter aufgetauchten QR-Codes, validiert der Download für Gastronomie und Veranstaltungsgewerbe diesen als authentisch.

Hitler Code

Wird von CovPass Check abgenickt: Hitlers Impfzertifikat

Der QR-Code würde ein gültiges Genesenen- bzw. Impfzertifikat für die Person „Adolf Hitler“, geboren am 01.01.1900 enthalten. Statt Hitler könnte hier auch Micky Maus oder Pippi Langstrumpf stehen. Nicht der Name, sondern die Tatsache, dass dieser mit einem validen Zertifikat in Verbindung gebracht wird, gibt zu denken.

Private Schlüssel kompromittiert?

Denn dies wäre nur möglich, wenn der private Schlüssel, der zum Signieren der kryptografischen Impfzertifikate genutzt wird, in fremde Hände gelangt ist. Genau dies behauptet das Twitter-Konto @reversebrain, das den fraglichen QR-Code bereits am 26. Oktober veröffentlicht hat. Zwar würde die offizielle italienische Prüf-Applikation „Verifica C19“ den aus Frankreich stammenden QR-Code inzwischen als ungültig kennzeichnen, die CovPass Check-Anwendung der Bundesregierung, bestätigt die Validität zur Stunde allerdings weiterhin.

Covpasscheck

Sollten die privaten Schlüssel der für die Zertifikate-Vergabe verantwortlichen Stellen wirklich abhanden gekommen sein, könnten Dritte gültige Zertifikate für beliebige Personen ausstellenden. Eben solchen Betrügereien wollte das grüne Impfzertifikat der Europäischen Union eigentlich vorbeugen. Heißt es im Infobereich der CovPass Check-App doch, dass die Zertifikate „mittels einer kryptografischen Signatur gegen Manipulation und Fälschung gesichert“ sind.

Nun muss sich zeigen, ob das kompromittierte Zertifikat zurückgerufen werden kann oder für eine Schwemme an unechten aber „validen“ Impfbestätigungen sorgt. Erste Portale auf denen sich digitale Impfzertifikate im Netz bestellen lassen können, wurden bereits gesichtet.

28. Okt 2021 um 18:41 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    120 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • auch die offizielle österreichische „GreenCheck“ App zeigt das Zertifikat als Gültig an

    • Unwahrscheinlich das diese noch leben, wenn sie am 1.1.1900 geboren sind

      • Der älteste lebende Mensch ist Jahrgang 1903. Die am längsten lebende Frau wurde laut Wikipedia 122 Jahre.

    • Spätestens beim Geburtsdatum sollte die Logik zuschlagen

      • Die Daten sind doch völlig irrelevant. Man hätte auch ein Zertifikat ‚Chuck Norris 10. März 1940‘ generieren können. Der Punkt ist der, dass es gültig generiert werden konnte!

      • Sie diskriminieren die 121 Jährigen, die bald ihren 122en im Restaurant feiern wollen ;)

    • Eigentlich war es doch zu erwarten, dass irgendwann jemand herausfindet, wie man die QR-Codes für die Impfzertifikate generiert. Dummerweise kann man dann ja auch jeden anderen Namen, also auch den eigenen samt Geburtsdatum einsetzen, so dass er mit dem eigenen Ausweisdokument übereinstimmt. Da muss man also nicht „Adolf Hitler“ heißen…

      • Es geht nicht darum, das man rausfindet, wie der QR-Code erzeugt wird. Das ist kein Geheimnis.
        Es geht darum, die digitale Signatur passend zu den Daten zu erzeugen. Und dafür braucht man Zugriff auf den privaten (geheimen) Schlüsselteil einer der ausstellenden Institutionen.

        Entweder jemand hat diesen Schlüssel entwendet oder jemand nutzt die bestehende Infrastruktur, um gültige Zertifikate erstellen zu lassen.

    • Amerika soll sowas möglich sein. Vor einigen Jahren haben Eltern ihr Neugeborenes adolf hitler genannt aber was daraus geworden ist, keine Ahnung.
      nichtsdestotrotz kann ich nicht verstehen wie sehr zurückgeblieben man sein muss, um sein Kind einzuladen nennen.

  • Onkel Adi ist wieder da, das ist der Grund! also doch aus der Vergangenheit zurückgekehr wie in „Er ist wieder da“

  • Eigentlich ist dies recht einfach zu bewerkstelligen, wenn sich ein Apotheker oder eine Apothekerin einen Spaß erlauben. Für die ist es problemlos möglich ein solches Zertifikat zu erstellen.

    • Ich weiß nicht wie das bei den Impfzertifikaten tatsächlich gelöst wurde, ich hätte jetzt eigentlich erwartet dass hier eine Zertifikatskette verwendet wird, ausgehend von einem Rootzertifkat hinunter bis zu jeder einzelnen Apotheke. Damit müsste aber auch feststellbar sein wer (welches Zertifikat) den QR-Code erstellt hat und man könnte auch alle ausgestellten Zertifikate einer einzelnen Apotheke revoken/widerrufen.

      Fände es wirklich interessant warum man hier den Aussteller nicht weiter herunterbrechen kann als auf „Frankreich“ …

      • In Deutschland fangen wir doch mit der Digitalisierung gerade erst an. Da kann man noch nicht erwarten, dass das ordentlich umgesetzt wird.
        Die Apotheke ruft einen Webservice auf und tippt dort die Daten der (hoffentlich) geimpften Person ein. Der Webserver generiert daraus dann das Zertifikat und signiert es mit einem Schlüssel des RKI.
        Auf die analoge Welt übertragen würde der Prozess in etwa so aussehen: Das RKI versendet vorab unterschriebene Blankoformulare an alle Apotheken und die tragen beliebige Daten ein.
        Und dann wundert man sich, wie fiktive Menschen plötzlich gültige Zertifikate bekommen. Ein echtes Mysterium. Das wird man wohl nie herausfinden können.

      • klingt nach einem fall für 00 schneider! wer sagt körschgen bescheid?

      • Leider sind es wohl keine Zertifikatsketten und leider kann man so auch nicht Gruppen von möglicherweise falschen Zertifikaten revoken.
        Es läuft meines Wissen nach so, dass die Check-Apps regelmäßig eine weitere Liste von ungültigen Zertifikaten runterlädt, und dann dort schaut, ob das jeweils zu prüfende Zertifikat enthalten ist.

  • Nach dem Einscannen eines auf dem Kurznachrichten-Portal Twitter aufgetauchten QR-Codes
    _ _validiert der Download für Gastronomie und Veranstaltungsgewerbe diesen als authentisch.

  • Der private Schlüssel und auch das Kennwort sind wohl abhanden gekommen.
    Also alle Zertifikate ab Tag X die damit signiert worden sperren und legitimen Kunden neue Zertifikate zuschicken.
    Ich hoffe die Apps hatten dafür bereits die Funktion Key Revocation List implementiert.
    Oder gibt es einen zentralen privaten Schlüssel = Super GAU ?

  • Auch super, dass Ihr den QR Code auch noch mal leakt für alle ohne Twitter.

  • Hahahaha :D da bin ich ja mal gespannt. Wenn die alle bisherigen Zertifikate mit dem selben Key signiert haben, wird das natürlich sehr witzig. Dann können Sie nämlich nur alle Zertifikate widerrufen oder keines :D

  • Bitte habt doch Verständnis. Das ist doch alles Neuland.

  • CovPass Check o.ä. wird in der Breite eh nicht genutzt. Da kann im QR Code stehen, was man will. Und ein entsprechendes Bildschirmfoto vorzuzeigen, schafft auch meine 10-jährige…

    • und was bringt ihr das wenn der gegenüber den qr code nicht überprüfen kann weil ungültig?

      • Niemand prüft den QR Code

      • So ist es.
        Nur ein einzige Mal hat wirklich mal ne Bedienung im Restaurant überhaupt in der App herumgetippt um zu sehen, ob es die App oder nur ein Screenshot ist.

      • So ist es! Wirklich niemand! In den letzten vier Wochen wurde ich nicht in einer einzigen Gastronomie kontrolliert. Nicht einmal irgendwas vorzeigen musste man. Außer Maskenpflicht bis zum Tisch, keinerlei Maßnahmen. Es ist überaus lächerlich und erschreckend.

      • Das ist auch meine Erfahrung in Restaurants. Wenn es hochkommt ein flüchtiger Blick auf das Zertifikat ohne zu scannen, gelegentlich auch nur die Frage „sind Sie geimpft?“ die man ohne das Handy zu zücken mit Ja beantworten kann. In den meisten Fällen interessiert es jedoch schlicht und ergreifend niemanden.

      • @rop: bei großveranstaltungen wird schon auch mit covpass check app überprüft. da ist ja auch das ansteckungsrisiko hoch.

      • Interessanter weise nur in Deutschland. Im Urlaub wurde in Italien sehr häufig mit der App gecheckt. Sogar im MCD.

      • Tomas Jay, das glaube ich dir! Ich finde es trotzdem echt strange. Wäre ich selbst Gastronom, würde ich definitiv jeden durchweg überprüfen. Und es handelt sich bei den Läden auch wirklich nicht um irgendwelche Kaschemmen, Nachtclubs oder Ähnliches, sondern um „gehobenere“ Cafés und Restaurants. Ich könnte auch einfach nirgends mehr hingehen, wenn mir das so wichtig ist, aber ich verstehe die Betreiber einfach nicht.

      • @Rob: Das hat schon seine Gründe wieso die wenigsten intensiv kontrollieren, habe ich vor Wochen hier schon geschrieben.
        Es gibt da draußen nicht nur friedliche Zeitgenossen die sich wohlwollende kontrollieren lassen sondern auch welche die aggressiv werden oder gar körperliche Gewalt androhen.

      • OliverH, das kann ich durchaus nachvollziehen, wenngleich ich mir das bei der Zielgruppe der Lokalitäten, die ich besuche, nur schwer vorstellen kann. Aber man schaut den Menschen ja nur vor den Kopf. ;)

  • Die Zertifikate werden doch in Praxen oder Apotheken erstellt. Der Schlüssel ist doch hier der Mensch, der die Daten eingibt. Rechtschreibfehler im Namen werden doch auch nicht serverseitig angemahnt.

  • ob das kompromittierte Zertifikat zurückgerufen werden kann“

    Nein, das geht nicht, weil das in den Spezifikationen nicht vorgesehen ist. Man kann nur das kryptografische Zertifikat der Signierung zurückrufen, was auf einen Schlag alle deutschen Impfzertifikate ungültig machen würde, weil sie zu faul/geizig waren für jede ausstellende Stelle ein eigenes anzulegen und somit alle Impfzertifikate mit dem gleichen kryptografischen Zertifikat unterschrieben sind.

    • Und wieso gilt das obige Zertifikat als invalid in einigen Ländern? Man kann anscheinend sehr wohl einzelne Zertifikate löschen.

      • Die haben einen Filter direkt in die App eingebaut und der funktioniert dann auch nur für dieses eine Zertifikat und auch nur so lange, bis es neu signiert wurde.
        Gegen das Problem des geleakten Schlüssels nützt dar gar nichts. Das ist nur Augenwischerei.

    • Nur so macht das auch Sinn, sonst wäre es auch kein Problem gewesen die falsch Autorsierten Apotheken und ihre Zertifikate zurückzuziehen …

  • Off topic: Ich möchte das einfach mal lobend erwähnen, dass die Autoren von iFun zu den wenigen Menschen in Deutschland gehören, die das Substantivieren von Verben kennen. Etwas, dass man von Foren-Usern in der Regel nicht behaupten kann.

  • Solange im Restaurant das Zertifikat nicht geprüft wird uNd mit dem Ausweis abgeglichen wird, kann jeder qr Code gezeigt werden.
    Hatte einen QR code auf der Watch, den wollte noch niemand akzeptieren. Jeder will nur sehen ob dort 2. geimpft steht nie Corona App geimpft anzeigt.
    Ob das Zertifikat aus der Apotheken stammt oder im Internet ausgelesen wurde, prüft keiner ;-(

  • Meiner Meinung nach wurde der Herr am 20. April 1889 geboren, nicht 01.01.1900.

    *klugscheiß*

    • Spielt doch keine Rolle. Mit diesem Code kann man ja nur etwas anfangen wenn er nicht gescannt wird UND der Perso gecheckt. Da dies aber eh kaum jemand macht ist das ganze System ohnehin fragwürdig.
      Einen gültigen Code mit irgendeinem Namen findet man bestimmt ganz leicht, kommt damit dann überall rein wenn nicht korrekt kontrolliert wird.
      Wenn es dazu jetzt aber Angebote für gefälschte Codes mit korrektem Namen und Geburtstag gibt, bringt selbst eine vollständige Kontrolle garnichts mehr.

  • Eigentlich komplett egal, wenn das Impfzertifikat mit Ausweis kontrolliert wird, wie es sich gehört.

  • Es gibt auch noch ein zweites Zertifikat – aus Polen. Da ist er 30 Jahre später geboren und hat eine Impfung mit Johnson und Johnson

  • Da wird sich wohl eine Apothekenmitarbeiterin einen bösen scherz erlaubt haben. Sollte ja kein Problem sein, die Zertifikat ausgebende Stelle zu finden oder?

  • Jeder Apotheker könnte dieses Zertifikat erstellen (wenn ich das richtig verstanden habe). Daher ist das eher ein organisatorisches Problem und eher kein abhanden gekommener privater Schlüssel.

  • Reiht sich perfekt ein in die digitalen Peinlichkeiten Made in Germany.

    Wenigstens sind sie im Versagen konsequent

  • Und letztens haben sich alle über die hart arbeitenden Kellner beschwert, die eure tollen Impfnachweise nicht scannen.

    Na, wo seid ihr jetzt?! Sieht man mal wie sicher das ist.

    Abgesehen davon. Ich hatte heute einen Spanischen und Albanischen QR Code. Beide wurden NICHT akzeptiert und als ungültig abgestempelt, obwohl mir beide sogar ein Flugticket nachweisen konnten.

    Willkommen in Deutschland. Land der Digitalisierung.

  • Schade….. Sollen Ungeimpfte bei ihrer Überzeugung bleiben. Jetzt als Geimpfte gelten zu wollen, das ist dreist. Jetzt könnten alle rechtmäßig erimpfte Zertifikate im Zweifel gezogen werden, wegen Trickbetrügereien

    • soso, rechtmäßig erimpftes zertifikat. das entbindet nicht davon, vernünftig zu handeln. um das zertifikat kümmert sich das virus nämlich nicht. also, entweder ist man geschützt (weil impfung wirkt) oder man hat halt ein zertifikat (weil dumm gelaufen, antikörper nicht vorhanden trotz impfung). rechtmäßig geschützt gibt’s leider nicht. „die pandemie der geimpften“ hat das erst kürzlich jemand genannt.

      • Wieder so eine geistige Kleinkrämerseele. Ich meine das Impfzertikat, das man nach der Impfung bekommen hat. Meine nicht das eine ohne dem anderen. Herrgott, was ist nur mit den Leuten los….. Mein Beitrag war nun wirklich nicht schwer zu verstehen

  • Viele Honeypots wären jetzt fein.
    Dann hat man die Besteller gefakter Zertifikate gleich mit Klarnamen etc. auf dem Silbertablett.

  • Bin heute im Kino zum ersten Mal mit Check App und Blick auf den Ausweis überprüft worden..
    spätestens beim Ausweis wäre es aufgefallen aber schon komisch das es irgendwie geht… dramatisch wenn sich jetzt alle irgendwie neue Codes/Zertifikate holen müsste..

    • vergesst die impfzertifikate. die schützen nicht vor ansteckung. wann begreift man das hierzulande endlich?
      vor ansteckung schützt ausschließlich, sich nur mit getesteten zu treffen.

      • Negative Schnelltests schützen nicht und bergen das Risiko eine Infektion noch nicht erkannt zu haben, da zu früh. Freitesten gibt es nicht und Ansteckung ist idR kein Problem, wenn der Organismus mit dem Erreger umgehen kann, wie eben nach einer Impfung.

      • ja, deswegen ist die impfung auch so wichtig. bezüglich (schnell)testen: hohe (= ansteckende) viruslasten werden für einen zeitraum von 24 bis 48 h verlässlich erkannt. das problem sind schummelei, nicht konsequente kontrolle und die rechtliche ungleichbehandlung verschiedener lebensbereiche (arbeit, öpnv, supermarkt) vs. restaurant (in dem man ohnehin auf abstand sitzt).

      • Außerdem geht es nicht um Schutz, sondern um Risiko-Reduzierung. Das wird leider im allgemeinen Sprachgebrauch vermischt, und dann entstehen dann solche Kommentare.

      • Impfungen schützen nicht generell. Eine Impfung wird zu 70-88% zu einem milderen Verlauf bei Ansteckung führen. Der nach Zeitraum X und oder Alter/Vorerkrankung aber wieder schnell abnehmen kann. Das Virus aufnehmen und verteilen kann jeder jederzeit.
        Deshalb ist es auch immer wieder schön bei meinen Außendienst-Kunden zu hören „Ach Herr…., wenn Sie geimpft sind, dürfen Sie die Maske gerne abnehmen – wir sind ja auch geimpft.“ Als Cortison-Dauerpatient mit runtergefahrenem Immunsystem verzichte ich da gerne – was oft zu Kopfschütteln führt.

  • OK, es ist nicht gut, wenn man einen QR Code erzeugen kann, der gültig ist.
    ABER: egal ob Papier Impfbuch, oder Impfzertifikat als Plastikkarte oder auf dem smartphone: es ist zwingend ein Abgleich mit dem Perso norwendig! Das wurde auch nie anders komuniziert.
    Ich weiß, dass es kaum so gemacht wird. ein blick reicht den meisten…
    Findeich persönlich ScheiBe, zumal nun auch gerichtlich festgelegt wurde, dass ein Erschleichen eines Zertifikats in der Apotheke mit flaschen Impfbuch KEINE Urkundenfälschung ist, weil eeine Apotheke keine Behörde ist… Keine Fragen mehr, danke!

    • Das Problem ist: Wenn ein gültiger QR-Code für „Adolf Hitler“ erstellt werden konnte – dann kann auch ein gültiger Code für „Lieschen Müller“ erstellt werden, obwohl Lieschen sich nie impfen hat lassen.

      DAS ist doch das Problem.

      • Das kann man ohnehin solange bei der Erstellung kein Abgleich mit dem Impfzentrum und/oder der Arztpraxis stattfindet.

    • Muss man sowas hier ertragen? @ifun ? Ich dachte hier würde moderiert? Wo gibts den „melden“ Button? Sorry, aber hier wird anderes gelöscht und sowas darf stehen bleiben? Das ja wohl schon extrem Quergeschwurbel

      • Mist … geht um den Kommentar direkt unter diesem hier … mal ohne scheiss. Hier kann man nicht mal seinen eigenen Kommentar löschen und richtig setzen. Bitte um Moderation den Kommentar direkt unten drunter

  • Das es bei einer Fake Pandemie auch Fake Zertifikate gibt, ist doch nicht ungewöhnlich, oder? Passt doch zu allen Erlebnissen seit Beginn des Märchens der Fledermaussuppe auf einem Fischmarkt. Europa, und insbesondere Deutschland bekommt nichts auf die Reihe, aber Impfstoff ist innerhalb von 9 Monaten entwickelt, getestet, produziert und verteilt. Apps sind entwickelt, Zertifikate erstellt und funktionieren? Ach stimmt, gehört ja auch zum Märchen.

  • By the way, diese news ist seit geraumer Zeit veraltet ;-)
    Viele der Fake-QRs werden von CovPass Check inzwischen als „invalid“ erkannt. Da tut sich also scheinbar doch etwas…

  • Viel schlimmer finde ich die falschen Geburtsdaten. Ironie Off.

  • Warum sollte die Auferstehung nur einmal funktionieren? Er ist wieder da.

  • Den Typen ausfindig machen und lebenslang einbuchten – welchen Schaden solche Charaktere der Allgemeinheit verursachen, kann man gar nicht mehr beziffern!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven