Private Schlüssel kompromittiert?
Impfzertifikat „Adolf Hitler“: CovPass Check bestätigt Echtheit
Die vom Robert-Koch-Institut ausgegebenen, offizielle CovPass Check-Applikation der Bundesregierung bestätigt, was eigentlich nicht sein kann: Nach dem Einscannen eines auf dem Kurznachrichten-Portal Twitter aufgetauchten QR-Codes, validiert der Download für Gastronomie und Veranstaltungsgewerbe diesen als authentisch.
Wird von CovPass Check abgenickt: Hitlers Impfzertifikat
Der QR-Code würde ein gültiges Genesenen- bzw. Impfzertifikat für die Person „Adolf Hitler“, geboren am 01.01.1900 enthalten. Statt Hitler könnte hier auch Micky Maus oder Pippi Langstrumpf stehen. Nicht der Name, sondern die Tatsache, dass dieser mit einem validen Zertifikat in Verbindung gebracht wird, gibt zu denken.
Private Schlüssel kompromittiert?
Denn dies wäre nur möglich, wenn der private Schlüssel, der zum Signieren der kryptografischen Impfzertifikate genutzt wird, in fremde Hände gelangt ist. Genau dies behauptet das Twitter-Konto @reversebrain, das den fraglichen QR-Code bereits am 26. Oktober veröffentlicht hat. Zwar würde die offizielle italienische Prüf-Applikation „Verifica C19“ den aus Frankreich stammenden QR-Code inzwischen als ungültig kennzeichnen, die CovPass Check-Anwendung der Bundesregierung, bestätigt die Validität zur Stunde allerdings weiterhin.
Sollten die privaten Schlüssel der für die Zertifikate-Vergabe verantwortlichen Stellen wirklich abhanden gekommen sein, könnten Dritte gültige Zertifikate für beliebige Personen ausstellenden. Eben solchen Betrügereien wollte das grüne Impfzertifikat der Europäischen Union eigentlich vorbeugen. Heißt es im Infobereich der CovPass Check-App doch, dass die Zertifikate „mittels einer kryptografischen Signatur gegen Manipulation und Fälschung gesichert“ sind.
Nun muss sich zeigen, ob das kompromittierte Zertifikat zurückgerufen werden kann oder für eine Schwemme an unechten aber „validen“ Impfbestätigungen sorgt. Erste Portale auf denen sich digitale Impfzertifikate im Netz bestellen lassen können, wurden bereits gesichtet.
Ich brech ab. Was so alles geht.
Deutschland das Land der Digitalisierung
Ähh TZ und 4 Leute haben’s nicht verstanden.
auch die offizielle österreichische „GreenCheck“ App zeigt das Zertifikat als Gültig an
Und auch die offizielle App „Covid Check“ aus der Schweiz zeigt es als gültig an.
Logisch oder, der war ja Österreicher ;)
Oder der Inn hatte damals eine Südschlinge…
Zu geil!
Sieht man auch nicht alle Tage
Wow. Wo geht der noch hin mit 121?
Gibt es vielleicht Personen die so heissen?
Unwahrscheinlich das diese noch leben, wenn sie am 1.1.1900 geboren sind
Der älteste lebende Mensch ist Jahrgang 1903. Die am längsten lebende Frau wurde laut Wikipedia 122 Jahre.
Spätestens beim Geburtsdatum sollte die Logik zuschlagen
Die Daten sind doch völlig irrelevant. Man hätte auch ein Zertifikat ‚Chuck Norris 10. März 1940‘ generieren können. Der Punkt ist der, dass es gültig generiert werden konnte!
Sie diskriminieren die 121 Jährigen, die bald ihren 122en im Restaurant feiern wollen ;)
Eigentlich war es doch zu erwarten, dass irgendwann jemand herausfindet, wie man die QR-Codes für die Impfzertifikate generiert. Dummerweise kann man dann ja auch jeden anderen Namen, also auch den eigenen samt Geburtsdatum einsetzen, so dass er mit dem eigenen Ausweisdokument übereinstimmt. Da muss man also nicht „Adolf Hitler“ heißen…
Es geht nicht darum, das man rausfindet, wie der QR-Code erzeugt wird. Das ist kein Geheimnis.
Es geht darum, die digitale Signatur passend zu den Daten zu erzeugen. Und dafür braucht man Zugriff auf den privaten (geheimen) Schlüsselteil einer der ausstellenden Institutionen.
Entweder jemand hat diesen Schlüssel entwendet oder jemand nutzt die bestehende Infrastruktur, um gültige Zertifikate erstellen zu lassen.
Amerika soll sowas möglich sein. Vor einigen Jahren haben Eltern ihr Neugeborenes adolf hitler genannt aber was daraus geworden ist, keine Ahnung.
nichtsdestotrotz kann ich nicht verstehen wie sehr zurückgeblieben man sein muss, um sein Kind einzuladen nennen.
Onkel Adi ist wieder da, das ist der Grund! also doch aus der Vergangenheit zurückgekehr wie in „Er ist wieder da“
2021 würde er sich richtig wohlfühlen…
xD
So ein totaler Unsinn!
Warum Leo?
Weil Leo regierungshörig ist und einen Scheiß auf all die gibt, die seltene Nebenwirkungen mit der Impfung haben.
Lasst den QD Bullshit hier !
Nenn mal ein paar Nebenwirkungen der Impfungen! Die Nebenwirkung von Corona kann der Tod sein. Was ist schlimmer? „Regierungsjörig“… Hast du das Wort aus der YouTube-Uni?
Leo es soll auch Menschen geben die durch eine Impfung sterben. Daher hinkt dein Vergleich!
Hier geht es einzig und alleine darum das ein Zertifikat abhanden gekommen ist. So etwas passiert immer wieder in der Computerwelt und ich muss ehrlich gesagt schmunzeln
Inzwischen stirbt niemand mehr an der Impfung, lieber Küstenbengel.
*lieber Oliver.
Keine ahnung wieso hier was von Küstenbengel steht.
Eigentlich ist dies recht einfach zu bewerkstelligen, wenn sich ein Apotheker oder eine Apothekerin einen Spaß erlauben. Für die ist es problemlos möglich ein solches Zertifikat zu erstellen.
Genau so ist es. Aber da denkt keiner dran…
Ich weiß nicht wie das bei den Impfzertifikaten tatsächlich gelöst wurde, ich hätte jetzt eigentlich erwartet dass hier eine Zertifikatskette verwendet wird, ausgehend von einem Rootzertifkat hinunter bis zu jeder einzelnen Apotheke. Damit müsste aber auch feststellbar sein wer (welches Zertifikat) den QR-Code erstellt hat und man könnte auch alle ausgestellten Zertifikate einer einzelnen Apotheke revoken/widerrufen.
Fände es wirklich interessant warum man hier den Aussteller nicht weiter herunterbrechen kann als auf „Frankreich“ …
In Deutschland fangen wir doch mit der Digitalisierung gerade erst an. Da kann man noch nicht erwarten, dass das ordentlich umgesetzt wird.
Die Apotheke ruft einen Webservice auf und tippt dort die Daten der (hoffentlich) geimpften Person ein. Der Webserver generiert daraus dann das Zertifikat und signiert es mit einem Schlüssel des RKI.
Auf die analoge Welt übertragen würde der Prozess in etwa so aussehen: Das RKI versendet vorab unterschriebene Blankoformulare an alle Apotheken und die tragen beliebige Daten ein.
Und dann wundert man sich, wie fiktive Menschen plötzlich gültige Zertifikate bekommen. Ein echtes Mysterium. Das wird man wohl nie herausfinden können.
klingt nach einem fall für 00 schneider! wer sagt körschgen bescheid?
Leider sind es wohl keine Zertifikatsketten und leider kann man so auch nicht Gruppen von möglicherweise falschen Zertifikaten revoken.
Es läuft meines Wissen nach so, dass die Check-Apps regelmäßig eine weitere Liste von ungültigen Zertifikaten runterlädt, und dann dort schaut, ob das jeweils zu prüfende Zertifikat enthalten ist.
Nach dem Einscannen eines auf dem Kurznachrichten-Portal Twitter aufgetauchten QR-Codes
_ _validiert der Download für Gastronomie und Veranstaltungsgewerbe diesen als authentisch.
Sieht recht düster aus mit den keys:
https://mobile.twitter.com/lstranck/status/1453671908558442496
Wenn dem so ist, dann bin ich gespannt, was es für eine Lösung dafür geben soll.
Der private Schlüssel und auch das Kennwort sind wohl abhanden gekommen.
Also alle Zertifikate ab Tag X die damit signiert worden sperren und legitimen Kunden neue Zertifikate zuschicken.
Ich hoffe die Apps hatten dafür bereits die Funktion Key Revocation List implementiert.
Oder gibt es einen zentralen privaten Schlüssel = Super GAU ?
Irgendwo gibt es natürlich den privaten Schlüssel zum Root Zertifikat. Problem ist nur wenn der auf dem desktop von Lothar Wieler unter privatekey.txt ungesichert liegt.
Auch super, dass Ihr den QR Code auch noch mal leakt für alle ohne Twitter.
what? willst du mit diesem jetzt in eine Bar was trinken gehen?
das eigentliche Problem liegt woanders …
MMD! :D
Ich kann dir sagen, dass der bei uns beim Fussball etc. immer funktionieren würde, denn da wird nicht geschaut wie derjenige heisst oder evtl. mitm Ausweis abgeglichen.
Sehe ich bei dem Namen und Geburtstag kein Problem drin. Wäre es irgendwas „normales“ dann schon.
Hahahaha :D da bin ich ja mal gespannt. Wenn die alle bisherigen Zertifikate mit dem selben Key signiert haben, wird das natürlich sehr witzig. Dann können Sie nämlich nur alle Zertifikate widerrufen oder keines :D
So wird es doch sein, sonst hätte man doch damals wo die Apotheken geschlampt haben die Zertifikate auch zurückziehen können … hab davon aber nichts mehr gelesen …
Let the Shitstorm begin ..
Bitte habt doch Verständnis. Das ist doch alles Neuland.
Ja das Internet wird sich nicht durchsetzen ;)
CovPass Check o.ä. wird in der Breite eh nicht genutzt. Da kann im QR Code stehen, was man will. Und ein entsprechendes Bildschirmfoto vorzuzeigen, schafft auch meine 10-jährige…
und was bringt ihr das wenn der gegenüber den qr code nicht überprüfen kann weil ungültig?
Niemand prüft den QR Code
So ist es.
Nur ein einzige Mal hat wirklich mal ne Bedienung im Restaurant überhaupt in der App herumgetippt um zu sehen, ob es die App oder nur ein Screenshot ist.
So ist es! Wirklich niemand! In den letzten vier Wochen wurde ich nicht in einer einzigen Gastronomie kontrolliert. Nicht einmal irgendwas vorzeigen musste man. Außer Maskenpflicht bis zum Tisch, keinerlei Maßnahmen. Es ist überaus lächerlich und erschreckend.
Das ist auch meine Erfahrung in Restaurants. Wenn es hochkommt ein flüchtiger Blick auf das Zertifikat ohne zu scannen, gelegentlich auch nur die Frage „sind Sie geimpft?“ die man ohne das Handy zu zücken mit Ja beantworten kann. In den meisten Fällen interessiert es jedoch schlicht und ergreifend niemanden.
@rop: bei großveranstaltungen wird schon auch mit covpass check app überprüft. da ist ja auch das ansteckungsrisiko hoch.
Interessanter weise nur in Deutschland. Im Urlaub wurde in Italien sehr häufig mit der App gecheckt. Sogar im MCD.
Tomas Jay, das glaube ich dir! Ich finde es trotzdem echt strange. Wäre ich selbst Gastronom, würde ich definitiv jeden durchweg überprüfen. Und es handelt sich bei den Läden auch wirklich nicht um irgendwelche Kaschemmen, Nachtclubs oder Ähnliches, sondern um „gehobenere“ Cafés und Restaurants. Ich könnte auch einfach nirgends mehr hingehen, wenn mir das so wichtig ist, aber ich verstehe die Betreiber einfach nicht.
@Rob: Das hat schon seine Gründe wieso die wenigsten intensiv kontrollieren, habe ich vor Wochen hier schon geschrieben.
Es gibt da draußen nicht nur friedliche Zeitgenossen die sich wohlwollende kontrollieren lassen sondern auch welche die aggressiv werden oder gar körperliche Gewalt androhen.
OliverH, das kann ich durchaus nachvollziehen, wenngleich ich mir das bei der Zielgruppe der Lokalitäten, die ich besuche, nur schwer vorstellen kann. Aber man schaut den Menschen ja nur vor den Kopf. ;)
Die Zertifikate werden doch in Praxen oder Apotheken erstellt. Der Schlüssel ist doch hier der Mensch, der die Daten eingibt. Rechtschreibfehler im Namen werden doch auch nicht serverseitig angemahnt.
„ob das kompromittierte Zertifikat zurückgerufen werden kann“
Nein, das geht nicht, weil das in den Spezifikationen nicht vorgesehen ist. Man kann nur das kryptografische Zertifikat der Signierung zurückrufen, was auf einen Schlag alle deutschen Impfzertifikate ungültig machen würde, weil sie zu faul/geizig waren für jede ausstellende Stelle ein eigenes anzulegen und somit alle Impfzertifikate mit dem gleichen kryptografischen Zertifikat unterschrieben sind.
Und wieso gilt das obige Zertifikat als invalid in einigen Ländern? Man kann anscheinend sehr wohl einzelne Zertifikate löschen.
Die haben einen Filter direkt in die App eingebaut und der funktioniert dann auch nur für dieses eine Zertifikat und auch nur so lange, bis es neu signiert wurde.
Gegen das Problem des geleakten Schlüssels nützt dar gar nichts. Das ist nur Augenwischerei.
Nur so macht das auch Sinn, sonst wäre es auch kein Problem gewesen die falsch Autorsierten Apotheken und ihre Zertifikate zurückzuziehen …
Off topic: Ich möchte das einfach mal lobend erwähnen, dass die Autoren von iFun zu den wenigen Menschen in Deutschland gehören, die das Substantivieren von Verben kennen. Etwas, dass man von Foren-Usern in der Regel nicht behaupten kann.
substan was?
Er meint wohl die Werbung nach ganz unten setzen, anstatt damit alles voll zu pflastern. Kappa
ymmd
Ob das aber gut oder schlecht ist – zumal in der Fülle – substantivierte Verben zu benutzen, ist strittig ;)
Da ich substantivierte Verben täglich verwende, ist mir das noch nie aufgefallen. Ist das wirklich so eine Besonderheit? Aber schön, dass du es wertschätzt.
Nicht nur das – Du setzt auch Kommas an der richtigen Stelle. Finde ich gut! :-)
Haha. Danke, mein Lieber! Das weiß ich zu schätzen. Ich gebe mir Mühe. Bin auch nicht perfekt, aber habe eine gewisse Affinität für Rechtschreibung, Grammatik und Interpunktion. :)
Solange im Restaurant das Zertifikat nicht geprüft wird uNd mit dem Ausweis abgeglichen wird, kann jeder qr Code gezeigt werden.
Hatte einen QR code auf der Watch, den wollte noch niemand akzeptieren. Jeder will nur sehen ob dort 2. geimpft steht nie Corona App geimpft anzeigt.
Ob das Zertifikat aus der Apotheken stammt oder im Internet ausgelesen wurde, prüft keiner ;-(
Heul doch leise..
Er hat doch vollkommen Recht, man braucht keine Regelung wenn es sowieso nicht ordenltich überprüft wird.
Meiner Meinung nach wurde der Herr am 20. April 1889 geboren, nicht 01.01.1900.
*klugscheiß*
Muss man diesen QR Code auch noch wirklich verbreiten?
Spielt doch keine Rolle. Mit diesem Code kann man ja nur etwas anfangen wenn er nicht gescannt wird UND der Perso gecheckt. Da dies aber eh kaum jemand macht ist das ganze System ohnehin fragwürdig.
Einen gültigen Code mit irgendeinem Namen findet man bestimmt ganz leicht, kommt damit dann überall rein wenn nicht korrekt kontrolliert wird.
Wenn es dazu jetzt aber Angebote für gefälschte Codes mit korrektem Namen und Geburtstag gibt, bringt selbst eine vollständige Kontrolle garnichts mehr.
Eigentlich komplett egal, wenn das Impfzertifikat mit Ausweis kontrolliert wird, wie es sich gehört.
„Wenn“
Der war gut!
Es gibt auch noch ein zweites Zertifikat – aus Polen. Da ist er 30 Jahre später geboren und hat eine Impfung mit Johnson und Johnson
Da wird sich wohl eine Apothekenmitarbeiterin einen bösen scherz erlaubt haben. Sollte ja kein Problem sein, die Zertifikat ausgebende Stelle zu finden oder?
Jeder Apotheker könnte dieses Zertifikat erstellen (wenn ich das richtig verstanden habe). Daher ist das eher ein organisatorisches Problem und eher kein abhanden gekommener privater Schlüssel.
Reiht sich perfekt ein in die digitalen Peinlichkeiten Made in Germany.
Wenigstens sind sie im Versagen konsequent
Das ganze ist ein EU Zertifikat, kein deutsches Zertifikat.
Mag sein, aber die deutschen Behörden validieren es… reicht doch schon, dass man von nichts eine Ahnung hat
Du hast dich gerade selbst erlegt.
Schon gemerkt?
Die Anrwort war für cashondelivery.
@ifun Mobil ist kommentieren echt ein Graus.
Das Internet ist für uns alle eben doch Neuland :-)
Internet??? Was jetzt das schon wieder? ;)
Und letztens haben sich alle über die hart arbeitenden Kellner beschwert, die eure tollen Impfnachweise nicht scannen.
Na, wo seid ihr jetzt?! Sieht man mal wie sicher das ist.
Abgesehen davon. Ich hatte heute einen Spanischen und Albanischen QR Code. Beide wurden NICHT akzeptiert und als ungültig abgestempelt, obwohl mir beide sogar ein Flugticket nachweisen konnten.
Willkommen in Deutschland. Land der Digitalisierung.
Wusste gar nicht, dass Albanien Mitglied der EU ist… Ist doch klar, dass dann kein gültiges EU-Zertifikat da ist.
Schade….. Sollen Ungeimpfte bei ihrer Überzeugung bleiben. Jetzt als Geimpfte gelten zu wollen, das ist dreist. Jetzt könnten alle rechtmäßig erimpfte Zertifikate im Zweifel gezogen werden, wegen Trickbetrügereien
soso, rechtmäßig erimpftes zertifikat. das entbindet nicht davon, vernünftig zu handeln. um das zertifikat kümmert sich das virus nämlich nicht. also, entweder ist man geschützt (weil impfung wirkt) oder man hat halt ein zertifikat (weil dumm gelaufen, antikörper nicht vorhanden trotz impfung). rechtmäßig geschützt gibt’s leider nicht. „die pandemie der geimpften“ hat das erst kürzlich jemand genannt.
Wieder so eine geistige Kleinkrämerseele. Ich meine das Impfzertikat, das man nach der Impfung bekommen hat. Meine nicht das eine ohne dem anderen. Herrgott, was ist nur mit den Leuten los….. Mein Beitrag war nun wirklich nicht schwer zu verstehen
Viele Honeypots wären jetzt fein.
Dann hat man die Besteller gefakter Zertifikate gleich mit Klarnamen etc. auf dem Silbertablett.
Bin heute im Kino zum ersten Mal mit Check App und Blick auf den Ausweis überprüft worden..
spätestens beim Ausweis wäre es aufgefallen aber schon komisch das es irgendwie geht… dramatisch wenn sich jetzt alle irgendwie neue Codes/Zertifikate holen müsste..
vergesst die impfzertifikate. die schützen nicht vor ansteckung. wann begreift man das hierzulande endlich?
vor ansteckung schützt ausschließlich, sich nur mit getesteten zu treffen.
Negative Schnelltests schützen nicht und bergen das Risiko eine Infektion noch nicht erkannt zu haben, da zu früh. Freitesten gibt es nicht und Ansteckung ist idR kein Problem, wenn der Organismus mit dem Erreger umgehen kann, wie eben nach einer Impfung.
ja, deswegen ist die impfung auch so wichtig. bezüglich (schnell)testen: hohe (= ansteckende) viruslasten werden für einen zeitraum von 24 bis 48 h verlässlich erkannt. das problem sind schummelei, nicht konsequente kontrolle und die rechtliche ungleichbehandlung verschiedener lebensbereiche (arbeit, öpnv, supermarkt) vs. restaurant (in dem man ohnehin auf abstand sitzt).
Außerdem geht es nicht um Schutz, sondern um Risiko-Reduzierung. Das wird leider im allgemeinen Sprachgebrauch vermischt, und dann entstehen dann solche Kommentare.
Impfungen schützen nicht generell. Eine Impfung wird zu 70-88% zu einem milderen Verlauf bei Ansteckung führen. Der nach Zeitraum X und oder Alter/Vorerkrankung aber wieder schnell abnehmen kann. Das Virus aufnehmen und verteilen kann jeder jederzeit.
Deshalb ist es auch immer wieder schön bei meinen Außendienst-Kunden zu hören „Ach Herr…., wenn Sie geimpft sind, dürfen Sie die Maske gerne abnehmen – wir sind ja auch geimpft.“ Als Cortison-Dauerpatient mit runtergefahrenem Immunsystem verzichte ich da gerne – was oft zu Kopfschütteln führt.
OK, es ist nicht gut, wenn man einen QR Code erzeugen kann, der gültig ist.
ABER: egal ob Papier Impfbuch, oder Impfzertifikat als Plastikkarte oder auf dem smartphone: es ist zwingend ein Abgleich mit dem Perso norwendig! Das wurde auch nie anders komuniziert.
Ich weiß, dass es kaum so gemacht wird. ein blick reicht den meisten…
Findeich persönlich ScheiBe, zumal nun auch gerichtlich festgelegt wurde, dass ein Erschleichen eines Zertifikats in der Apotheke mit flaschen Impfbuch KEINE Urkundenfälschung ist, weil eeine Apotheke keine Behörde ist… Keine Fragen mehr, danke!
Das Problem ist: Wenn ein gültiger QR-Code für „Adolf Hitler“ erstellt werden konnte – dann kann auch ein gültiger Code für „Lieschen Müller“ erstellt werden, obwohl Lieschen sich nie impfen hat lassen.
DAS ist doch das Problem.
Das kann man ohnehin solange bei der Erstellung kein Abgleich mit dem Impfzentrum und/oder der Arztpraxis stattfindet.
Muss man sowas hier ertragen? @ifun ? Ich dachte hier würde moderiert? Wo gibts den „melden“ Button? Sorry, aber hier wird anderes gelöscht und sowas darf stehen bleiben? Das ja wohl schon extrem Quergeschwurbel
Mist … geht um den Kommentar direkt unter diesem hier … mal ohne scheiss. Hier kann man nicht mal seinen eigenen Kommentar löschen und richtig setzen. Bitte um Moderation den Kommentar direkt unten drunter
Das es bei einer Fake Pandemie auch Fake Zertifikate gibt, ist doch nicht ungewöhnlich, oder? Passt doch zu allen Erlebnissen seit Beginn des Märchens der Fledermaussuppe auf einem Fischmarkt. Europa, und insbesondere Deutschland bekommt nichts auf die Reihe, aber Impfstoff ist innerhalb von 9 Monaten entwickelt, getestet, produziert und verteilt. Apps sind entwickelt, Zertifikate erstellt und funktionieren? Ach stimmt, gehört ja auch zum Märchen.
Cui bono?
Wenn es dafür eine gute – nicht nur fantasievolle – Erklärung gibt, würde ich sie gerne hören…!
Jaja, und die vielen 1000 Fake-Toten erst. Die wurden mit Sicherheit alle von den Ärzten ermordet damit die QD Szene was zum erzählen hat *rolleyes*
Kann man hier nicht wirklich mal etwas aufräumen?
By the way, diese news ist seit geraumer Zeit veraltet ;-)
Viele der Fake-QRs werden von CovPass Check inzwischen als „invalid“ erkannt. Da tut sich also scheinbar doch etwas…
Viel schlimmer finde ich die falschen Geburtsdaten. Ironie Off.
Warum sollte die Auferstehung nur einmal funktionieren? Er ist wieder da.
Den Typen ausfindig machen und lebenslang einbuchten – welchen Schaden solche Charaktere der Allgemeinheit verursachen, kann man gar nicht mehr beziffern!
Aufzudecken, dass das Zertifikat Schwachstellen hat reicht dir für ne lebenslange Haftstrafe?
ACH DU SCHEIßE!!!!!!!!!