Se volete, potete testare la sicurezza del software che gestirà il “certificato Covid”svizzero che certificherà l’avvenuta vaccinazione, la guarigione o il risultato negativo di un test e sarà necessario o utile per esempio per viaggiare oltre frontiera e per partecipare alle grandi manifestazioni (secondo le modalità dettagliate quie in queste FAQ). La versione svizzera sarà compatibile con quella dell’UE (spesso chiamato impropriamente green pass) e sarà introdotta gradualmente a partire dal 7 giugno.
Il certificato Covid sarà in sostanza un codice QR, stampato su carta (o fornito come PDF) oppure contenuto all’interno di un’apposita app. L’app probabilmente si chiamerà Covid Certificate o Covid Cert e dovrebbe essere pubblicata dall’Ufficio Federale della Sanità Pubblica (UFSP) e quindi comparire per esempio qui nel Play Store Android (ci sarà anche una versione iOS).
Ci saranno anche un’app per i verificatori, chiamata probabilmente Covid Check, e un sito riservato ai generatori autorizzati di questi certificati, presso www.covidcertificate.admin.ch (attualmente non operativo).
Il funzionamento dovrebbe essere grosso modo il seguente: l’utente richiederà il certificato, che verrà fornito dai centri di vaccinazione, dai medici, dagli ospedali, dalle farmacie e dai centri di test (come spiega la RSI), e lo esibirà su richiesta nei casi previsti a un verificatore, che userà l’app di verifica per leggere il codice QR ed accertarsi che il certificato è autentico e non è stato revocato.
Il PDF conterrà un grande codice QR e alcuni dati stampati in chiaro: nome, cognome e data di nascita del titolare; numero di dose, marca, fabbricante del vaccino; data di vaccinazione; paese; ente emittente. L’app, invece, mostrerà solo il codice QR e il nome e la data di nascita della persona.
In termini di privacy, non ci sarà un archivio centrale: ogni persona dovrà provvedere a custodire il proprio certificato sul proprio dispositivo digitale o su carta. In caso di smarrimento del certificato bisognerà richiederne uno nuovo.
—
La decisione di effettuare un test di sicurezza pubblico è stata annunciata dall’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT). Ulteriori dettagli verranno resi pubblici oggi (venerdì 4 giugno) e verranno pubblicati qui sul sito dell’UFSP.
Si tratta di un progetto open source di massima trasparenza: il codice sorgente è già liberamente esaminabile e disponibile su GitHub; le condizioni e regole di partecipazione al test di valutazione della sicurezza, con le relative garanzie di non perseguibilità, sono pubblicate sul sito del Centro Nazionale per la Cibersicurezza insieme al modulo per la notifica dei problemi riscontrati e all’elenco di quelli già scoperti (fra i quali figura una password hardcoded).
Il periodo di verifica pubblica è iniziato il 31 maggio scorso e complementa i test già condotti dall’Istituto Nazionale di Test per la Cibersicurezza (NTC). Non sono previste ricompense (niente bug bounty, insomma).
Oltre al codice sorgente delle app per Android e iOS e dei servizi di generazione dei certificati, con la documentazione delle loro architetture, su GitHub si trovano anche le presentazioni che descrivono l’aspetto, i principi e la tabella di marcia dell’app e del documento cartaceo.
Frugando un pochino nella documentazione si trovano anche la guida rapida e le istruzioni per i “superutenti” (gli incaricati di generare i certificati) e per la loro formazione. Nulla che interessi al comune cittadino, ma interessante per chi vuole studiare le procedure interne del sistema.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.
