2021/06/04

Certificato Covid svizzero, codice sorgente disponibile per test di sicurezza pubblico

Pubblicazione iniziale: 2021/06/04 1:17. Ultimo aggiornamento: 2021/06/17 15:30.

Chiunque può testare la sicurezza del software che gestirà il “certificato Covid” svizzero che certificherà l’avvenuta vaccinazione, la guarigione o il risultato negativo di un test e sarà necessario o facilitante per esempio per viaggiare oltre frontiera e per partecipare alle grandi manifestazioni (secondo le modalità dettagliate qui e in queste FAQ). Il codice sorgente e la documentazione sono disponibili per l’esame qui su GitHub.

La versione svizzera del certificato Covid sarà compatibile con quella dell’UE (spesso chiamata impropriamente green pass dai giornalisti che si sono ispirati male a un sistema israeliano) e viceversa; sarà introdotta gradualmente a partire dal 7 giugno

2021/06/17:15.30. Il certificato è stato distribuito.

Il certificato Covid sarà in sostanza un codice QR non falsificabile, stampato su carta (o fornito come PDF) oppure contenuto all’interno di un’apposita app che fa da wallet. Il certificato conterrà una firma elettronica della Confederazione che consente la verifica del certificato stesso senza trasmettere o salvare dati personali.

L’app per gli utenti si chiamerà Covid Certificate; dovrebbe essere pubblicata dall’Ufficio Federale della Sanità Pubblica (UFSP) e dovrebbe quindi comparire per esempio qui nel Play Store Android (ci sarà anche una versione iOS) dal 7 giugno 2021. L’app sarà gratuita (fonte: Dipartimento Federale delle Finanze).

* 2021/06/07 21:15. L’app per utenti è stata rilasciata: la versione iOS è qui (è per iPhone, ma è installabile anche su iPad); la versione Android non è ancora stata pubblicata (aggiornamento 2021/06/08: ora è disponibile).

Ci sarà anche un’app per verificare i certificati, chiamata Covid Certificate Check,* e ci sarà un sito riservato ai generatori autorizzati di questi certificati, presso www.covidcertificate.admin.ch (attualmente non operativo).**

* 2021/06/07 21:15. L’app per verificatori è stata rilasciata: la versione Android è qui; la versione iOS è qui.
** 2021/06/07 21:15. Il sito è ora operativo.

 

Il progetto è stato affidato alla società zurighese Ubique (la stessa che ha prodotto SwissCovid) e ad altre due aziende svizzere, basandosi sul protocollo sviluppato dall’EPFL e sotto la supervisione dell’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT), scrive Le Temps.

Ecco qualche screenshot dalla versione Android non definitiva dell’app per gli utenti in italiano (le altre lingue disponibili sono tedesco, francese e inglese):

 

Queste, invece, sono immagini non definitive dell’app per verificatori:

 

Il funzionamento dovrebbe essere grosso modo il seguente.

L’utente richiederà il certificato, che sarà disponibile entro fine giugno e verrà fornito dai centri di vaccinazione, dai medici, dagli ospedali, dalle farmacie e dai centri di test (come spiega la RSI) e potrà importarlo nell’app Covid Certificate facendone una scansione. Chi verrà vaccinato con l’ultima dose prima della fine di giugno (come me) dovrà consultare il sito del Cantone per informazioni su come richiedere il certificato; chi verrà vaccinato dopo la fine di giugno riceverà il certificato automaticamente in forma elettronica (o, su richiesta, in PDF sul posto), come descritto qui.

L’utente esibirà questo certificato su richiesta (nei casi previsti) a un verificatore, che userà l’app di verifica Covid Certificate Check per leggere il codice QR ed accertarsi che il certificato sia autentico e non sia stato revocato.

L’aspetto non definitivo del certificato cartaceo.

Il verificatore che usa l’app potrà vedere solo “il nome, il cognome, la data di nascita e l’indicazione della validità del certificato COVID” (comunicato stampa del 4/6).

* 2021/06/07 21:15. A quanto mi risulta dai primi test, chiunque può essere verificatore: non occorrono autorizzazioni e non serve neanche una connessione a Internet.

Il PDF conterrà un grande codice QR e alcuni dati stampati in chiaro: nome, cognome e data di nascita del titolare; numero di dose, marca, fabbricante del vaccino; data di vaccinazione; paese; ente emittente. L’app, invece, mostrerà solo il codice QR e il nome e la data di nascita della persona, perlomeno nella schermata principale.

In termini di privacy, non ci sarà un archivio centrale: ogni persona dovrà provvedere a custodire il proprio certificato sul proprio dispositivo digitale o su carta. “I dati personali non sono salvati a livello centrale dall’Amministrazione federale e quelli necessari per la firma elettronica del certificato vengono cancellati dal sistema della Confederazione non appena il certificato è stato generato e trasmesso”, dice il suddetto comunicato stampa, e non viene fatto alcun tracciamento delle verifiche. In caso di smarrimento del certificato bisognerà richiederne uno nuovo.

---

La decisione di effettuare un test di sicurezza pubblico è stata annunciata dall’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT). Ulteriori dettagli verranno resi pubblici oggi (venerdì 4 giugno) e verranno pubblicati qui sul sito dell’UFSP.

Si tratta di un progetto open source di massima trasparenza: come dicevo, il codice sorgente è già liberamente esaminabile e disponibile su GitHub; le condizioni e regole di partecipazione al test di valutazione della sicurezza, con le relative garanzie di non perseguibilità, sono pubblicate sul sito del Centro Nazionale per la Cibersicurezza insieme al modulo per la notifica dei problemi riscontrati e all’elenco di quelli già scoperti (fra i quali figura una password hardcoded).

Il periodo di verifica pubblica è iniziato il 31 maggio scorso e complementa i test già condotti dall’Istituto Nazionale di Test per la Cibersicurezza (NTC). Non sono previste ricompense (niente bug bounty, insomma).

Oltre al codice sorgente delle app per Android e iOS e dei servizi di generazione dei certificati, con la documentazione delle loro architetture, su GitHub si trovano anche le presentazioni che descrivono l’aspetto, i principi e la tabella di marcia dell’app e del documento cartaceo.

Architettura generale del sistema per il certificato Covid.

Frugando un pochino nella documentazione si trovano anche la guida rapida e le istruzioni per i “superutenti” (gli incaricati di generare i certificati) e per la loro formazione. Nulla che interessi al comune cittadino, ma interessante per chi vuole studiare le procedure interne del sistema.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili