Koronapassin qr-koodin allekirjoitusavaimia mahdollisesti vuotanut – Afolf Hitlerin koronapassi kiertää verkossa - Tietoturva - Ilta-Sanomat

Verkossa kiertää Adolf Hitlerille tehty korona­passi, jonka lukija­sovellus hyväksyy – salaiset avaimet vääriin käsiin

On vahvoja viitteitä siitä, että ainakin kahden EU-maan koronapassien allekirjoitusavaimet ovat vuotaneet. Tämä mahdollistaisi rokotepassien mielivaltaisen tehtailun.

Verkossa on nähty ainakin Adolf Hitlerin nimissä allekirjoitettu koronapassin qr-koodi, jonka myös suomalainen lukijasovellus hyväksyy.

28.10.2021 9:36 | Päivitetty 28.10.2021 10:36

Verkossa esitettyjen väitteiden perusteella ainakin Ranskan ja Puolan koronapassien salaisia allekirjoitusavaimia on päätynyt vääriin käsiin. Verkossa leviää Adolf Hitlerin nimiin Ranskassa myönnetty koronapassi, jonka mukaan diktaattori olisi saanut kaksi Pfizerin rokoteannosta.

IS Digitodayn testin perusteella Hitlerille myönnetty koronapassi menee läpi Suomen käyttämästä Koronatodistuksen lukijasovellus -applikaatiosta näyttäen vihreää valoa.

On vaikea saada täyttä varmuutta siitä, ovatko salakirjoitusavaimet vuotaneet vai onko passit tehnyt terveydenhuollon henkilö, jolla on pääsy allekirjoitusavaimiin.

Koronapassin käyttö perustuu siihen, että käyttäjä esittää sen yhteydessä samalla nimellä varustetun henkilöllisyystodistuksen.

Koronapassi käyttää epäsymmetristä salausta, jossa passin myöntävä taho todentaa passin aitouden salaisella alle­kirjoitus­avaimellaan. Tämä näkyy käytännössä koronapassin qr-koodina, jonka lukusovellus hyväksyy. Salainen avain ei ole kuitenkaan luettavissa qr-koodista.

Jos salainen allekirjoitusavain vuotaa, sen käyttäjä pystyy luomaan koronapassien qr-koodeja mielivaltaisesti.

Nyt nähty väärennös ei tarkoita automaattisesti sitä, että salausjärjestelmä on rikki. Tilannetta voi verrata siihen, että talon avain on joutunut vääriin käsiin, mutta se ei tee tyhjäksi lukkojen sarjoitusjärjestelmää. Lukon vaihtamiselle on kuitenkin tarve.

Viime viikolla nähtiin saksalaisella digitaalisella allekirjoituksella varustettu väärennetty koronatodistus.

Lue lisää: Väärennetty koronapassi leviää verkossa

– Kyseessä saattaa olla tilanne, joka vertautuu pankin työntekijään, joka vaihtaisi ihmisten tilinumeroita ja siirtäisi rahaa tililtä toiselle. Mitään perustavanlaista ei ole rikki, F-Securen tutkimusjohtaja Mikko Hyppönen kommentoi viime viikolla nähtyä väärennöstä.

Terveyden ja hyvinvoinnin laitoksen tiedonhallintajohtaja Aleksi Yrttiaho sanoi viime viikolla, että jos yksittäinen digitaalinen allekirjoitus on vuotanut, se on peruttavissa ja korvattavissa uudella allekirjoituksella. Varastetulla avaimella allekirjoitetut koronapassit lakkaavat tuolloin toimimasta.

Twitterissä esitettyjen väitteiden mukaan Hitlerin passi on lakannut jo toimimasta Italian lukusovelluksessa. Suomessa se kuitenkin toimii.

Twitterissä esitettyjen väitteiden mukaan Hitler-passeja on kuitenkin ehditty tehdä lisää. Ainakin yksi on tehty puolalaisella allekirjoituksella. Edessä saattaa olla kissa ja hiiri -leikki väärentäjien ja avaimia tai yksittäisiä passeja peruvien viranomaisten välillä.

Väitetyt salaiset avaimet julkaistiin alun perin sisällönhallinta-alusta GitHubissa, mutta ne on sittemmin poistettu sieltä. Ne on kuitenkin ehditty kopioida ja julkaista muualla.

GitHubissa käydyissä ohjelmistokehittäjien keskuudessa on myös esitetty väitteitä, että kyse ei olisi vuotaneista avaimista, vaan Pohjois-Makedonian koronatodistusportaalissa luoduista koronapasseista. Väitteiden mukaan järjestelmä mahdollistaisi allekirjoitukset muiden maiden nimissä. Väitettä on toistaiseksi mahdotonta vahvistaa.

Viranomaiset eivät ole kommentoineet vielä asiaa. THL:n Infektiotautien torjunta ja rokotukset -yksikön päällikkö Otto Helve vastasi IS:n kysymykseen yleisellä tasolla THL:n tiedotustilaisuudessa sanoen, että riskit ovat tiedossa ja ne on huomioitu. Koronatodistuksissa on pyritty kohti mahdollisimman hyvää käytettävyyttä.

– Väärinkäytösten riski on, mutta se ei ole kovin suuri, Helve sanoi.

IS Digitodayn tietojen mukaan EU valmistelee tiedotetta asiasta.

Vaikka avaimet olisivat vuotaneet, tilanne ei vaaranna kansalaisten terveystietoja.

Väärennettyä koronapassia ei kannata ostaa. Se saattaa lakata toimimasta milloin tahansa tai voi olla, että rahoille ei tule vastinetta lainkaan.

Juttua päivitetty lisätiedoilla useaan otteeseen, viimeksi kello 10.36.

Osion tuoreimmat

Luitko jo nämä?