[hm] [Off-topic] webapp de verificación de pasaporte covid
fadelkon
fadelkon en posteo.net
Mie Dic 15 13:53:22 CET 2021
El 15 de desembre de 2021 13:43:02 CET, Gonzalo Sarrablo <gsarrablo en gmail.com> ha escrit:
>Mmm, por lo que estuve investigando, en realidad puede funcionsr 100%
>online, al leer el qr te devuelve una ristra que menos los 5 primeros
>caracteres (hns1: o algo asi) esta codificado en base45 (si, base45, no
>base64), luego comprimido con zlib y codificado en COSE, rn python es facil
>decodificarlo.
>
>Pa mas info aqui: https://github.com/hannob/vacdec
>
>La cosa es que las apps suelen llevar ya metidas las claves publicas. En
>cualquier caso, al decodificarlo salen dos campos, uno que es una firma y
>otro que son los datos en si mismo. Puedes llegar a generar qr "validos"
>(tanto en cuanto no verifiquen el campo de firma) que muchas aplicaciones
>que no validan una mierda lo dan por buena.
>
Buah en serio?
>Con esto en ppio se puede generar:
>
>https://github.com/ehn-dcc-development/python-hcert
>
Gracias por los recursos!!
>Supongo que con lo que comentas que colando en la peticion una key publica
>falsa con la que tu has generado el certificado, Bob Esponja podria entrar
>a un bar jajaj
Maldito Bob, décadas dándole protagonismo en la criptografía y lo único que quería es pegarse una cogorza con Alicia la de las "Maravillas" psicotrópicas.
Más información sobre la lista de distribución HackMeeting