[hm] [Off-topic] webapp de verificación de pasaporte covid

[Gonzalo Sarrablo]

El mié., 15 dic. 2021 13:53, fadelkon <fadelkon en posteo.net> escribió:

>
>
> El 15 de desembre de 2021 13:43:02 CET, Gonzalo Sarrablo <
> gsarrablo en gmail.com> ha escrit:
> >Mmm, por lo que estuve investigando, en realidad puede funcionsr 100%
> >online, al leer el qr te devuelve una ristra que menos los 5 primeros
> >caracteres (hns1: o algo asi) esta codificado en base45 (si, base45, no
> >base64), luego comprimido con zlib y codificado en COSE, rn python es
> facil
> >decodificarlo.
> >
> >Pa mas info aqui: https://github.com/hannob/vacdec
> >
> >La cosa es que  las apps suelen llevar ya metidas las claves publicas. En
> >cualquier caso, al decodificarlo salen dos campos, uno que es una firma y
> >otro que son los datos en si mismo. Puedes llegar a generar qr "validos"
> >(tanto en cuanto no verifiquen el campo de firma) que muchas aplicaciones
> >que no validan una mierda lo dan por buena.
> >
>
> Buah en serio?
>

De hecho de las pocas que validan la firma es la app que sacaron los
suizos, otras muchas no validan un cagao, hay unas cuantas que estan en la
app store no validan nada.


> >Con esto en ppio se puede generar:
> >
> >https://github.com/ehn-dcc-development/python-hcert
> >
>
> Gracias por los recursos!!
>

Puedo validaros que funciona con muchas app lo generado ahi jajaja


>
> >Supongo que con lo que comentas que colando en la peticion una key publica
> >falsa con la que tu has generado el certificado, Bob Esponja podria entrar
> >a un bar jajaj
>
>
> Maldito Bob, décadas dándole protagonismo en la criptografía y lo único
> que quería es pegarse una cogorza con Alicia la de las "Maravillas"
> psicotrópicas.
>

Y perdon por el topposting, que estoy con la app del movil y no me aclaro
jajaja

>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: </pipermail/hackmeeting/attachments/20211215/d21b11ba/attachment-0001.html>