[hm] [Off-topic] webapp de verificación de pasaporte covid

Gonzalo Sarrablo gsarrablo en gmail.com
Mie Dic 15 14:35:18 CET 2021


El mié., 15 dic. 2021 14:00, Gonzalo Sarrablo <gsarrablo en gmail.com>
escribió:

>
>
> El mié., 15 dic. 2021 13:53, fadelkon <fadelkon en posteo.net> escribió:
>
>>
>>
>> El 15 de desembre de 2021 13:43:02 CET, Gonzalo Sarrablo <
>> gsarrablo en gmail.com> ha escrit:
>> >Mmm, por lo que estuve investigando, en realidad puede funcionsr 100%
>> >online, al leer el qr te devuelve una ristra que menos los 5 primeros
>> >caracteres (hns1: o algo asi) esta codificado en base45 (si, base45, no
>> >base64), luego comprimido con zlib y codificado en COSE, rn python es
>> facil
>> >decodificarlo.
>> >
>> >Pa mas info aqui: https://github.com/hannob/vacdec
>> >
>> >La cosa es que  las apps suelen llevar ya metidas las claves publicas. En
>> >cualquier caso, al decodificarlo salen dos campos, uno que es una firma y
>> >otro que son los datos en si mismo. Puedes llegar a generar qr "validos"
>> >(tanto en cuanto no verifiquen el campo de firma) que muchas aplicaciones
>> >que no validan una mierda lo dan por buena.
>> >
>>
>> Buah en serio?
>>
>
> De hecho de las pocas que validan la firma es la app que sacaron los
> suizos, otras muchas no validan un cagao, hay unas cuantas que estan en la
> app store no validan nada.
>
>
>> >Con esto en ppio se puede generar:
>> >
>> >https://github.com/ehn-dcc-development/python-hcert
>> >
>>
>> Gracias por los recursos!!
>>
>
> Puedo validaros que funciona con muchas app lo generado ahi jajaja
>

Como miniupdate, hemos estado verificando varias apps y por ejemplo la
aplicacion oficial del bobierno Aleman (que esta en fdroir por cierto) no
verifica firma.


>
>>
>> >Supongo que con lo que comentas que colando en la peticion una key
>> publica
>> >falsa con la que tu has generado el certificado, Bob Esponja podria
>> entrar
>> >a un bar jajaj
>>
>>
>> Maldito Bob, décadas dándole protagonismo en la criptografía y lo único
>> que quería es pegarse una cogorza con Alicia la de las "Maravillas"
>> psicotrópicas.
>>
>
> Y perdon por el topposting, que estoy con la app del movil y no me aclaro
> jajaja
>
>>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: </pipermail/hackmeeting/attachments/20211215/32901215/attachment.html>


Más información sobre la lista de distribución HackMeeting