Certificato Covid svizzero, codice sorgente disponibile per test di sicurezza pubblico

Pubblicazione iniziale: 2021/06/04 1:17. Ultimo aggiornamento: 2021/06/17
15:30.

Chiunque può testare la sicurezza del software che gestirà il
“certificato Covid”
svizzero che certificherà l’avvenuta vaccinazione, la guarigione o il
risultato negativo di un test e sarà necessario o facilitante per esempio per
viaggiare oltre frontiera e per partecipare alle grandi manifestazioni
(secondo le modalità
dettagliate qui
e in queste
FAQ). Il codice sorgente e la documentazione sono disponibili per l’esame
qui su GitHub.

La versione svizzera del certificato Covid sarà compatibile con quella dell’UE
(spesso chiamata impropriamente
green pass dai giornalisti che si sono ispirati male a un sistema israeliano) e viceversa; sarà introdotta gradualmente a partire dal
7 giugno. 

2021/06/17:15.30. Il certificato è stato distribuito.

Il certificato Covid sarà in sostanza un codice QR non falsificabile, stampato
su carta (o fornito come PDF) oppure contenuto all’interno di un’apposita app
che fa da
wallet. Il certificato conterrà una firma elettronica della
Confederazione che consente la verifica del certificato stesso senza
trasmettere o salvare dati personali.

L’app per gli utenti si chiamerà Covid Certificate; dovrebbe essere
pubblicata dall’Ufficio Federale della Sanità Pubblica
(UFSP) e dovrebbe quindi comparire per esempio
qui nel Play Store
Android (ci sarà anche una versione iOS) dal 7 giugno 2021. L’app sarà
gratuita (fonte:
Dipartimento Federale delle Finanze).

Ci sarà anche un’app per verificare i certificati, chiamata
Covid Certificate Check,* e ci sarà un sito riservato ai generatori
autorizzati di questi certificati, presso
www.covidcertificate.admin.ch
(attualmente non operativo).**

Il progetto è stato affidato alla società zurighese Ubique (la stessa che ha
prodotto SwissCovid) e ad altre due aziende svizzere, basandosi sul protocollo
sviluppato dall’EPFL e sotto la supervisione dell’Ufficio Federale
dell’Informatica e della Telecomunicazione (UFIT), scrive
Le Temps.

Ecco qualche
screenshot
dalla versione Android non definitiva dell’app per gli utenti in italiano (le
altre lingue disponibili sono tedesco, francese e inglese):

Queste, invece, sono
immagini
non definitive dell’app per verificatori:

Il funzionamento dovrebbe essere grosso modo il seguente.

L’utente richiederà
il certificato, che sarà disponibile entro fine giugno e verrà fornito dai centri di vaccinazione, dai medici,
dagli ospedali, dalle farmacie e dai centri di test (come spiega la
RSI) e potrà importarlo nell’app Covid Certificate facendone una scansione. Chi verrà vaccinato
con l’ultima dose prima della fine di giugno (come me) dovrà consultare il
sito del Cantone per informazioni su come richiedere il certificato; chi verrà
vaccinato dopo la fine di giugno riceverà il certificato automaticamente in
forma elettronica (o, su richiesta, in PDF sul posto), come
descritto qui.

L’utente esibirà questo certificato su richiesta (nei
casi previsti) a un verificatore, che userà l’app di verifica Covid Certificate Check per leggere il codice QR ed
accertarsi che il certificato sia autentico e non sia stato revocato.

Il verificatore che usa l’app potrà vedere solo
“il nome, il cognome, la data di nascita e l’indicazione della validità del
certificato COVID”
(comunicato stampa del 4/6).

Il PDF conterrà un grande codice QR e alcuni dati stampati in chiaro: nome,
cognome e data di nascita del titolare; numero di dose, marca, fabbricante del
vaccino; data di vaccinazione; paese; ente emittente. L’app, invece, mostrerà
solo il codice QR e il nome e la data di nascita della persona, perlomeno
nella schermata principale.

In termini di privacy, non ci sarà un archivio centrale: ogni persona dovrà
provvedere a custodire il proprio certificato sul proprio dispositivo digitale
o su carta.
“I dati personali non sono salvati a livello centrale dall’Amministrazione
federale e quelli necessari per la firma elettronica del certificato vengono
cancellati dal sistema della Confederazione non appena il certificato è
stato generato e trasmesso”, dice il suddetto comunicato stampa, e non viene fatto alcun tracciamento
delle verifiche. In caso di smarrimento del certificato bisognerà richiederne
uno nuovo.

—

La decisione di effettuare un test di sicurezza pubblico è stata
annunciata
dall’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT).
Ulteriori dettagli verranno resi pubblici oggi (venerdì 4 giugno) e verranno
pubblicati
qui sul sito dell’UFSP.

Si tratta di un progetto open source di massima trasparenza: come dicevo, il
codice sorgente
è già liberamente esaminabile e disponibile su GitHub; le
condizioni e regole
di partecipazione al test di valutazione della sicurezza, con le relative
garanzie di non perseguibilità, sono pubblicate sul sito del Centro Nazionale
per la Cibersicurezza insieme al modulo per la notifica dei problemi
riscontrati e all’elenco di quelli già scoperti
(fra i quali figura una password hardcoded).

Il periodo di verifica pubblica è iniziato il 31 maggio scorso e complementa i
test già condotti dall’Istituto Nazionale di Test per la Cibersicurezza (NTC).
Non sono previste ricompense (niente bug bounty, insomma).

Oltre al codice sorgente delle app per
Android
e iOS e dei
servizi di generazione dei certificati, con la documentazione delle loro
architetture, su GitHub si trovano anche le
presentazioni
che descrivono l’aspetto, i principi e la tabella di marcia dell’app e del
documento cartaceo.

Frugando un pochino nella documentazione si trovano anche la
guida rapida
e le
istruzioni
per i “superutenti” (gli incaricati di generare i certificati) e per la loro
formazione. Nulla che interessi al comune cittadino, ma interessante per chi vuole
studiare le procedure interne del sistema.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.