Risultati dei test di sicurezza relativi al «certificato COVID»

Service navigation

Ricerca

Navigazione

Risultati dei test di sicurezza relativi al «certificato COVID»

22.07.2021 - Per verificare la sicurezza del certificato COVID, l’NCSC ha condotto tra l’altro un test pubblico di valutazione della sicurezza. Nel rapporto che è stato ora pubblicato, l’NCSC fornisce una panoramica delle vulnerabilità che sono state segnalate finora. Il test pubblico di valutazione della sicurezza è ancora in corso.

Icon: Melden Sie Sicherheitslücken beim Covid-Zertifikat

I certificati COVID sono emessi in Svizzera dal 7 giugno 2021. Per verificare accuratamente le funzionalità e il funzionamento dell’intero sistema, così come la sua sicurezza, in precedenza sono stati condotti diversi test interni e pubblici.

Le analisi interne sono state effettuate prima e durante l’introduzione del certificato COVID sotto la supervisione dell’NCSC da diversi uffici, tra cui l’Ufficio federale dell’informatica e della telecomunicazione (UFIT) e l’Istituto Nazionale di Test per la Cibersicurezza (NTC). 

Nel quadro di un test pubblico di valutazione della sicurezza, dal 31 maggio 2021 il sistema viene sottoposto a un test di robustezza eseguito da ulteriori esperti e persone interessate.

La fase di introduzione del certificato COVID è stata completata e si sta passando ora a quella della normale gestione. Nel suo rapporto, l’NCSC fornisce una panoramica delle vulnerabilità che sono state segnalate finora. Il test pubblico di valutazione della sicurezza è ancora in corso. Eventuali vulnerabilità non ancora note possono essere segnalate all’NCSC al seguente indirizzo:

Test di valutazione della sicurezza

Quali funzionalità sono state testate?

  • I sistemi e i loro componenti che ricevono le richieste da emittenti di certificati COVID per creare e firmare certificati COVID, generano le firme crittografiche e spediscono i certificati COVID emessi agli emittenti.

  • I servizi che forniscono le chiavi pubbliche dei certificati degni di fiducia per consentire una verifica decentralizzata offline e rilevare i certificati revocati.

  • I sistemi di comunicazione per lo scambio di informazioni con i corrispondenti sistemi esteri al fine di verificare l’autenticità, l’integrità e la validità delle firme elettroniche dei certificati COVID, in particolare nel quadro del «certificato verde digitale» dell’Unione europea.

  • Le applicazioni mobili (backend di configurazione inclusi) che possono essere utilizzate dai titolari di certificati COVID per salvare i certificati COVID sul proprio telefono cellulare.

  • Le applicazioni mobili (backend di configurazione inclusi) per la verifica elettronica dell’autenticità, dell’integrità e della validità dei certificati COVID.

Quante vulnerabilità sono state segnalate?

Nella fase più intensa dei test di sicurezza, sono stati individuati finora 136 situazioni e vulnerabilità.

Esse sono state classificate nelle seguenti categorie:

  • ongoing: la falla nella sicurezza segnalata è analizzata e si sta elaborando una soluzione per risolvere il problema;

  • fixed: la falla nella sicurezza è stata individuata e il problema è già stato risolto;

  • wontfix: la situazione è stata riconosciuta, ma non occorre apportare modifiche in quanto l’evoluzione è stata effettuata secondo espliciti requisiti nazionali o europei;

  • falso positivo: ciò che è stato riportato si è rivelato essere una valutazione errata degli utenti.

Qual è la conclusione in base alle vulnerabilità e alle situazioni segnalate?

  • Numero di vulnerabilità segnalate
    Il progetto ideato e realizzato dall’UFIT è di elevata complessità tecnica e organizzativa. Pertanto, il numero di 136 vulnerabilità segnalate è considerato normale data la grande quantità di codici e infrastrutture.

  • Qualità dei test eseguiti e delle vulnerabilità segnalate
    Sia i test pubblici che quelli interni sono stati eseguiti con grande precisione. I risultati delle analisi interne e dei test pubblici sono di qualità elevata. In particolare i partecipanti al test pubblico per la valutazione della sicurezza hanno investito molto tempo e risorse per segnalare eventuali falle nella sicurezza, a beneficio di tutta la popolazione.

  • Trasparenza
    I risultati sono stati regolarmente pubblicati sul sito Internet dell’NCSC. Garantire la trasparenza rappresenta un aspetto fondamentale per l’NCSC, anche nell’ambito del PST sulla sicurezza del certificato COVID.

Rapporto:

Covid-19-Certificate - Public Security Test - Current Findings (PDF, 309 kB, 11.08.2021)

Ultima modifica 22.07.2021

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/covid-zertifikat-pst.html