Fórum Root.cz

Ostatní => Odkladiště => Téma založeno: mhi 21. 07. 2021, 17:06:47

Název: COVID očkovací certifikát
Přispěvatel: mhi 21. 07. 2021, 17:06:47
Byl jsem dneska na 2. davce ockovani a do mailu mi prislo ze si muzu vyzvednout certifikat. Stahnul jsem si PDFko bez digitalniho podpisu, s textem a QR kodem. Data QR kodu zacinaji HC1: , snadno jsem nasel popis (https://gir.st/blog/greenpass.html); specifikaci (https://ec.europa.eu/health/sites/default/files/ehealth/docs/covid-certificate_json_specification_en.pdf) a pak i clanky (https://www.dw.com/en/security-flaws-uncovered-in-eu-vaccination-passport/a-58129016).

Rikam si co se to deje, proc tam neni digitalni podpis ? Predpokladam, ze uz nekde existuje generator fake certifikatu :-). Znamena to asi, ze pro overeni se podle SN certifikatu musi v nejake lokalni databazi v dane zemi dohledat zda udaje odpovidaji. Je takova praxe, nebo ... ? Pri predstave jak kvalitne "funguje" treba VIES (platci DPH v EU) bych se nedivil, kdyby se spolehalo pouze na to co je v QR kodu. Nebo je to jinak?
Název: Re:COVID očkovací certifikát
Přispěvatel: Petr Krčmář 21. 07. 2021, 17:23:05
V tom QR kódu jsou všechny informace o očkování a také elektronický podpis. Viz velmi podrobný článek Jiřího Peterky na Lupě (https://www.lupa.cz/clanky/jak-budou-fungovat-a-jak-se-budou-pouzivat-digitalni-covidove-certifikaty/).
Název: Re:COVID očkovací certifikát
Přispěvatel: Miroslav Šilhavý 21. 07. 2021, 17:24:33
Ono se stejně neočekává, že by někdo prováděl takovou úroveň ověření. Ten, kdo nemá certifikát v mobilu, stejně přijde jen s obyčejným papírem, který má stejnou platnost.

Digitální podpis by tam byl zcela zbytečně, překračoval by to, co se od toho dokumentu očekává.

Všechny potřebné informace jsou v QR kódu, a kdo chce, ověří si je (což se stejně v praxi neděje).
Název: Re:COVID očkovací certifikát
Přispěvatel: Martin Dráb 21. 07. 2021, 17:25:43
Citace
kdyby se spolehalo pouze na to co je v QR kodu. Nebo je to jinak?

Jelikož ten certifikát můžete nosit i v tištěné podobě, tak by na ověření jeho pravosti digitální podpis jeho PDFka stejně nestačil.
Název: Re:COVID očkovací certifikát
Přispěvatel: mhi 21. 07. 2021, 18:33:37
PK: Mate pravdu, ze v tom QR kodu je na konci 'ECDSA w/ SHA-256', jen mi to nejaky online dekoder nevypsal k tomu JSONu a nenapadlo me studovat ty binarni data. Takze beru zpet.
Název: Re:COVID očkovací certifikát
Přispěvatel: Radek Zajíc 21. 07. 2021, 18:52:52
Pokud nejaka aplikce neoveruje digital signature (ta v tom certifikatu je), je to samozrejme problem - ale primarne te aplikace.
Falesne certifikaty vygenerovat jdou, ale nebudou mit platne signatury.

K covid pasum mam vlakno na Twitteru - https://mobile.twitter.com/zajdee/status/1399436026398101508

Kazda zeme ma vlastni podpisovy certifikat (nebo nekolik certifikatu), ktere se vyuzivaji pro vypocet (a zpetne overeni) signatur. U nas je to MZCR. seznam a verejne casti uznavanych evropskych certifikatu jsou v prostredi naseho statu k dispozici na https://dgcverify.mzcr.cz/index.html
Název: Re:COVID očkovací certifikát
Přispěvatel: Radek Zajíc 21. 07. 2021, 18:56:28
Jeste k overeni: overovaci aplikace si stahne zname narodni x509 certifikaty. Kazdy x509 certifikat ma navic i svuj KeyID (kid).

V covid pasu (qr kod/HC1:...) je uveden kid x509 certifikatu, kterym byla vygenerovana signatura. Aplikace pak pomoci dat z x509 certifikatu (identifikovaneho kidem) overi platnost dat/signatury a tim i celeho covid pasu. Offline. Klidne v miste bez signalu. Nic se nikam neposila.

Jedinou podminkou uspesneho overeni platne podepsanych dat je, mit v aplikacnim ulozisti takovy x509 certifikat, jehoz kid je v covid pasu. Rucne vygenerovana data nedokazete platne podepsat, protoze nemate privatni klic k uznavanemu x509 certifikatu.
Název: Re:COVID očkovací certifikát
Přispěvatel: Wrána diskuze 22. 07. 2021, 00:16:39
Pokud nejaka aplikce neoveruje digital signature (ta v tom certifikatu je), je to samozrejme problem - ale primarne te aplikace.
to ale jakoby muže taky bejt výhoda proněkoho kdo na koronavirusosovou pandemii hrát už nechce :P :P ;) ;)

......................
 Offline. Klidne v miste bez signalu. Nic se nikam neposila.
................
naco teda jako potřebuje čTečka přístup k netu furt viz. vobrázek v příloze :D
Název: Re:COVID očkovací certifikát
Přispěvatel: Filip Jirsák 22. 07. 2021, 08:57:13
to ale jakoby muže taky bejt výhoda proněkoho kdo na koronavirusosovou pandemii hrát už nechce
Pro takového člověka ovšem bude daleko jednodušší žádné certifikáty neověřovat.

naco teda jako potřebuje čTečka přístup k netu furt viz. vobrázek v příloze :D
Aby si stáhla aktuální seznam certifikátů a aktuální pravidla. To, že aplikace vyžaduje přístup k internetu, neznamená, že ho vyžaduje neustále. Např. existují offline jízdní řády, mapy, navigace – ty všechny vyžadují přístup k internetu, aby si mohly stáhnout aktualizovaná data/mapy, což ale neznamená, že ty aplikace nebudou fungovat, když nemáte aktuálně přístup k internetu.
Název: Re:COVID očkovací certifikát
Přispěvatel: SB 22. 07. 2021, 14:29:32
naco teda jako potřebuje čTečka přístup k netu furt viz. vobrázek v příloze :D

Asi na občasnou aktualizaci seznamu certifikátů:
https://ockodoc.mzcr.cz/napoveda/ctecka/cz/ (https://ockodoc.mzcr.cz/napoveda/ctecka/cz/)
„Stahování konfigurace – podpisových klíčů (země EU) a validačních pravidel (pouze ČR) ze serveru ÚZIS. Probíhá online jednou za 24 hodin.“

O to tu ale nejde, tohle je zajímavější:
https://ockodoc.mzcr.cz/napoveda/ctecka/cz/podminky-pouzivani/ (https://ockodoc.mzcr.cz/napoveda/ctecka/cz/podminky-pouzivani/)
„Abychom zajistili funkčnost aplikace, pracuje i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) a používá k tomu standardní nástroje (Firebase Crashlytics a Google Analytics) od společnosti Google...“

Opravdu nejsou ti čeští *****i schopni vytvořit státní aplikaci bez asistence vrchního šmíráčka? Takhle to bude vypadat se všemi aplikacemi státní správy?
Název: Re:COVID očkovací certifikát
Přispěvatel: Filip Jirsák 22. 07. 2021, 14:48:28
O to tu ale nejde, tohle je zajímavější:
https://ockodoc.mzcr.cz/napoveda/ctecka/cz/podminky-pouzivani/ (https://ockodoc.mzcr.cz/napoveda/ctecka/cz/podminky-pouzivani/)
„Abychom zajistili funkčnost aplikace, pracuje i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) a používá k tomu standardní nástroje (Firebase Crashlytics a Google Analytics) od společnosti Google...“
Nejsem si jist, zda tohle vyžaduje přístup k internetu. Je možné, že to údaje předává systémové službě a teprve ta komunikuje po internetu.

Opravdu nejsou ti čeští *****i schopni vytvořit státní aplikaci bez asistence vrchního šmíráčka? Takhle to bude vypadat se všemi aplikacemi státní správy?
Navrhněte alternativu, která bude mít stejné funkce a její implementace a provoz bude stejně levný.
Název: Re:COVID očkovací certifikát
Přispěvatel: Santa 22. 07. 2021, 15:04:53
Doporucam preliezt si oficialne repozitare na githube....

https://github.com/eu-digital-green-certificates

Je tam vsetko od popisu schem (struktury), popis vzniku QR kodu aj s podpisom, a nasledne aj sposob ovrovania. Su tam dokonca aj priklady pre android a ios....
Název: Re:COVID očkovací certifikát
Přispěvatel: martyd -f 23. 07. 2021, 22:46:07
Navrhněte alternativu, která bude mít stejné funkce a její implementace a provoz bude stejně levný.
A co kdyby ta alternativa byla raděj bezpečná a kladla důraz na ochranu citlivých osobních údajů, namísto řazení od nejlevnějšího?
Název: Re:COVID očkovací certifikát
Přispěvatel: Filip Jirsák 23. 07. 2021, 23:01:06
A co kdyby ta alternativa byla raděj bezpečná a kladla důraz na ochranu citlivých osobních údajů, namísto řazení od nejlevnějšího?
Můžete zkusit přesvědčit veřejnost, že má u státních projektů preferovat něco jiného, než nejnižší cenu.

A pak, zvolené řešení je bezpečné a klade důraz na ochranu citlivých osobních údajů. Takže tam není potřeba hledat alternativu.
Název: Re:COVID očkovací certifikát
Přispěvatel: MalyTomi 16. 08. 2021, 15:28:53
Takže k čemu máte na ústěch tu věc?   ;D
Ak myslis "TO", tak preto, lebo odkedy je Home Office, tak si nemusim umyvat zuby a holit sa. ked musim ist medzi ludi, tak si "TO" len nasadim a nestracam zbytocne cas.
Název: Re:COVID očkovací certifikát
Přispěvatel: Radovan . 17. 08. 2021, 07:55:29
zvolené řešení je bezpečné a klade důraz na ochranu citlivých osobních údajů.

https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/ziskali-jsme-covidove-certifikaty-politiku-uvedla-slovenska-firma-40369193 (https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/ziskali-jsme-covidove-certifikaty-politiku-uvedla-slovenska-firma-40369193)

LOL ROFL PWNED
Název: Re:COVID očkovací certifikát
Přispěvatel: Filip Jirsák 17. 08. 2021, 08:50:32
zvolené řešení je bezpečné a klade důraz na ochranu citlivých osobních údajů.

https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/ziskali-jsme-covidove-certifikaty-politiku-uvedla-slovenska-firma-40369193 (https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/ziskali-jsme-covidove-certifikaty-politiku-uvedla-slovenska-firma-40369193)

LOL ROFL PWNED
Až se dosmějete, zjistěte si, že Československo už se dávno rozdělilo a ČR a SR jsou teď dva různé státy. Takže slovenské řešení nevypovídá vůbec nic o českém řešení.
Název: Re:COVID očkovací certifikát
Přispěvatel: oss 17. 08. 2021, 09:13:56
zvolené řešení je bezpečné a klade důraz na ochranu citlivých osobních údajů.

https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/ziskali-jsme-covidove-certifikaty-politiku-uvedla-slovenska-firma-40369193 (https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/ziskali-jsme-covidove-certifikaty-politiku-uvedla-slovenska-firma-40369193)

LOL ROFL PWNED

A hlavne toto nema nic spolocne z COVID ockovacim certifikatom.
Název: Re:COVID očkovací certifikát
Přispěvatel: mark42 17. 08. 2021, 15:46:34
zvolené řešení je bezpečné a klade důraz na ochranu citlivých osobních údajů.

https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/ziskali-jsme-covidove-certifikaty-politiku-uvedla-slovenska-firma-40369193 (https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/ziskali-jsme-covidove-certifikaty-politiku-uvedla-slovenska-firma-40369193)

LOL ROFL PWNED

A hlavne toto nema nic spolocne z COVID ockovacim certifikatom.

Ale ano, na zaklade zranitelnosti eHranice dokazali ziskat COVID ockovacie certifikaty politikov, ako proof of concept zneuzitia tej zranitelnosti. Uz sa im vyhraza zalobou ten urad, ktory tie data mal chranit....