COVID očkovací certifikát

mhi

  • ****
  • 290
    • Zobrazit profil
COVID očkovací certifikát
« kdy: 21. 07. 2021, 17:06:47 »
Byl jsem dneska na 2. davce ockovani a do mailu mi prislo ze si muzu vyzvednout certifikat. Stahnul jsem si PDFko bez digitalniho podpisu, s textem a QR kodem. Data QR kodu zacinaji HC1: , snadno jsem nasel popis; specifikaci a pak i clanky.

Rikam si co se to deje, proc tam neni digitalni podpis ? Predpokladam, ze uz nekde existuje generator fake certifikatu :-). Znamena to asi, ze pro overeni se podle SN certifikatu musi v nejake lokalni databazi v dane zemi dohledat zda udaje odpovidaji. Je takova praxe, nebo ... ? Pri predstave jak kvalitne "funguje" treba VIES (platci DPH v EU) bych se nedivil, kdyby se spolehalo pouze na to co je v QR kodu. Nebo je to jinak?
« Poslední změna: 21. 07. 2021, 17:21:47 od Petr Krčmář »


Re:COVID očkovací certifikát
« Odpověď #1 kdy: 21. 07. 2021, 17:23:05 »
V tom QR kódu jsou všechny informace o očkování a také elektronický podpis. Viz velmi podrobný článek Jiřího Peterky na Lupě.

Re:COVID očkovací certifikát
« Odpověď #2 kdy: 21. 07. 2021, 17:24:33 »
Ono se stejně neočekává, že by někdo prováděl takovou úroveň ověření. Ten, kdo nemá certifikát v mobilu, stejně přijde jen s obyčejným papírem, který má stejnou platnost.

Digitální podpis by tam byl zcela zbytečně, překračoval by to, co se od toho dokumentu očekává.

Všechny potřebné informace jsou v QR kódu, a kdo chce, ověří si je (což se stejně v praxi neděje).

Re:COVID očkovací certifikát
« Odpověď #3 kdy: 21. 07. 2021, 17:25:43 »
Citace
kdyby se spolehalo pouze na to co je v QR kodu. Nebo je to jinak?

Jelikož ten certifikát můžete nosit i v tištěné podobě, tak by na ověření jeho pravosti digitální podpis jeho PDFka stejně nestačil.

mhi

  • ****
  • 290
    • Zobrazit profil
Re:COVID očkovací certifikát
« Odpověď #4 kdy: 21. 07. 2021, 18:33:37 »
PK: Mate pravdu, ze v tom QR kodu je na konci 'ECDSA w/ SHA-256', jen mi to nejaky online dekoder nevypsal k tomu JSONu a nenapadlo me studovat ty binarni data. Takze beru zpet.


Re:COVID očkovací certifikát
« Odpověď #5 kdy: 21. 07. 2021, 18:52:52 »
Pokud nejaka aplikce neoveruje digital signature (ta v tom certifikatu je), je to samozrejme problem - ale primarne te aplikace.
Falesne certifikaty vygenerovat jdou, ale nebudou mit platne signatury.

K covid pasum mam vlakno na Twitteru - https://mobile.twitter.com/zajdee/status/1399436026398101508

Kazda zeme ma vlastni podpisovy certifikat (nebo nekolik certifikatu), ktere se vyuzivaji pro vypocet (a zpetne overeni) signatur. U nas je to MZCR. seznam a verejne casti uznavanych evropskych certifikatu jsou v prostredi naseho statu k dispozici na https://dgcverify.mzcr.cz/index.html

Re:COVID očkovací certifikát
« Odpověď #6 kdy: 21. 07. 2021, 18:56:28 »
Jeste k overeni: overovaci aplikace si stahne zname narodni x509 certifikaty. Kazdy x509 certifikat ma navic i svuj KeyID (kid).

V covid pasu (qr kod/HC1:...) je uveden kid x509 certifikatu, kterym byla vygenerovana signatura. Aplikace pak pomoci dat z x509 certifikatu (identifikovaneho kidem) overi platnost dat/signatury a tim i celeho covid pasu. Offline. Klidne v miste bez signalu. Nic se nikam neposila.

Jedinou podminkou uspesneho overeni platne podepsanych dat je, mit v aplikacnim ulozisti takovy x509 certifikat, jehoz kid je v covid pasu. Rucne vygenerovana data nedokazete platne podepsat, protoze nemate privatni klic k uznavanemu x509 certifikatu.

Re:COVID očkovací certifikát
« Odpověď #7 kdy: 22. 07. 2021, 00:16:39 »
Pokud nejaka aplikce neoveruje digital signature (ta v tom certifikatu je), je to samozrejme problem - ale primarne te aplikace.
to ale jakoby muže taky bejt výhoda proněkoho kdo na koronavirusosovou pandemii hrát už nechce :P :P ;) ;)

......................
 Offline. Klidne v miste bez signalu. Nic se nikam neposila.
................
naco teda jako potřebuje čTečka přístup k netu furt viz. vobrázek v příloze :D
lidi postižený environmentálním žalem hele choděj za ekopsycholožkama hele 🤡 💆 🤡 💆

Re:COVID očkovací certifikát
« Odpověď #8 kdy: 22. 07. 2021, 08:57:13 »
to ale jakoby muže taky bejt výhoda proněkoho kdo na koronavirusosovou pandemii hrát už nechce
Pro takového člověka ovšem bude daleko jednodušší žádné certifikáty neověřovat.

naco teda jako potřebuje čTečka přístup k netu furt viz. vobrázek v příloze :D
Aby si stáhla aktuální seznam certifikátů a aktuální pravidla. To, že aplikace vyžaduje přístup k internetu, neznamená, že ho vyžaduje neustále. Např. existují offline jízdní řády, mapy, navigace – ty všechny vyžadují přístup k internetu, aby si mohly stáhnout aktualizovaná data/mapy, což ale neznamená, že ty aplikace nebudou fungovat, když nemáte aktuálně přístup k internetu.

SB

  • ****
  • 276
    • Zobrazit profil
    • E-mail
Re:COVID očkovací certifikát
« Odpověď #9 kdy: 22. 07. 2021, 14:29:32 »
naco teda jako potřebuje čTečka přístup k netu furt viz. vobrázek v příloze :D

Asi na občasnou aktualizaci seznamu certifikátů:
https://ockodoc.mzcr.cz/napoveda/ctecka/cz/
„Stahování konfigurace – podpisových klíčů (země EU) a validačních pravidel (pouze ČR) ze serveru ÚZIS. Probíhá online jednou za 24 hodin.“

O to tu ale nejde, tohle je zajímavější:
https://ockodoc.mzcr.cz/napoveda/ctecka/cz/podminky-pouzivani/
„Abychom zajistili funkčnost aplikace, pracuje i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) a používá k tomu standardní nástroje (Firebase Crashlytics a Google Analytics) od společnosti Google...“

Opravdu nejsou ti čeští *****i schopni vytvořit státní aplikaci bez asistence vrchního šmíráčka? Takhle to bude vypadat se všemi aplikacemi státní správy?

Re:COVID očkovací certifikát
« Odpověď #10 kdy: 22. 07. 2021, 14:48:28 »
O to tu ale nejde, tohle je zajímavější:
https://ockodoc.mzcr.cz/napoveda/ctecka/cz/podminky-pouzivani/
„Abychom zajistili funkčnost aplikace, pracuje i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) a používá k tomu standardní nástroje (Firebase Crashlytics a Google Analytics) od společnosti Google...“
Nejsem si jist, zda tohle vyžaduje přístup k internetu. Je možné, že to údaje předává systémové službě a teprve ta komunikuje po internetu.

Opravdu nejsou ti čeští *****i schopni vytvořit státní aplikaci bez asistence vrchního šmíráčka? Takhle to bude vypadat se všemi aplikacemi státní správy?
Navrhněte alternativu, která bude mít stejné funkce a její implementace a provoz bude stejně levný.

Re:COVID očkovací certifikát
« Odpověď #11 kdy: 22. 07. 2021, 15:04:53 »
Doporucam preliezt si oficialne repozitare na githube....

https://github.com/eu-digital-green-certificates

Je tam vsetko od popisu schem (struktury), popis vzniku QR kodu aj s podpisom, a nasledne aj sposob ovrovania. Su tam dokonca aj priklady pre android a ios....

martyd -f

  • ***
  • 133
  • [ JEDINĚ KUBUNTU ]
    • Zobrazit profil
    • E-mail
Re:COVID očkovací certifikát
« Odpověď #12 kdy: 23. 07. 2021, 22:46:07 »
Navrhněte alternativu, která bude mít stejné funkce a její implementace a provoz bude stejně levný.
A co kdyby ta alternativa byla raděj bezpečná a kladla důraz na ochranu citlivých osobních údajů, namísto řazení od nejlevnějšího?

Re:COVID očkovací certifikát
« Odpověď #13 kdy: 23. 07. 2021, 23:01:06 »
A co kdyby ta alternativa byla raděj bezpečná a kladla důraz na ochranu citlivých osobních údajů, namísto řazení od nejlevnějšího?
Můžete zkusit přesvědčit veřejnost, že má u státních projektů preferovat něco jiného, než nejnižší cenu.

A pak, zvolené řešení je bezpečné a klade důraz na ochranu citlivých osobních údajů. Takže tam není potřeba hledat alternativu.