COVID očkovací certifikát

[mhi]

Byl jsem dneska na 2. davce ockovani a do mailu mi prislo ze si muzu vyzvednout certifikat. Stahnul jsem si PDFko bez digitalniho podpisu, s textem a QR kodem. Data QR kodu zacinaji HC1: , snadno jsem nasel popis; specifikaci a pak i clanky.

Rikam si co se to deje, proc tam neni digitalni podpis ? Predpokladam, ze uz nekde existuje generator fake certifikatu :-). Znamena to asi, ze pro overeni se podle SN certifikatu musi v nejake lokalni databazi v dane zemi dohledat zda udaje odpovidaji. Je takova praxe, nebo ... ? Pri predstave jak kvalitne "funguje" treba VIES (platci DPH v EU) bych se nedivil, kdyby se spolehalo pouze na to co je v QR kodu. Nebo je to jinak?

[Reklama]

[Petr Krčmář]

V tom QR kódu jsou všechny informace o očkování a také elektronický podpis. Viz velmi podrobný článek Jiřího Peterky na Lupě.

[Miroslav Šilhavý]

Ono se stejně neočekává, že by někdo prováděl takovou úroveň ověření. Ten, kdo nemá certifikát v mobilu, stejně přijde jen s obyčejným papírem, který má stejnou platnost.

Digitální podpis by tam byl zcela zbytečně, překračoval by to, co se od toho dokumentu očekává.

Všechny potřebné informace jsou v QR kódu, a kdo chce, ověří si je (což se stejně v praxi neděje).

[Martin Dráb]

kdyby se spolehalo pouze na to co je v QR kodu. Nebo je to jinak?

Jelikož ten certifikát můžete nosit i v tištěné podobě, tak by na ověření jeho pravosti digitální podpis jeho PDFka stejně nestačil.

[mhi]

PK: Mate pravdu, ze v tom QR kodu je na konci 'ECDSA w/ SHA-256', jen mi to nejaky online dekoder nevypsal k tomu JSONu a nenapadlo me studovat ty binarni data. Takze beru zpet.

[Reklama]

[Radek Zajíc]

Pokud nejaka aplikce neoveruje digital signature (ta v tom certifikatu je), je to samozrejme problem - ale primarne te aplikace.
Falesne certifikaty vygenerovat jdou, ale nebudou mit platne signatury.

K covid pasum mam vlakno na Twitteru - https://mobile.twitter.com/zajdee/status/1399436026398101508

Kazda zeme ma vlastni podpisovy certifikat (nebo nekolik certifikatu), ktere se vyuzivaji pro vypocet (a zpetne overeni) signatur. U nas je to MZCR. seznam a verejne casti uznavanych evropskych certifikatu jsou v prostredi naseho statu k dispozici na https://dgcverify.mzcr.cz/index.html

[Radek Zajíc]

Jeste k overeni: overovaci aplikace si stahne zname narodni x509 certifikaty. Kazdy x509 certifikat ma navic i svuj KeyID (kid).

V covid pasu (qr kod/HC1:...) je uveden kid x509 certifikatu, kterym byla vygenerovana signatura. Aplikace pak pomoci dat z x509 certifikatu (identifikovaneho kidem) overi platnost dat/signatury a tim i celeho covid pasu. Offline. Klidne v miste bez signalu. Nic se nikam neposila.

Jedinou podminkou uspesneho overeni platne podepsanych dat je, mit v aplikacnim ulozisti takovy x509 certifikat, jehoz kid je v covid pasu. Rucne vygenerovana data nedokazete platne podepsat, protoze nemate privatni klic k uznavanemu x509 certifikatu.

[Wrána diskuze]

Pokud nejaka aplikce neoveruje digital signature (ta v tom certifikatu je), je to samozrejme problem - ale primarne te aplikace.

to ale jakoby muže taky bejt výhoda proněkoho kdo na koronavirusosovou pandemii hrát už nechce

......................
 Offline. Klidne v miste bez signalu. Nic se nikam neposila.
................

naco teda jako potřebuje čTečka přístup k netu furt viz. vobrázek v příloze

[Filip Jirsák]

to ale jakoby muže taky bejt výhoda proněkoho kdo na koronavirusosovou pandemii hrát už nechce

Pro takového člověka ovšem bude daleko jednodušší žádné certifikáty neověřovat.

naco teda jako potřebuje čTečka přístup k netu furt viz. vobrázek v příloze

Aby si stáhla aktuální seznam certifikátů a aktuální pravidla. To, že aplikace vyžaduje přístup k internetu, neznamená, že ho vyžaduje neustále. Např. existují offline jízdní řády, mapy, navigace – ty všechny vyžadují přístup k internetu, aby si mohly stáhnout aktualizovaná data/mapy, což ale neznamená, že ty aplikace nebudou fungovat, když nemáte aktuálně přístup k internetu.

[SB]

naco teda jako potřebuje čTečka přístup k netu furt viz. vobrázek v příloze

Asi na občasnou aktualizaci seznamu certifikátů:
https://ockodoc.mzcr.cz/napoveda/ctecka/cz/
„Stahování konfigurace – podpisových klíčů (země EU) a validačních pravidel (pouze ČR) ze serveru ÚZIS. Probíhá online jednou za 24 hodin.“

O to tu ale nejde, tohle je zajímavější:
https://ockodoc.mzcr.cz/napoveda/ctecka/cz/podminky-pouzivani/
„Abychom zajistili funkčnost aplikace, pracuje i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) a používá k tomu standardní nástroje (Firebase Crashlytics a Google Analytics) od společnosti Google...“

Opravdu nejsou ti čeští *****i schopni vytvořit státní aplikaci bez asistence vrchního šmíráčka? Takhle to bude vypadat se všemi aplikacemi státní správy?

[Filip Jirsák]

O to tu ale nejde, tohle je zajímavější:
https://ockodoc.mzcr.cz/napoveda/ctecka/cz/podminky-pouzivani/
„Abychom zajistili funkčnost aplikace, pracuje i s údaji o jejím fungování (např. záznamy o pádech aplikace a používání aplikace) a používá k tomu standardní nástroje (Firebase Crashlytics a Google Analytics) od společnosti Google...“

Nejsem si jist, zda tohle vyžaduje přístup k internetu. Je možné, že to údaje předává systémové službě a teprve ta komunikuje po internetu.

Opravdu nejsou ti čeští *****i schopni vytvořit státní aplikaci bez asistence vrchního šmíráčka? Takhle to bude vypadat se všemi aplikacemi státní správy?

Navrhněte alternativu, která bude mít stejné funkce a její implementace a provoz bude stejně levný.

[Santa]

Doporucam preliezt si oficialne repozitare na githube....

https://github.com/eu-digital-green-certificates

Je tam vsetko od popisu schem (struktury), popis vzniku QR kodu aj s podpisom, a nasledne aj sposob ovrovania. Su tam dokonca aj priklady pre android a ios....

[martyd420]

Navrhněte alternativu, která bude mít stejné funkce a její implementace a provoz bude stejně levný.

A co kdyby ta alternativa byla raděj bezpečná a kladla důraz na ochranu citlivých osobních údajů, namísto řazení od nejlevnějšího?

[Filip Jirsák]

A co kdyby ta alternativa byla raděj bezpečná a kladla důraz na ochranu citlivých osobních údajů, namísto řazení od nejlevnějšího?

Můžete zkusit přesvědčit veřejnost, že má u státních projektů preferovat něco jiného, než nejnižší cenu.

A pak, zvolené řešení je bezpečné a klade důraz na ochranu citlivých osobních údajů. Takže tam není potřeba hledat alternativu.

[MalyTomi]

Takže k čemu máte na ústěch tu věc?  

Ak myslis "TO", tak preto, lebo odkedy je Home Office, tak si nemusim umyvat zuby a holit sa. ked musim ist medzi ludi, tak si "TO" len nasadim a nestracam zbytocne cas.