fbpx
Kategorie
Administracja publiczna Android Epidemia iOS

Zaszczepieni czyli kolejna rządowa apka mobilna i kolejne kontrowersje

„Zaszczepieni” to bezpłatna aplikacja, która umożliwia potwierdzenie, że ktoś jest zaszczepiony przeciw COVID-19. Została wydana na obie platformy mobilne przez Ministerstwo Zdrowia i Centrum e-Zdrowia. Strona internetowa opisuje procedurę jej użycia, ale nie odpowiada na ważkie pytania: po co komu taka aplikacja? W jakich życiowych sytuacjach jej użycie będzie przydatne, w jakich pożądane a w jakich konieczne? Co z ryzykiem podziału społeczeństwa na część uprzywilejowaną (po szczepieniu) i dyskryminowaną (pozostali)?

W niniejszym tekście przyjrzymy się, jak wygląda aplikacja, potem poznamy zasady jej działania. Odkryjemy wówczas, że domniemana anonimizacja danych osobowych (inicjał nazwiska, brak roku urodzenia) jest niewiele warta – w QR-kodzie mamy numer szczepienia, jednoznacznie powiązany z konkretną osobą.

Skąd taka niespodzianka? Ano, wielotygodniowy ping-pong dotyczący zasad prywatności aplikacji ProteGO Safe (vel STOP Covid) niczego nie nauczył strony rządowej. W poniedziałek minister rzuca w eter szczątkowe informacje o planach dotyczących jakiejś nienazwanej aplikacji, dziennikarze próbują cokolwiek zrozumieć i dopasować opis do jednej z istniejących apek, nikt nie ma dość danych by ocenić rzeczywiste skutki społeczne takiego pomysłu, w czwartek apka ląduje w sklepie, koniec pieśni. Przywołajmy korpomądrość „kto sieje ASAP-y, ten zbiera fuckupy”, czas na analizę rozwiązania.

Ten tekst nie jest już aktualny

Ten tekst opisuje krajowe potwierdzenia szczepień z QR-kodami, które były w użyciu od stycznia do czerwca 2021. Od lipca 2021 wprowadzono ogólnoeuropejskie Unijne Certyfikaty Covidowe, artykuł o nich jest tutaj. Aplikacja „Zaszczepieni” nazywa się obecnie „UCC”.

Inne teksty związane z epidemią koronawirusa

[13.03.2020] o projekcie „Stop the pandemic” i tym, że jego autorzy prosili o znacznie więcej danych niż powinni
[20.03.2020] w którym zaglądam do środka aplikacji „Kwarantanna Domowa” i opisuję, co znalazłem w środku
[29.03.2020] w którym opisuję dlaczego smartfony nie bardzo nadają się do śledzenia interakcji między ludźmi
[03.04.2020] w którym piszę o zapowiadanej przez Ministerstwo Cyfryzacji apce „ProteGO” i o tym, że nie zadziała ona zgodnie z oczekiwaniami
[21.04.2020] w którym piszę o protokole Contact Tracing autorstwa Apple+Google i projekcie OpenTrace
[26.04.2020] w którym opowiadam, jak można sprawdzić, co robi aplikacja mobilna i dlaczego otwarte źródła to nie wszystko
[29.04.2020] w którym mając umowę szacuję koszty napisania od zera aplikacji Kwarantanna Domowa
[09.05.2020] w którym pokazuję, jak sprawdzić zawartość komunikatów wysyłanych w eter przez ProteGO Safe
[04.06.2020] w którym opisuję kontrowersyjną architekturę aplikacji ProteGO Safe 4.1.0-rc.1
[16.07.2020] w którym pokazuję, że aplikacja ProteGO nie działa
[31.08.2020] w którym podaję statystyki ProteGO Safe u progu nowego roku szkolnego
[27.10.2020] w którym podaję statystyki STOP COVID (dawniej ProteGo Safe) przed Wszystkich Świętych
[05.11.2020] w którym opisuję, co będzie, jeśli apka STOP COVID (dawniej ProteGo Safe) stanie się obowiązkowa
[29.01.2021] w którym opisuję, jaką niespodziankę sprawiła aplikacja mobilna „Zaszczepieni”
[18.06.2021] w którym opisuję Unijne Certyfikaty Covidowe i aplikację „UCC – Unijny Certyfikat Covid”

Ten artykuł nie mógłby powstać bez pomocy osób, które zostały zaszczepione – to od nich dostałem zrzuty ekranu i QR-kody. Bardzo dziękuję Arturowi, Łukaszowi i Jarkowi!

Wszystko, co na poniższych ilustracjach jest w kolorze różowym, stanowi anonimizację pierwotnych danych.

Na początku było szczepienie (i kod QR)

Załóżmy, że pan A chce wykazać fakt przyjęcia obu dawek szczepionki. W tym celu:

  1. loguje się do swojego Internetowego Konta Pacjenta (IKP), albo
  2. wyciąga z kieszeni wydruk otrzymany w punkcie szczepień albo
  3. włącza mobilną apkę mObywatel.

W wariancie pierwszym pan A zobaczy taką informację:

Widzimy, że obie dawki szczepienia mojego informatora wpisano do ministerialnego systemu w dniu podania drugiej dawki (numeru 99.557 nie muszę anonimizować, bo to symbol świadczenia medycznego). Micalrg, stąd biorą się krzywe dane, które obserwujesz.

Po kliknięciu przycisku „Wygeneruj kod QR” pojawia się następujące okienko:

W polu „Imię i nazwisko” widać tylko imię/imiona i pierwszą literę nazwiska zaś w polu „Data urodzenia” – dzień i miesiąc, bez podanego roku. Zasymulowałem to na powyższym obrazku.

Po kliknięciu przycisku „Pobierz PDF” pobieramy dokument mający prawdopodobnie taką samą postać, jak wydruk wręczany chętnym w punkcie szczepień:

W aplikacji mObywatel nie ma jeszcze możliwości prezentacji kodu QR z potwierdzeniem szczepienia, funkcja taka ma się pojawić niebawem.

Jeśli kogoś zaciekawiły QR-kody i chciałby wiedzieć, jak w czarno-białym obrazku złożonym z zestawu kwadracików koduje się informacje, zapraszam do lektury tego artykułu. To najbardziej obszerny i kompletny opis QR-kodów dostępny po polsku.

Aplikacja mobilna

Zostawmy na razie rozważania, komu i po co pan A chce udowodnić fakt zaszczepienia. Przyjmijmy, że druga osoba dysponuje smartfonem z aplikacją „Zaszczepieni”, którą widzimy poniżej. Interfejs jest przaśny, by nie rzec – brzydki, ale nie o wygląd tu chodzi.

Zeskanowanie kodu, który nie zawiera informacji o szczepieniu wygląda tak:

Jeśli druga osoba zeskanuje kod QR pana A pochodzący z IKP, efekt będzie następujący:

Ponownie – poznajemy jedynie pierwszą literę nazwiska, zaś w dacie urodzenia nie ma roku.

Jak to działa?

Aplikacja „Zaszczepieni” nie wymaga połączenia z internetem, więc cała magia musi bazować na zawartości QR-kodu. Przyjrzyjmy się treści zakodowanej w obrazku:

Widzimy, że przekaz jest typu tekstowego i składa się z bardzo długiego napisu, którego zakończenie sugeruje kodowanie Base64 (jeśli chcesz wiedzieć więcej o Base64, oto dłuższy tekst na ten temat).

Nie pasuje nam tylko jedynka ze średnikiem na początku, ale gdy zajrzymy do napisów obecnych w aplikacji, odnajdziemy tam tekst „Twoja aplikacja prawdopodobnie wymaga aktualizacji, lub kod QR jest niepoprawny“. To każe sądzić, że aplikacja potrafi rozpoznać przyszłe wersje protokołu wymiany danych – wówczas na początku znajdziemy dwójkę, trójkę itd.

Gdy usuniemy pierwsze dwa znaki, pozostały napis da się rozkodować algorytmem Base64, lecz w treści zobaczymy losową kaszę. Czas ponownie zajrzeć do aplikacji – we wnętrzu paczki APK odnajdujemy plik publiczny_klucz_podpisu.pub o następującej zawartości.

Plain Text
publiczny_klucz_podpisu.pub

Nie musimy szukać dalej – wiemy już, że w użyciu jest kryptografia klucza publicznego (kryptografia asymetryczna). Nie wchodząc w szczegóły – to ta sama matematyka która sprawia, że przeglądarka internetowa potrafi komunikować się z serwerami banku w sposób poufny i bezpieczny. Masz z nią – nieświadomie – do czynienia zawsze wtedy, gdy korzystasz ze strony serwowanej przez protokół HTTPS.

W kryptografii klucza publicznego występują dwa klucze (czyli hasła, „klucz” to w kryptografii liczba lub napis, nie coś fizycznego). Jeden klucz nazywamy prywatnym i trzymamy w ścisłej tajemnicy. Drugi klucz nazywamy publicznym i może się z nim zapoznać każdy – dlatego właśnie ramka powyżej nie zdradza żadnych tajemnic, jest to klucz publiczny. Oba klucze są ze sobą związane, jednak – mimo znajomości klucza publicznego – nie mamy żadnego sposobu, by odtworzyć „pasujący” do niego klucz prywatny. To gwarantuje, że nikt nie spreparuje QR-kodu z wymyśloną przez siebie zawartością.

Spójrzmy na następujący obrazek:

grafika modyfikowana, pierwotny autor Tomasz „odder” Kozlowski
licencja CC BY-SA 2.5

Przepływ danych wygląda tak:

  1. Ministerstwo Zdrowia wie, że pan A jest zaszczepiony. Informacja ta zostaje przygotowana i zaszyfrowana (czerwonym) kluczem prywatnym, po zaszyfrowaniu wygląda jak jakiś losowy zestaw znaków.
  2. Ten losowy zestaw znaków ministerstwo umieszcza w QR-kodzie i przekazuje panu A na stronach IKP albo na wydruku.
  3. Pan A pokazuje swój QR-kod panu B, który skanuje go aplikacją „Zaszczepieni”
  4. Aplikacja odszyfrowuje zawartość QR-kodu (zielonym) kluczem publicznym obecnym w aplikacji, tym samym odczytuje dane przygotowane w kroku 1 przez Ministerstwo. Dane trafiają na ekran telefonu.

Gdy odszyfrowanie kluczem publicznym powiedzie się, mamy gwarancję, że to posiadacz klucza prywatnego dokonał szyfrowania. W naszym przypadku jest to Ministerstwo Zdrowia.

Sam klucz ma format X.509, w użyciu jest szyfr RSA/ECB/PKCS1Padding a znajomość jednego i drugiego wystarcza, by samemu odkodować treść QR-kodu.

Jakie dane można odszyfrować z QR-kodu?

Zawartość kodu po odszyfrowaniu wygląda mniej więcej tak, jak tu:

Plain Text

Co oznaczają kolejne pola oddzielone średnikami? Na pierwszy rzut oka widać, że pozycje od 3 do 7 to data szczepienia drugą dawką, imię/imiona, pierwsza litera nazwiska, dzień i miesiąc urodzenia, data ważności QR-kodu.

Aby poznać znaczenie pozostałych pól, można zajrzeć do kodu aplikacji albo do… dokumentacji interfejsu „usługi COVID-19: poświadczenie zaszczepienia QR”.

Dowiadujemy się tam, że nieznane pola to:

  • szczepienieId – identyfikator szczepienia (identyfikator zasobu Immunization)
  • wersjaZasobu – wersja zasobu szczepienia (Immunization), obecnie jedynka
  • danaTechniczna – oznaczenie szczepionki, widziałem wartości 10 i 65

To właśnie jest powodem, dla którego anonimizowałem wszystkie powyższe obrazki. W systemach Ministerstwa Zdrowia identyfikator szczepienia jest powiązany jednoznacznie z konkretnym człowiekiem. Owszem, aplikacja „Zaszczepieni” nie pokazuje tego identyfikatora, ale on tam nadal jest!

Przeszukałem strony internetowe, notki prasowe, regulamin aplikacji (kopia regulaminu powinna być tutaj, ale jej nie ma) i politykę prywatności – wszystko, do czego tylko potrafiłem się dogrzebać. NIGDZIE nie znalazłem powyższej informacji.

Brakuje choć jednej wzmianki, że QR-kod zawiera dane jednoznacznie identyfikujące zaszczepionego. Niekompletna data urodzenia i inicjał nazwiska na ekranie i wydruku PDF pozostawiają mylne wrażenie, że QR-kod zawiera dane w większości zanonimizowane.

poprawiłem dla was informację o zakresie udostępnianych danych

Przecież to nie jest wielka sprawa

Kogo to tak naprawdę obchodzi? Przecież mało kto ma dostęp do danych ministerialnych a szczepionka to żaden wstyd.

A jednak, kurde, kogoś obchodzi. Czy nikogo po stronie administracji niczego nie nauczyła gównoburza z ProteGO Safe i pomysłami na rejestrację apki numerem telefonu, na odgórne nadawanie użytkownikom identyfikatorów przez centralny serwer, potem na wpuszczanie do sklepów ponad limit posiadaczy apki, na drukowanie afiszy z QR-kodami śledzącymi i tak dalej?

Jeszcze niekompetencja czy już intryga? Z każdym takim przypadkiem społeczeństwo nabiera przekonania, że rząd nie jest partnerem lecz adwersarzem zaś cyfryzacja to nie szansa a zagrożenie.

Zerknijmy na cytat z WWW: „Aplikacja mobilna „Zaszczepieni” umożliwia potwierdzenie, że ktoś, kto pokazuje nam kod QR, jest rzeczywiście zaszczepiony. Aplikacja sprawdza ważność i poprawność kodu QR osoby zaszczepionej. Pokazuje też podstawowe dane o jego właścicielu, w tym imiona, pierwszą literę nazwiska oraz dzień i miesiąc urodzin. Dzięki temu można sprawdzić, że jest to kod osoby, która go okazuje. Osoba, która pokazuje do skanowania kod QR, wyraża zgodę na przetwarzanie danych osobowych zawartych w kodzie.

Ważność i poprawność kodu. Imiona, jedna litera nazwiska, dzień i miesiąc urodzenia. Ostatnie zdanie jest już czystą szyderą, bo stawiam dolary przeciw orzechom, że o rzeczywistej zawartości kodu dowiadujesz się z niniejszego artykułu.

No dobra, ale do czego mamy używać aplikacji „Zaszczepieni”?

Jeśli fakt bycia zaszczepionym będzie dawał jakieś przywileje, to równość obywateli wobec prawa trochę się spruje. Chętnych jest wielu, szczepionek mało, poza tym decyzja o przyjęciu szczepionki (i powiązanych z nią przywilejów) nie zawsze należy do obywatela – niektórzy z przyczyn zdrowotnych nigdy nie zostaną zaszczepieni. Czy ci ostatni nigdy już nie wsiądą do samolotu? Nie wejdą do kina? A do sklepu wybiorą się tylko w godzinach dla zadżumionych?

Nadal nie mamy odpowiedzi na pytanie – PO CO KOMU TA APLIKACJA?

Tydzień temu przedstawiciel rządu zapewniał, że nie będzie dodatkowych przywilejów dla osób zaszczepionych: „Wprowadziliśmy w Narodowym Programie Szczepień status osoby zaszczepionej. Wynika to ze zdrowego rozsądku. Jeżeli dziś, wracając do Polski z zagranicy mamy obowiązek trafienia na kwarantannę, to w momencie kiedy mamy pewność, że nie jesteśmy chorzy to jaki sens miałoby przebywanie na kwarantannie?. – pytał i wskazał, że w statusie osoby zaszczepionej wprowadzono rozwiązanie zwolnienia z obowiązku kwarantanny po kontakcie z osobą chorą, bądź po powrocie z zagranicy

Minął tydzień i co? Zwrot przez rufę, pobierz darmową aplikację „Zaszczepieni”!

Oto, co wydawca aplikacji pisze o niej w komentarzach w sklepie Play:

Aplikacja dedykowana przede wszystkim dla szpitali czy przychodni. Ale samemu też można np. upewnić się, że osoba, która przychodzi do Ciebie na domówkę jest zaszczepiona i nie podlega limitom 😉

„Dziękujemy za sugestię zmiany. Jednak nie chcemy wykorzystania apki ograniczyć do służb mundurowych. Aplikacja skuteczna jest przede wszystkim w szpitalach czy przychodniach. Dzięki niej znacznie skrócić można czas oczekiwania na „wejście” do szpitala na zabieg osoby zaszczepionej.”

Przywykliśmy już, że konferencje prasowe premiera stanowią podczas pandemii główne źródło prawa. Czy od dziś powinniśmy podporządkować się także rozporządzeniom wydawcy rządowej aplikacji, opublikowanym w komentarzach sklepach Google i Apple?

Z tym pytaniem was zostawiam.


Warto poczytać także: Mediaphilia, Homo digital, ponownie Homo digital, Polityka zdrowotna, Rzeczpospolita, Prywatnik.

Testowano aplikację dla Androida w wersji 1.0.0 (versionCode: 8).

Aha, oczywiście ciąg dalszy nastąpi. Zapytam o koszta produkcji tego cuda, macie jakieś typy?

Inne teksty związane z epidemią koronawirusa

[13.03.2020] o projekcie „Stop the pandemic” i tym, że jego autorzy prosili o znacznie więcej danych niż powinni
[20.03.2020] w którym zaglądam do środka aplikacji „Kwarantanna Domowa” i opisuję, co znalazłem w środku
[29.03.2020] w którym opisuję dlaczego smartfony nie bardzo nadają się do śledzenia interakcji między ludźmi
[03.04.2020] w którym piszę o zapowiadanej przez Ministerstwo Cyfryzacji apce „ProteGO” i o tym, że nie zadziała ona zgodnie z oczekiwaniami
[21.04.2020] w którym piszę o protokole Contact Tracing autorstwa Apple+Google i projekcie OpenTrace
[26.04.2020] w którym opowiadam, jak można sprawdzić, co robi aplikacja mobilna i dlaczego otwarte źródła to nie wszystko
[29.04.2020] w którym mając umowę szacuję koszty napisania od zera aplikacji Kwarantanna Domowa
[09.05.2020] w którym pokazuję, jak sprawdzić zawartość komunikatów wysyłanych w eter przez ProteGO Safe
[04.06.2020] w którym opisuję kontrowersyjną architekturę aplikacji ProteGO Safe 4.1.0-rc.1
[16.07.2020] w którym pokazuję, że aplikacja ProteGO nie działa
[31.08.2020] w którym podaję statystyki ProteGO Safe u progu nowego roku szkolnego
[27.10.2020] w którym podaję statystyki STOP COVID (dawniej ProteGo Safe) przed Wszystkich Świętych
[05.11.2020] w którym opisuję, co będzie, jeśli apka STOP COVID (dawniej ProteGo Safe) stanie się obowiązkowa
[29.01.2021] w którym opisuję, jaką niespodziankę sprawiła aplikacja mobilna „Zaszczepieni”
[18.06.2021] w którym opisuję Unijne Certyfikaty Covidowe i aplikację „UCC – Unijny Certyfikat Covid”



O autorze: zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing.

40 odpowiedzi na “Zaszczepieni czyli kolejna rządowa apka mobilna i kolejne kontrowersje”

Tekst trochę o niczym. Nie mam zamiaru się szczepić i tym bardziej pobierać jakąś gównoapkę. Nie znam też nikogo kto chce się zaszczepić.

Drogi autorze – pisz krótsze bzdury. Zdecydowanie wolę „lżejsze” tematy, ale bardziej różnorodne. Ciekawych spraw jest cała masa i nie trzeba w kółko wałkować idiotycznych pomysłów naszej żałosnej administracji państwowej.

Widziałem/słuchałem twojego wywiadu na z3s i wydajesz się ogarniętym ziomkiem. Dlatego trudno zrozumieć, że dalej (do znudzenia) brniesz w covidowe tematy. Jeśli się klikają to OK, a jeśli nie to czemu o tym piszesz? Wypalenie blogerskie?

Nie masz zamiaru się szczepić, tak samo nie miałeś obowiązku czytać tego tekstu. Mi tam podoba się informacja o tym, na co władze marnują nasze pieniądze i co jeszcze oprócz tej kasy można stracić/udostępnić.

A mim zdaniem tekst całkowicie trafiony. Ja osobiście byłem ciekaw co tym razem kryje rządowa produkcja, a nie mam chęci na rewersowanie apki, nie jestem też osobą aktywna w social mediach i nikt raczej nie udostępni mi swojego kodu. Tomek ma łeb na karku i zna się na tym, o czym pisze, dowodem na to jest choćby zaufanie, którym obdarzają go czytelnicy.

Drogi „Komentatorze” szanuj zdanie autora bo któregoś dnia nic tu mozesz nie znaleźć. Jeśli chcesz dyskutować to próbuj merytorycznie bo niestety ale po przeczytaniu twojego komentarza przyszło mi do głowy, że reprezentujesz któraś z trolowni, która postawiła sobie za cel uciszenie Tomka (choć mam cichą nadzieję, że to tylko moja chora wyobraznia).
Jeśli zaś możesz przedstawić listę ciekawszych tematów to się nie krępuj, przedstaw taka listę. Być może Tomek coś wybierze i będzie wszyscy będą zadowoleni.

to dobrych masz znajomych jak nikt nie chce sie zaszczepic 🙂
Obecnie 70% osób deklaruje chec zaszczepienia ale ty znasz tylko te 30% nice.
i radze nie tykac takich mądrych stron jak ta bo to nie dla szurów…
To my informatycy wprowadzamy 5G i dotyczy nas najbardziej

A ja nie mam zamiaru się „szczepić” i właśnie DLATEGO doceniam tego typu artykuł. Wygląda na to,że mamy mocno przesrane no chyba,że klucz im wycieknie… Jak widać bowiem „paszport cow-id” jest zrobiony profesjonalnie.

A co do tego,że dane ludzi na centralnym serwerze – przecież właśnie O TO w tej zabawie chodzi moi państwo. Implementacja u nas Chińskiego „systemu oceny społecznej” przez totalitarystów. No i kolejna „teoria spiskowa” się nam sprawdza… Niedobrze.

Ja tylko chciałem powiedzieć że nie podoba mi się hejterski komentarz pana XD a sam artykuł jest świetny. Pozdrawiam serdecznie.

Brawo, brawo, brawo!
Doskonała analiza pokazująca:
– od strony technicznej, że nie podrobimy QRCode;
– od strony praw i wolności, że może trzeba będzie stanąć w obronie niezaszczepionych – nawet pana XD;

A tak na marginesie – to chyba trzeba będzie wyszukiwać podatności w apce, tak aby odczytanie spreparowanego kodu QR crackowało ją i pokazywało ekran „uprzywilejowanej kasty”.

U początków ProteGO Safe był pomysł, żeby pyknięciem QR-kodu na drzwiach sklepu odnotowywać, kto gdzie kiedy był a więc i z kim się zetknął. Pomysł zmiażdżony społeczną krytyką, nigdy nie wszedł w fazę realizacji.

Tekst całkiem o czymś, bo nadal jest wiele osób, które uważają, że „jeśli to zrobił rząd, to na pewno jest prawidłowe”, zaś sytuacja epidemiczna w ogóle nie skłania do rozwagi.
Można się szczepić, można się nie szczepić, można instalować lub nie — wiedzieć (więcej) warto zawsze.

Tomasz, jeśli chodzi o przydatność tej apki widzę jeden plus. Wszędzie gdzie robią ci test na covid obowiązkowo (np szpital) będą mogli dzięki tej aplikacji pominąć ten krok, oszczędność czasu, pieniędzy i nieprzyjemnej procedury dla badanego

Ale po co to sprawdzać w niepewnym źródle, jaki jest nośnik dostarczony przez obywatela. Jak można to też sprawdzić w systemie centralnym NFZ. W końcu te wszystkie IKP pobierają dane, szpitale tam wprowadzają dane. To czemu z nich nie mają też pobierać danych?

Nie do końca rozumiem aferę. Tak samo pokazujemy dowód osobisty, który ma numer jednoznacznie przypisany do konkretnej osoby, olaboga! I nawet więcej ludzi może to powiązać z naszymi danymi, bo znacznie więcej zbiorów posiada takie powiązanie, chociażby banki.

Ale to nie koniec. Kiedy wyjdziemy na ulicę zobaczymy wszędzie dookoła numery, które wskazują na konkretną osobę. Tablice rejestracyjne! Jednoznaczne powiązanie! Nigdzie nie ukryte! TRAGEDIA!

Głupcze. Dowód osobisty pojazujesz każdemu na ulicy? Jesteś z pokolenia owiec oglądających trudne sprawy i rechoczacym przy tym rubasznym śmiechem z zubrem w reku

Jeden blad w artykule.
Kluczem publicznym nie mozna niczego odszyfrowac. Mozna jedynie zweryfikowac podpis, ktory zostal zlozony przy pomocy klucza prywatnego. Kluczem publicznym i prywatnym mozna zaszyfrowac wiadomosc czy dane, ale odszyfrowac juz tylko kluczem prywatnym.

Hej! W niektórych algorytmach kryptograficznych, m.in. użytym tu RSA, klucze można stosować zamiennie. Szyfrowanie prywatnym gwarantuje autentyczność danych, oczywiście przy zerowym poziomie poufności, bo każdy może odszyfrować dane kluczem publicznym.

Dziękuję za tę analizę! Warto także zwrócić uwagę na fakt, że jest pewnie niemały odsetek społeczeństwa, który nie posiada smartfona lub nie chce posiadać lub posiada ale umie tylko dzwonić i pisać smsy.

O ile większość artykułu jest ciekawa, przydatna i merytoryczna, to z ostatnim rozdziałem nie mogę się zgodzić. Wprowadzenie dowodów szczepienia rodzi konieczność stworzenia narzędzia do ich weryfikacji. Czy chcielibyśmy, żeby dostęp do niego miały tylko wybrane instytucje? To dopiero byłaby dyskryminacja.
Funkcjonowanie wielu firm, np. linii lotniczych, wręcz uzależnionych jest od wprowadzenia takiego narzędzia i udostępnienia usług osobom zaszczepionym lub z negatywnym wynikiem testu.
Nie rozumiem więc pytania „po co komu taka aplikacja”. Czy autor artykułu oczekuje, że wydawca aplikacji określi zakres jej stosowania? Aplikacja po to właśnie jest publicznie dostępna, żeby każdy mógł znaleźć własne zastosowanie.
Przy tym oczywiście należy się uważnie przyglądać wprowadzanemu prawu – jeśli rzeczywiście nastąpi jakaś nierówność obywateli, to tam będzie jej źródło. Ale nie doszukiwałbym się jej w prostym narzędziu udostępnionym ogółowi.

No więc ja właśnie uważam, że taki „paszport Covidowy” jest niebezpieczny i potencjalnie szkodliwy. Autorzy podlinkowanych artykułów formułują konkretne zastrzeżenia, warto poczytać.

> rząd nie jest partnerem lecz adwersarzem zaś cyfryzacja to nie szansa a zagrożenie

To niestety prawda.

Cyfryzacja w Polsce jest wprowadzana w najgorszy możliwy sposób. Wszystkie dotychczasowe inwigilacyjne wynalazki (na czele z rejestrem i numerem PESEL, śmierdzącymi reliktami komuny) są po prostu przenoszone do formy cyfrowej i wyposażane w kolejne dane o nas.

Rząd ekscytuje się „ułatwieniami dla obywateli”, ale one (jak np. zniesienie obowiązku noszenia prawa jazdy) powodują zwiększenie inwigilacji, bo policja zyskuje dostęp do coraz większej bazy danych o nas, łącznie z obowiązkowymi zdjęciami biometrycznymi w centralnej bazie.

Poza tym każdy lekarz w Polsce ma bezpośredni dostęp do naszego adresu zameldowania (kto nie wierzy, niech zobaczy jak się wystawia elektroniczne zwolnienie lekarskie).

Nie ufajcie nikomu/czemu co od .gov.* pochodzi.
I wystarczy raz na zawsze zapamiętać to przesłanie.
Jeśli jakiś .gov.* mówi, że chce waszego dobra, to jak najszybciej musicie te dobra przed nim schować/zakopać/ukryć.
I życie stanie się prostsze, bo bez naiwnych rozczarowań.

Tak, żeby aplikacja pokazała na zielono dane które sobie wymyśliłeś? Nie da się, nie masz klucza prywatnego używanego do zaszyfrowania danych. Klucz publiczny obecny w aplikacji pozwala tylko na ich odszyfrowanie.

A użycie własnej pary klucza prywatnego i publicznego oraz podmienienie publicznego w aplikacji?

No bardzo łatwe, ale co z tego? Twoje QR-kody się zweryfikują tylko na twoim urządzeniu ze zmodyfikowaną aplikacją.

A sprawdzał ktoś, że nigdzie w IKP się ten klucz prywatny nie pałęta? Nie powinien ale nie ma pewności że nie widać jak się generuje ten kod QR. No i myślę, że jednak imię, jedna litera nazwiska i data urodzenia bez roku pozwala na nadużycia – cóż z tego, że to nie Twój kod skoro masz to samo imię i trafisz z datą urodzin. Jeszcze urodziny to w przychodni zweryfikują ale na wspomnianej domówce niekoniecznie. Już prawie 3 mln osób w Polsce jest po dwóch dawkach szczepienia, a więc sporo możliwości. Oczywiście w żadnym stopnie nie namawiam do nadużyć i chciałam tylko wytknąć podatność.

W jakiej technologii jest napisana aplikacja? I czy jest to natywna aplikacja na każdą platformę czy np. Xamarin? Bo screeny w sklepach Androida i iOS wyglądają tak samo?

Aplikacja dostępna wyłącznie dla osób zarejestrowanych w polskich sklepach Apple i Google. Np, w Apple UK jest niedostępna. Co za chore ograniczenie wąskomyślących ciuli w rządzie.

Aplikacja dostępna wyłącznie dla osób zarejestrowanych w polskich sklepach Apple i Google. Np, w Apple UK jest niedostępna. Co za chore ograniczenie wąskomyślących c***iw rządzie.

Aplikacja jest kompletnie do niczego w przypadku weryfikacji słynnych uczestników imprezy poza limitem. Nie pokazuje ile kodów zostało poprawnie zweryfikowanych. Czyli w zasadzie jest bezużyteczna dla organizatorów.

Na górze artykułu pojawiła się adnotacja o nieaktualności tekstu:
„były w użyciu od stycznia do czerwca 2021”.
Skąd ta informacja? Mnie to wygląda, jakby rząd wycofał się rakiem, z honorowania tych potwierdzeń QR. Nie szukałem jakoś dokładnie, ale jedyne miejsce, gdzie znalazłem oficjalną informację o nieaktualności tych starych potwierdzeń QR, to strona dla polaków w Chinach:
https://www.gov.pl/web/chiny/unijny-certyfikat-covid–najwazniejsze-informacje
„Do końca czerwca 2021 roku dotychczasowe rozwiązanie krajowe zostanie w pełni zastąpione przez UCC. Dotychczasowe poświadczenia zachowują ważność na okres w nich wskazany.”

Proszę zwrócić uwagę na drugie zdanie, bo pisałem w tej sprawie do Centrum e-Zdrowia. Stamtąd otrzymałem informację, że „były honorowane”, ale „zostały zastąpione Unijnymi Certyfikatami COVID (UCC)”, a dalej:
„potwierdzenia w postaci kodu QR wydawanego przed 1 czerwca nie są możliwe do odczytania za pomocą aplikacji (ponieważ została ona zaktualizowana i teraz odczytuje UCC) – bez weryfikacji nie da się ich honorować.”

Nie weryfikowałem, czy rzeczywiście aplikacja nie odczytuje już starych kodów, bo jej nie potrzebuję, ale to nie powinno się wydarzyć. Stare kody otrzymywały głównie starsze osoby, bo wcześniej się szczepiły, teraz mogą się mocno zdziwić, jak gdzieś nie będą mogli być zweryfikowani i wpuszczeni. Przypominam, że te kody miały być ważne rok.

przywilejów ? Przepraszam ale co to za nowomowa ? Chyba raczej siłowe zabieranie praw nabytych z urodzeniem na terytorium RP.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *