Zaszczepieni czyli kolejna rządowa apka mobilna i kolejne kontrowersje

„Zaszczepieni” to bezpłatna aplikacja, która umożliwia potwierdzenie, że ktoś jest zaszczepiony przeciw COVID-19. Została wydana na obie platformy mobilne przez Ministerstwo Zdrowia i Centrum e-Zdrowia. Strona internetowa opisuje procedurę jej użycia, ale nie odpowiada na ważkie pytania: po co komu taka aplikacja? W jakich życiowych sytuacjach jej użycie będzie przydatne, w jakich pożądane a w jakich konieczne? Co z ryzykiem podziału społeczeństwa na część uprzywilejowaną (po szczepieniu) i dyskryminowaną (pozostali)?

W niniejszym tekście przyjrzymy się, jak wygląda aplikacja, potem poznamy zasady jej działania. Odkryjemy wówczas, że domniemana anonimizacja danych osobowych (inicjał nazwiska, brak roku urodzenia) jest niewiele warta – w QR-kodzie mamy numer szczepienia, jednoznacznie powiązany z konkretną osobą.

Skąd taka niespodzianka? Ano, wielotygodniowy ping-pong dotyczący zasad prywatności aplikacji ProteGO Safe (vel STOP Covid) niczego nie nauczył strony rządowej. W poniedziałek minister rzuca w eter szczątkowe informacje o planach dotyczących jakiejś nienazwanej aplikacji, dziennikarze próbują cokolwiek zrozumieć i dopasować opis do jednej z istniejących apek, nikt nie ma dość danych by ocenić rzeczywiste skutki społeczne takiego pomysłu, w czwartek apka ląduje w sklepie, koniec pieśni. Przywołajmy korpomądrość „kto sieje ASAP-y, ten zbiera fuckupy”, czas na analizę rozwiązania.

Ten artykuł nie mógłby powstać bez pomocy osób, które zostały zaszczepione – to od nich dostałem zrzuty ekranu i QR-kody. Bardzo dziękuję Arturowi, Łukaszowi i Jarkowi!

Wszystko, co na poniższych ilustracjach jest w kolorze różowym, stanowi anonimizację pierwotnych danych.

Na początku było szczepienie (i kod QR)

Załóżmy, że pan A chce wykazać fakt przyjęcia obu dawek szczepionki. W tym celu:

1. loguje się do swojego Internetowego Konta Pacjenta (IKP), albo
2. wyciąga z kieszeni wydruk otrzymany w punkcie szczepień albo
3. włącza mobilną apkę mObywatel.

W wariancie pierwszym pan A zobaczy taką informację:

Widzimy, że obie dawki szczepienia mojego informatora wpisano do ministerialnego systemu w dniu podania drugiej dawki (numeru 99.557 nie muszę anonimizować, bo to symbol świadczenia medycznego). Micalrg, stąd biorą się krzywe dane, które obserwujesz.

Po kliknięciu przycisku „Wygeneruj kod QR” pojawia się następujące okienko:

W polu „Imię i nazwisko” widać tylko imię/imiona i pierwszą literę nazwiska zaś w polu „Data urodzenia” – dzień i miesiąc, bez podanego roku. Zasymulowałem to na powyższym obrazku.

Po kliknięciu przycisku „Pobierz PDF” pobieramy dokument mający prawdopodobnie taką samą postać, jak wydruk wręczany chętnym w punkcie szczepień:

W aplikacji mObywatel nie ma jeszcze możliwości prezentacji kodu QR z potwierdzeniem szczepienia, funkcja taka ma się pojawić niebawem.

Jeśli kogoś zaciekawiły QR-kody i chciałby wiedzieć, jak w czarno-białym obrazku złożonym z zestawu kwadracików koduje się informacje, zapraszam do lektury tego artykułu. To najbardziej obszerny i kompletny opis QR-kodów dostępny po polsku.

Aplikacja mobilna

Zostawmy na razie rozważania, komu i po co pan A chce udowodnić fakt zaszczepienia. Przyjmijmy, że druga osoba dysponuje smartfonem z aplikacją „Zaszczepieni”, którą widzimy poniżej. Interfejs jest przaśny, by nie rzec – brzydki, ale nie o wygląd tu chodzi.

Zeskanowanie kodu, który nie zawiera informacji o szczepieniu wygląda tak:

Jeśli druga osoba zeskanuje kod QR pana A pochodzący z IKP, efekt będzie następujący:

Ponownie – poznajemy jedynie pierwszą literę nazwiska, zaś w dacie urodzenia nie ma roku.

Jak to działa?

Aplikacja „Zaszczepieni” nie wymaga połączenia z internetem, więc cała magia musi bazować na zawartości QR-kodu. Przyjrzyjmy się treści zakodowanej w obrazku:

Widzimy, że przekaz jest typu tekstowego i składa się z bardzo długiego napisu, którego zakończenie sugeruje kodowanie Base64 (jeśli chcesz wiedzieć więcej o Base64, oto dłuższy tekst na ten temat).

Nie pasuje nam tylko jedynka ze średnikiem na początku, ale gdy zajrzymy do napisów obecnych w aplikacji, odnajdziemy tam tekst „Twoja aplikacja prawdopodobnie wymaga aktualizacji, lub kod QR jest niepoprawny“. To każe sądzić, że aplikacja potrafi rozpoznać przyszłe wersje protokołu wymiany danych – wówczas na początku znajdziemy dwójkę, trójkę itd.

Gdy usuniemy pierwsze dwa znaki, pozostały napis da się rozkodować algorytmem Base64, lecz w treści zobaczymy losową kaszę. Czas ponownie zajrzeć do aplikacji – we wnętrzu paczki APK odnajdujemy plik publiczny_klucz_podpisu.pub o następującej zawartości.

Nie musimy szukać dalej – wiemy już, że w użyciu jest kryptografia klucza publicznego (kryptografia asymetryczna). Nie wchodząc w szczegóły – to ta sama matematyka która sprawia, że przeglądarka internetowa potrafi komunikować się z serwerami banku w sposób poufny i bezpieczny. Masz z nią – nieświadomie – do czynienia zawsze wtedy, gdy korzystasz ze strony serwowanej przez protokół HTTPS.

W kryptografii klucza publicznego występują dwa klucze (czyli hasła, „klucz” to w kryptografii liczba lub napis, nie coś fizycznego). Jeden klucz nazywamy prywatnym i trzymamy w ścisłej tajemnicy. Drugi klucz nazywamy publicznym i może się z nim zapoznać każdy – dlatego właśnie ramka powyżej nie zdradza żadnych tajemnic, jest to klucz publiczny. Oba klucze są ze sobą związane, jednak – mimo znajomości klucza publicznego – nie mamy żadnego sposobu, by odtworzyć „pasujący” do niego klucz prywatny. To gwarantuje, że nikt nie spreparuje QR-kodu z wymyśloną przez siebie zawartością.

Spójrzmy na następujący obrazek:

Przepływ danych wygląda tak:

1. Ministerstwo Zdrowia wie, że pan A jest zaszczepiony. Informacja ta zostaje przygotowana i zaszyfrowana (czerwonym) kluczem prywatnym, po zaszyfrowaniu wygląda jak jakiś losowy zestaw znaków.
2. Ten losowy zestaw znaków ministerstwo umieszcza w QR-kodzie i przekazuje panu A na stronach IKP albo na wydruku.
3. Pan A pokazuje swój QR-kod panu B, który skanuje go aplikacją „Zaszczepieni”
4. Aplikacja odszyfrowuje zawartość QR-kodu (zielonym) kluczem publicznym obecnym w aplikacji, tym samym odczytuje dane przygotowane w kroku 1 przez Ministerstwo. Dane trafiają na ekran telefonu.

Gdy odszyfrowanie kluczem publicznym powiedzie się, mamy gwarancję, że to posiadacz klucza prywatnego dokonał szyfrowania. W naszym przypadku jest to Ministerstwo Zdrowia.

Sam klucz ma format X.509, w użyciu jest szyfr RSA/ECB/PKCS1Padding a znajomość jednego i drugiego wystarcza, by samemu odkodować treść QR-kodu.

Jakie dane można odszyfrować z QR-kodu?

Zawartość kodu po odszyfrowaniu wygląda mniej więcej tak, jak tu:

Co oznaczają kolejne pola oddzielone średnikami? Na pierwszy rzut oka widać, że pozycje od 3 do 7 to data szczepienia drugą dawką, imię/imiona, pierwsza litera nazwiska, dzień i miesiąc urodzenia, data ważności QR-kodu.

Aby poznać znaczenie pozostałych pól, można zajrzeć do kodu aplikacji albo do… dokumentacji interfejsu „usługi COVID-19: poświadczenie zaszczepienia QR”.

Dowiadujemy się tam, że nieznane pola to:

• szczepienieId – identyfikator szczepienia (identyfikator zasobu Immunization)
• wersjaZasobu – wersja zasobu szczepienia (Immunization), obecnie jedynka
• danaTechniczna – oznaczenie szczepionki, widziałem wartości 10 i 65

To właśnie jest powodem, dla którego anonimizowałem wszystkie powyższe obrazki. W systemach Ministerstwa Zdrowia identyfikator szczepienia jest powiązany jednoznacznie z konkretnym człowiekiem. Owszem, aplikacja „Zaszczepieni” nie pokazuje tego identyfikatora, ale on tam nadal jest!

Przeszukałem strony internetowe, notki prasowe, regulamin aplikacji (kopia regulaminu powinna być tutaj, ale jej nie ma) i politykę prywatności – wszystko, do czego tylko potrafiłem się dogrzebać. NIGDZIE nie znalazłem powyższej informacji.

Brakuje choć jednej wzmianki, że QR-kod zawiera dane jednoznacznie identyfikujące zaszczepionego. Niekompletna data urodzenia i inicjał nazwiska na ekranie i wydruku PDF pozostawiają mylne wrażenie, że QR-kod zawiera dane w większości zanonimizowane.

Przecież to nie jest wielka sprawa

Kogo to tak naprawdę obchodzi? Przecież mało kto ma dostęp do danych ministerialnych a szczepionka to żaden wstyd.

A jednak, kurde, kogoś obchodzi. Czy nikogo po stronie administracji niczego nie nauczyła gównoburza z ProteGO Safe i pomysłami na rejestrację apki numerem telefonu, na odgórne nadawanie użytkownikom identyfikatorów przez centralny serwer, potem na wpuszczanie do sklepów ponad limit posiadaczy apki, na drukowanie afiszy z QR-kodami śledzącymi i tak dalej?

Jeszcze niekompetencja czy już intryga? Z każdym takim przypadkiem społeczeństwo nabiera przekonania, że rząd nie jest partnerem lecz adwersarzem zaś cyfryzacja to nie szansa a zagrożenie.

Zerknijmy na cytat z WWW: „Aplikacja mobilna „Zaszczepieni” umożliwia potwierdzenie, że ktoś, kto pokazuje nam kod QR, jest rzeczywiście zaszczepiony. Aplikacja sprawdza ważność i poprawność kodu QR osoby zaszczepionej. Pokazuje też podstawowe dane o jego właścicielu, w tym imiona, pierwszą literę nazwiska oraz dzień i miesiąc urodzin. Dzięki temu można sprawdzić, że jest to kod osoby, która go okazuje. Osoba, która pokazuje do skanowania kod QR, wyraża zgodę na przetwarzanie danych osobowych zawartych w kodzie.”

Ważność i poprawność kodu. Imiona, jedna litera nazwiska, dzień i miesiąc urodzenia. Ostatnie zdanie jest już czystą szyderą, bo stawiam dolary przeciw orzechom, że o rzeczywistej zawartości kodu dowiadujesz się z niniejszego artykułu.

No dobra, ale do czego mamy używać aplikacji „Zaszczepieni”?

Jeśli fakt bycia zaszczepionym będzie dawał jakieś przywileje, to równość obywateli wobec prawa trochę się spruje. Chętnych jest wielu, szczepionek mało, poza tym decyzja o przyjęciu szczepionki (i powiązanych z nią przywilejów) nie zawsze należy do obywatela – niektórzy z przyczyn zdrowotnych nigdy nie zostaną zaszczepieni. Czy ci ostatni nigdy już nie wsiądą do samolotu? Nie wejdą do kina? A do sklepu wybiorą się tylko w godzinach dla zadżumionych?

Nadal nie mamy odpowiedzi na pytanie – PO CO KOMU TA APLIKACJA?

Tydzień temu przedstawiciel rządu zapewniał, że nie będzie dodatkowych przywilejów dla osób zaszczepionych: „Wprowadziliśmy w Narodowym Programie Szczepień status osoby zaszczepionej. Wynika to ze zdrowego rozsądku. Jeżeli dziś, wracając do Polski z zagranicy mamy obowiązek trafienia na kwarantannę, to w momencie kiedy mamy pewność, że nie jesteśmy chorzy to jaki sens miałoby przebywanie na kwarantannie?. – pytał i wskazał, że w statusie osoby zaszczepionej wprowadzono rozwiązanie zwolnienia z obowiązku kwarantanny po kontakcie z osobą chorą, bądź po powrocie z zagranicy“

Minął tydzień i co? Zwrot przez rufę, pobierz darmową aplikację „Zaszczepieni”!

Oto, co wydawca aplikacji pisze o niej w komentarzach w sklepie Play:

Aplikacja dedykowana przede wszystkim dla szpitali czy przychodni. Ale samemu też można np. upewnić się, że osoba, która przychodzi do Ciebie na domówkę jest zaszczepiona i nie podlega limitom 😉

„Dziękujemy za sugestię zmiany. Jednak nie chcemy wykorzystania apki ograniczyć do służb mundurowych. Aplikacja skuteczna jest przede wszystkim w szpitalach czy przychodniach. Dzięki niej znacznie skrócić można czas oczekiwania na „wejście” do szpitala na zabieg osoby zaszczepionej.”

Przywykliśmy już, że konferencje prasowe premiera stanowią podczas pandemii główne źródło prawa. Czy od dziś powinniśmy podporządkować się także rozporządzeniom wydawcy rządowej aplikacji, opublikowanym w komentarzach sklepach Google i Apple?

Z tym pytaniem was zostawiam.

---

Warto poczytać także: Mediaphilia, Homo digital, ponownie Homo digital, Polityka zdrowotna, Rzeczpospolita, Prywatnik.

Testowano aplikację dla Androida w wersji 1.0.0 (versionCode: 8).

Aha, oczywiście ciąg dalszy nastąpi. Zapytam o koszta produkcji tego cuda, macie jakieś typy?