Fragen? Antworten! Siehe auch: Alternativlos
Wie ist denn das, wenn mein Vermieter mir einen Heizungsableser oder Handwerker schickt? Kann ich dem dann den Zutritt verweigern, wenn er nicht 3G oder 2G oder 2G+ nachweisen kann?
Geht damit los, dass die App die digitale Signatur gar nicht prüft.
Geht damit weiter, dass es keine Plausibilitätsprüfung gibt. Die Signatur kommt "vom Robert-Koch-Institut" aber wird gar nicht von denen erstellt. Die können daher gar nichts prüfen, selbst wenn sie wollten.
Wollen sie aber offenbar auch nicht, sonst hätten sie ja nicht ihren private key diesem verkackten Portal in die Hand gedrückt, das gerade vom Handelsblatt bloßgestellt wurde.
Vielleicht hat sich der eine oder andere gefragt, wieso die das ganze Portal ausgeschaltet haben, nur wenn ein paar ungültige Zertifikate ausgestellt worden waren. Die Antwort ist so naheliegend wie beunruhigend: Weil sie keine Recovation-Infrastruktur haben. Die können die ungültigen Zertifikate nicht zurückziehen.
Ja gut, prüf ich halt selber, denkt ihr euch jetzt vielleicht. Geht nicht:
Damit bleiben noch zwei Instanzen, die theoretisch etwas prüfen könnten: Die Apotheken bzw. Arztpraxen, die das Zertifikat ausgeben. Oder aber diejenigen, die die digitalen Impfnachweise technisch gesehen erstellen und signieren. Im Falle von Apotheken also das zentrale Portal des Deutschen Apothekerverbands. Die Prüfungsmöglichkeiten wären ohnehin begrenzt, weil Chargennummer und Impfstelle bzw. Impfarzt ja gar nicht erst erfasst werden.Ja gut, haben halt die Deutschen mal wieder verkackt. Wer vergisst denn bitte Revocation? Oder hält es für optional? Die EU, wie sich rausstellt!
Die letzte Fassung der EU-Richtlinien über Impfnachweise bezeichnet den Rückruf von Nachweisen allerdings als „Zusatzfeature“, an dem noch gearbeitet werden müsse.Was du auf morgen verschieben kannst, erledigst du natürlich nicht heute! Jedenfalls nicht als gutbezahlter EU-Sesselfurzer. Du willst ja auch morgen noch aussehen, als würdest du gebraucht! Daher ganz einfach: Nie irgendein Problem fertig lösen. Immer essentielle Teile verschieben.
Aber wartet, geht noch weiter. Der CEO von Ubirch sagt, es gab nie 5 Blockchains.
Hmm, ja wo kam denn die Information her? Ich hatte es vom ehemaligen Nachrichtemagazin. Und wo hatten die das her? Vielleicht von der Webseite von Ubirch, wo am 9. März 2021 stand:
Aus den erfassten Daten wird ein anonymer Fingerabdruck generiert, kryptografisch signiert und von UBIRCH als Nachweis in einer Blockchain der govdigital sowie vier weiteren Blockchains verankert.Jetzt steht da selbstredend was anderes. Soll ja nicht so offensichtlich sein, wie belastbar Aussagen des CEO sind.
Aber gut, was erwartest du von jemandem, der in der Online-Werbeindustrie gearbeitet hat.
https://verification.dev.ubirch.com/v/gd-vcc/#f=Musterfrau;g=Erika;i=Altötting;r=BioNTech %2F Pfizer Corminaty®;b=19640812;d=20210114,20210121;t=vaccination;p=T22000129;s=1p7v3g6whqwWenn wir nochmal kurz gucken, was die dem ehemaligen Nachrichtenmagazin erzählt hatten:
Der QR-Code ist ein anonymer Fingerabdruck, der aus personenbezogenen Daten wie dem Namen sowie den Angaben zum Impfdatum und dem verwendeten Impfstoff generiert wird. Er wird kryptografisch signiert und in insgesamt fünf Blockchains hinterlegt.Inzwischen haben sie das wie folgt korrigiert:
Der QR-Code setzt sich zusammen aus personenbezogenen Daten wie dem Namen, den Angaben zum Impfdatum, dem verwendeten Impfstoff sowie einer Zufallszahl. Aus diesen Daten wird ein nach Angaben von Ubirch anonymer Fingerabdruck generiert, der nicht erratbar ist. Er wird kryptografisch signiert und – aus Gründen der Redundanz – in insgesamt fünf Blockchains hinterlegt.Ich vermute mal, dass sie beim Copy+Paste danebengeklickt haben. Journalismus ist schwierig, let's go shopping.
Jedenfalls beinhaltet diese URL offensichtlich persönliche Daten und ist daher kein anonymer Fingerabdruck.
Auf der anderen Seite sagt Ubirch an anderer Stelle, das sei ein Sicherheitsmerkmal ihrer Architektur, dass der Geimpfte selbst entscheidet, wem er den QR-Code zeigt. Das würde man nicht sagen, wenn der QR-Code tatsächlich anonym wäre.
Was mich jetzt an dieser URL noch stört: Ich sehe da keine Signatur. Ihr? Das ist doch völlig absurd, einen QR-Code mit unsignierten Daten zu verbreiten, oder übersehe ich da was?
Immerhin, als Kontext: Wenn man sein Impfbuch vorzeigt, steht da auch der Name dran.
So ist dieser QR-Code jedenfalls erstmal wertlos.
Mal aus Sicht eines Technikers: Es gibt hier zwei Probleme. Erstens willst du etwas haben, das du vorzeigst, und dann weiß die Gegenseite, dass du reisen darfst. Das sieht aus wie ein herkömmliches Authentisierungsproblem, aber ist es streng genommen nicht, denn bei herkömmlicher Authentisierung hat der Accountinhaber ein Interesse daran, seine Berechtigung nicht weiterzugeben. Hier musst du geradezu davon ausgehen, dass die Leute ihren negativen Impfbescheid an die Familie weitergeben oder auf Ebay verhökern.
Zweitens: Du willst möglichst wenige persönliche Daten auf dem Token haben.
Beide Probleme sind an sich gelöst. Du könntest ein signiertes Token rausgeben, die Signatur könnte von jedem offline geprüft werden, und fertig wäre die Laube. Aber das wäre dann halt weitergebbar.
Oder du könntest ein Token machen, wo der Name dransteht. Dann muss beim Prüfen auch der Name geprüft werden. Das ist ein ungelöstes Problem. Klar, man kann sich den Personalausweis zeigen lassen, aber damit verletzt man ja die 2. Anforderung, möglichst wenig Daten herauszugeben.
Ich sehe daher keinen Weg, wie man beide Anforderungen gleichzeitig erfüllen kann. Jedenfalls nicht, solange das Vorzeigen können eines Impfnachweises geldwerte Vorteile verschafft, wie z.B. dass man reisen darf oder ins Theater oder ins Restaurant oder was da gerade alles diskutiert wird.
Ich würde daher hier gerne noch ein anderes Fass aufmachen: Wenn ich eh meinen Namen verraten muss, damit die Gegenseite den digitalen Impfnachweis prüfen kann, wieso machen wir dann überhaupt das ganze Digital-Voodoozeugs hier? Wieso machen wir dann nicht einfach wie bisher ein analoges Impfbuch? Oder halt einen Zettel, wo der Name draufsteht, und eine Unterschrift vom Amt?
Update: Einige Leser haben mal nach der Signatur gesucht und den "s=1p7v3g6whqw"-Parameter gefunden. Den hatte ich direkt verworfen, weil der für eine Signatur viel zu kurz ist. Eine Signatur wäre sowas wie 2048 Bit lang, in Base64 (wie hier das s) wären das über 300 Zeichen. Aber es stellt sich raus: Wenn du den s-Wert änderst, dann "validiert" der das nicht mehr. Es könnte also sein, dass die das tatsächlich meinten, als sie von Signatur sprachen. Das wäre echt bemerkenswert schlecht. Selbst für jemanden, der Iota und Ethereum einsetzt.
Gute Wahl. IBM hat langjährige Erfahrung damit, der deutschen Regierung die internen Abläufe mit Hollerith-, äh, ich meine, Blockchain-Technologie zu optimieren!!1!
Außerdem, wenn es eine Firma gibt, bei der man nichts, äh, ich meine nur Gutes von deren IT-Projekten hört, dann ist es ja wohl IBM!
Da wächst zusammen, was zusammengehört. Eine Regierung, die technologisch aus den 1980ern ist, kauft bei einem Zulieferer, dessen letzte Erfolge in den 1980ern liegen. Damals hieß es unter Einkäufern: Niemand ist jemals gefeuert worden, weil er IBM gekauft hat.
Ich hoffe, dass das diesmal anders läuft. Viel Hoffnung habe ich aber nicht. Dafür müssten Spahn und Scheuer ja öffentlich zugeben, dass der Auffahrunfall hinter ihnen, den alle klar sehen können, tatsächlich existiert. Wahrscheinlicher ist, dass die wieder Gaslighting betreiben, das alles ok ist, und was es an kleineren Problemchen gibt halt nicht vermeidbar gewesen wäre.
Update: Während bei der Tagesschau steht, das eine beteiligte Unternehmen sei auf "Datensicherheit mithilfe der Blockchain-Technologie spezialisiert", klingt das beim ehemaligen Nachrichtenmagazin so:
Der Kölner Anbieter Ubirch setzt auf QR-Codes und Blockchain-Verifizierung. Mit an Bord: IT-Riese IBM.
Alter Falter, und ich mach noch Blockchain-Witzchen! Auf der anderen Seite: Was sonst wäre von einer Kompetenzkanone wie Spahn zu erwarten gewesen?
Update: Hier ist die Selbstdarstellung von Ubirch:
UBIRCH denkt IoT-Sicherheit neu und geht dabei einen revolutionären Weg: auf Basis etablierter und robuster Kryptografie- und Blockchain-Technologie. [...] Funktioniert übrigens auch weltweit als erste Blockchain-on-a-SIM-Lösung.
Wie weit darf Satire gehen?
Update: Aus dem Spiegel-Artikel:
Technisch funktioniert das Ubirch-System so: Jede geimpfte Person bekommt im Impfzentrum oder beim Hausarzt einen QR-Code – auf einer Plastikkarte oder einem Stück Papier, per Mail oder App. Der QR-Code ist ein anonymer Fingerabdruck, der aus personenbezogenen Daten wie dem Namen sowie den Angaben zum Impfdatum und dem verwendeten Impfstoff generiert wird. Er wird kryptografisch signiert und in insgesamt fünf Blockchains hinterlegt.
Da stellen sich direkt einige Fragen. Wenn der Fingerabdruck aus personenbezogenen Daten generiert wird, wieso ist er dann anonym? Wenn er anonym ist, wie hilft er dann beim impfen? Wenn er anonym ist, aber wieder mit einer Identität verknüpft wird, damit man erkennen kann, ob jemand geimpft ist, welchen Wert hat dann die Anonymisierung und wieso wird sie überhaupt gemacht? Wer signiert hier kryptografisch? Und wieso wird der in fünf Blockchains hinterlegt? Eine wäre nicht sicher genug? Wieso nicht sieben? Wieso nicht 23?
Wenn man der Erklärung bei Ubirch hinterherklickt, findet man:
Entscheidend ist, dass nur die geimpfte Person über diesen QR-Code verfügt und nur sie entscheidet, wem sie ihn später zum Zwecke der Verifikation vorzeigt.
Wofür brauchen wir dann die Blockchains?
Es gibt keinen zentralen Speicherort.
Bis auf die fünf Blockchains, oder zählen die nicht, weil die "dezentral" sind?
Bei Bedarf kann durch den Digitalen Impfnachweis jederzeit gegenüber Dritten nachgewiesen werden, dass der Impfstatus unverfälscht ist. Dazu muss lediglich der QR-Code gescannt werden und die Angaben zur Person mit einem gültigen Identitätsnachweis z. B. dem Personalausweis abgeglichen werden.
Wie watt? Ist das Impfzeug jetzt personengebunden oder nicht? Wie soll man denn sehen können, dass ich da nicht den QR-Code meines Nachbarn vorzeige, wenn der angeblich anonym ist?
OK, ich stell mir das so vor: Die machen einen Hash über die Impfdaten und Name+Anschrift und signieren den. Zum Verifizieren scannst du den QR-Code, da holt er die Impfdaten raus und macht einen Hash darüber und über Name+Anschrift aus dem vorgezeigten Personalausweis. Das klingt erstmal gut, aber was wenn jemand den Namen ändert oder umzieht? Muss derjenige sich dann auch nen neuen QR-Code holen?
Update: So besiegen wir die Pandemie! Das Virus lacht sich tot!
Update: Übrigens, zur Sicherheit explizit: Ein Hash über personenbezogene Daten ist nicht anonym sondern pseudonym. Das ist ein Unterschied, auch juristisch im Kontext der DSGVO.