Zelený certifikát (Digital Green Certificate)

Vzhľadom na skutočnosť, že NCZI bude v rámci procesu prípravy a realizácie “zelených certifikátov” kompetenčne zastrešovať primárne vydávanie certifikátu a nie ďalšie oblasti ako distribúciu alebo overenie, týmto NCZI uzaviera diskusiu a zároveň sťahuje z fóra dotazník (checklist) cez ktorý bolo možné zasielať návrhy riešení.

Radi by sme sa týmto všetkým zúčastneným poďakovali za podnety a postrehy, ktoré vznikli v diskusii ako aj všetkým, ktorí kontaktovali priamo NCZI so svojimi riešeniami alebo návrhmi. Zaujímavé podnety a nápady zapracujeme do vývoja a procesu tvorby “vydávania certifikátu”.

Ďakujeme,

Národné centrum zdravotníckych informácií

----------------------------------------------- Pôvodný text k diskusii -----------------------------------------------

Dobrý deň,
Dnes sme na našom webe publikovali správu:
NCZI začína diskusiu s odborníkmi o zelenom certifikáte
http://www.nczisk.sk/Aktuality/Pages/NCZI-zacina-diskusiu-s-odbornikmi-o-zelenom-certifikate.aspx

Radi by sme oslovili odbornú ale aj širokú verejnosť.

NCZI si uvedomuje dôležitosť témy, vrátane jej obsahu a dosahu.
Radi by sme viedli pragmatickú a vecnú diskusiu primárne k téme Technické aspekty.

Snahou NCZI je priniesť efektívne riešenie pre SR a preto sme sa na začiatok rozhodli ako intro uviesť informácie k Technickým aspektom, Legislatívnym aspektom a k Sledovaným oblastiam k téme.

Technické aspekty
Východiskom budúceho návrhu technického riešenia sú nasledovné dokumenty a bezpečnostný rámec:

eHealth Network schválila východiskové dokumenty, dostupné na webe:
zdroj: Key documents | Public Health

Legislatívne aspekty
• Európska komisia (EK) vydala v polovici marca 2021 návrh legislatívy, ktorá podporí „zelené certifikáty“ na európskej úrovni,
• o návrhu sa momentálne na európskej úrovni živo diskutuje (v živej diskusii sú zapojený aj zástupcovia SR),
• existujú rozdielne pohľady niektorých členských štátov, rozdielne navzájom i rozdielne od pohľadu EK,
• v otvorených zdrojoch sa uvádza, že diskutovaný návrh bude po zapracovaných úpravách zrejme schválený dňa 25.06.2021,
• členské štáty požadujú prechodné obdobie na zavádzanie „zelených certifikátov“ do praxe (t.j. na implementácie tejto európskej legislatívy do národných legislatív) v rozmedzí od 1 po 3 mesiace.

Sledované oblasti k téme - intro:
V súčasnosti prebieha technická synchronizácia 3 prúdov:

WHO – „zelené certifikáty“ pre kontinuitu zdravotnej starostlivosti – schválenie definitívnej špecifikácie sa očakáva v polovici mája 2021, zatiaľ bol publikovaný prvý draft

ICAO spolu s ISO – „zelené certifikáty“ pre podporu voľného pohybu v leteckej doprave v rámci EÚ (alternatívne svet)

eHealth Network – univerzálne použitie „zelených certifikátov“ – predpokladané schválenie spolu s legislatívou EÚ dňa 25.06.2021

Ide o intro a preto privítame Vaše odborné vstupy k problematike.

Ďakujeme,

Národné centrum zdravotníckych informácií

Pozn.:


3 Likes

Zeleny certifikat sa objavil aj v projekte Slovensko v mobile, ktory chysta MIRRI.

Ano, objavil, ale podla planu ma byt implementovany v tomto projekte v roku 2022. Zeleny certifikat ma vsak fungovat uz toto leto …

V prvom rade NCZI musi mat poriadok v datach musi mat zabezpecenu security, spolahlivost a pprevadzku pre pozadovane typy dat do zeleneho pasu (vakcinacia, testy, prekonanie Covidu), bez toho ziaden vstup do Zeleneho certifikatu nebude. Toto sa da riesit uz teraz a za to je zodpovedna clenska krajina, nikto to za nu nemoze urobit.Je potrbene urobit kontorlu ake data musia byt a mat pripravenu takuto strukturu.

Nemyslim si, ze kazdy stat si musi urobit uplne vlastnu nadstavbovu aplikaciu, napr. riesit spolocne vo V4 a urobit jednu Appku - interface modul nad datami clenskych krajin, ktora ich bude poskytovat do eHealth network (podla mna EU poskytne len predpis), takze tu je navrh spojit sily so susednymi krajinami.

Mne toto pride taka globalna vec, ze by som sa vobec nedivil keby prisiel Apple/Google s nativnou podporou. Nieco ako Add, use, and share boarding passes, tickets, and other passes in Apple Wallet - Apple Support

3 Likes

Tak sa zda, ze by sa konecne mal umoznit pristup dalsich “identity providerov” do statnych sluzieb.
Nieco ako maju v CZ (MojeID - Přístup ke službám veřejné správy).
Nie len mojeID, ale aj banky.
Idealne sa dohodnut s NIC.CZ a zalozit nieco ako mojeid.sk.

Takyto projekt musi zacat s dobrym a lahko pouzitelnym identity providerom (slovensko.sk to rozhodne nie je).

1 Like

Digital_Green_Certificate_en.pdf.pdf (470.2 KB)
Certifikat mate v mobile alebo na papieri (ako letenku), zosnimanim QR codu sa overi platnost

Aky problem by toto riesilo?

Questions_and_Answers___Digital_Green_Certificate (1).pdf (53.0 KB)

  • Aky zmysel bude mat online verifikacia?
  • Bude vytvaranie certifikatov on-premise alebo online?
  • Ako budu fungovat CRL?
  • Ako dlho budu validne certifikaty?
  • Budem si musiet po kazdom ukone (ockovanie, +test) ist ziskat novy certifikat?
  • Bude vydavanie certifikatov cez internet?
  • Ak bude online ako zabranite tomu aby cez to unikal zdravotny stav? (data na obcianskom su ± verejne)

Paci sa mi ze v Trust Framework su buzzwords ako “unlinkability”/“privacy by design” a hned sekcia pod tym je ze ID binding/verification je ok :smiley: co si potom pod tymi slovami predstavuju neviem.

Perla na zaver o telefonickej verifikacii:

The answer to a verification request should be provided within 2 working days

1 Like

Vo vseobecnosti musia byt osobne udaje viazane na nejaku formu elektronickej identity.
Takze ak to bude urobene poriadne, uzivatel si moze skontrolovat a pripadne menit niektore udaje (e-mail, cislo telefonu, adresu), ktore o nom system ma.
Umoznuje to prenos na ine zariadenia (napr. strata mobilu) alebo len vytlacenie certifikatu s potrebnymi overovacimi kodmi.
Celkovo ten system musi umoznovat co naviac samoobsluznych funkcii (inak bude spravca systemu konstantne zahlteny poziadavkami uzivatelov).

Ten green pass obsahuje osobne udaje, ktore identifikuju identitu. Preco by to mala byt identita elektronicka naozaj nevidim. Lebo pri kontrole si policajt/autorita pozrie green pass, skontroluje ci sedia udaje s tym co mate na naozajstnom doklade (OP/pas). Cize overenie identity sa deje tu. Inak si to ani neviem velmi predstavit. Ak by sme mali elektronicku identitu (povedzme bankovu, mojeid, hocico), tak co presne to umozni?

Nepride mi toto ziadna raketova veda, QR kod je podpisany autoritou, overi sa public klucom, citam, ze V2 bude mat revokacne listy (asi kvoli podvodom, neskorsim opakovanym nakazeniam, etc). QR kod si proste ulozim do emailu, vytlacim, cokolvek. Ukradnut sa neda, lebo je viazany na osobne udaje, ktore sa nedaju zmenit (je to cele podpisane, overitelne offline).

1 Like

V zasade sa uvažuje o nasledovných potvrdených (úmyselne to nevolám certifikát)

  • Potvrdenie o očkovani
  • Potvrdenie o teste (ag, pcr)
  • Potvrdenie o prekonaní covid
  • Potvrdenie o množstve protilátok

Každé z nich je opakovane vystavitelne a každé ma inú dobu platnosti.
Zneplatnenie však nemusí byt len časové ale bude môcť nastať aj kvôli “biznis pravidlám”.
Napr. ak mám vystavené platne potvrdenie o ockovani (2 dávky) a o mesiac ochoriem na covid, tak toto potvrdenie musi byt zneplatnené.

2 Likes

Zneplatnenie bude asi riesene ako CRL, nebudu tie potom velmi rychlo narastat?
Teda moja predstava je, ze potvrdenie o teste bude mat casove obmedzenie dlhsie nez bezny cas retestu takze napriklad u nas kazdy bezne testovany ak sa stane pozitivnym by mal mat revokovane potvrdenie.

Jasne, ze certifikat musi byt viazany na dalsie “national id”. Ale ako si vlozis QR kod do mobilu, ked sa predtym neprihlasis niekam a nenacitas si ho?
Pride e-mailom? To je dost slabe. Odfotis papier? A papier dostanes ako? Postou …

Co ked budes chciet vygenerovat certifikat pre nove “national id”, ked stare uz expirovalo/ukradli ho/stratilo sa?

Myslim, ze ked sa do nasej (SK) casti od zaciatku nezahrnie prihlasenie nejakou el. identitou, budeme dost malo flexibilny a vsetko pojde o odst tazsie.

Nehovorim, ze nasa (SK) cast systemu musi mat vsetko implementovane od zaciatku, ale nemali by sme si zatvorit dvere a neskorsie to lutovat.

Na toto crl tak ako ho poznáme z pki zrejme použiteľné nebude, lebo toho bude veľmi veľa.
Crl bude len ma podpisové kľúče jednotlivých autorít. Čo budú rádovo desiatky ks.
A práve kvôli ad-hoc, alebo časovému zneplatnovaniu ma význam to online overovanie.
Dĺžku platnosti testu určite nebude nejako extra predĺžená oproti súčasnému stavu, skôr sa v tých materiáloch uvádza že každá krajina si na to ešte môže nastaviť svoje pravidla min v prechodnom obdobi.

1 Like

Príde mailom a bude tam číslo pasu s menom a priezviskom. + info o vakcíne a časy platnosti.
V qr kode to iste ako bson(binárny json) s ecdsa podpisom.
Pokial niekto navyše povie že číslo pasu bude uvedené ako hash a nie plain - tak si ten papier kľudne výtlačim a nalepim v aute za sklo.

3 Likes

Posle mi ho to miesto co ma ovakcinuje alebo otestuje, trebars na ten kontaktny email, kde mi posielaju pozvanku. Uz dnes kadejake QR kody takto posielaju. A ked uz tam budem, tak mi to daju trebars aj vytlacene, keby som nemal email. Hotovo.

Skus vygenerovat nejaky realisticky scenar, kde to naozaj nieco prinesie.

Netreba, person identifier (national id/passport id) je voliteny.

Certifikaty vydava narodny stat (NCZI?), tak ako si kupite letenku, tak pred cestou sa prihlasite a date request na GC, ktory Vam pride mailom ci si ho stiahnete. Teda musite sa mat kde prihlasit a organizacia Vam ho musi vediet vydat (platnost bude definovana ako dlho Vam plati, netreba ho zneplatnovat). TEda NCYI musi urobit aplikaciu na vzdavanie certifikatov. Pri ceste zoskenuju QR a overia platnost certifikatu. Popis:trust-framework_interoperability_certificates_en.pdf (886.6 KB)
Na certifikate sa validuje nasledovne:The verifier of a certificate should be able to establish that:
 The certificate has been issued by an authorised entity;
 The information presented on the certificate is authentic, valid, and has not been altered;
 The certificate can be linked to the holder of the certificate;