Pozor, necucal by som si tieto návrhy len tak z prsta, lebo to aj mätie diskusiu o DGC a aj s veľkou pravdepodobnosťou nebudú mať potrebné (bezpečnostné) vlastnosti.
Lebo údaje v QR sú podpísané čo zaisťuje ich autenticitu a integritu, údaje “na papieri” mimo QR nemajú zaistené nič a môžu byť voľne manipulované (preto je dobrý practice údaje mimo podpísanej oblasti ani neuvádzať a v aplikáciách ktoré čítajú podpísané údaje ich neukázať ak podpis nesedí).
Ťažko sa bude cez telefón uvádzať celý digitálny podpis :).
To momentálne riešenie DGC nieje ideálne ale je OK. Nemá za cieľ schovať nejako osobné údaje človeka pred tým ktorý verifikuje jeho DGC, pretože to je veeeľmi ťažko dosiahnuteľný cieľ (pri zachovaní nejakej istoty že preukazovaný DGC patrí danej osobe). Z môjho pohľadu tieto veci len treba vyjasniť a rovno povedať čo sú a čo niesu ciele aplikácie. Takisto treba vyjasniť kde sa DGC na Slovensku budú používať a kde nie (bez zákonnej úpravy na Slovenskej úrovni sa môžu overovať viac menej len príslušníkmi PZ SR na hraniciach).
@pmirossay Už by to aj chcelo zverejniť zdrojáky (SKIT appky aspoň, ale aj NCZI backend veci by boli super) tak ako to má už viacero krajín (viď vyššie Švajčiarsko).
no ja si myslím, že práve ukáže každý či má alebo nemá na vstupe, to je proste rýchle, ako dnes (papier, fotku, NFC, QR) tam predsa ked to ide rýchlo tak aj tak nikto druhý doklad, či to je ten konkrétny človek, proste nerieši.
A ak je pochybnosť, tak si to overí ak nie je kupalisko ONLINE cez internet, tak inak.
A jednoducho si myslím, že stačí si len zapisovať na kúpalisku len tie čísla GP, aj kvôli tomu, aby vedeli kto tam bol a od kedy, možno aj dokedy, a ak by sa niečo vyskytlo v budúcnosti nejaký podozrivý alebo pozitívny, tak si vedia dohľadať detailné kontakty podľa tých čísiel GP na RUVZ, ked to budú potrebovať.
ukladať čísla GP si predsa môžu, to asi nie sú GDPR toxické dáta
PS: spomínam si, že v roku 1994 sme toto urobili na kuponovej privatizácii, kde sa len zbierali čísla občianskych a dátumy narodení a znížili sme duplicitné registrácie o 99% … riešili sa vtedy zmluvy s fondami pre druhú vlnu. a dáta sme si prehadzovali cez ccmail tel.linky
Uchovavat akekolvek udaje z DGC ziskane pri jeho overovani je velmi silno zakazane (aj na contact tracing ucely). Je to jeden z hlavnych dolezitych bodov pod ktorymi sa DGC “predava” .
Všetky tieto problémy a akademické diskusie by nemuseli byt, ak by sa jednoducho využilo riešenie, ktoré je na trhu roky, Apple Wallet Pass. Jednoduchá distribúcia , ochrana osobnych údajov , Security , možnosť na dialku editovať, zneplatnit pass , integrované na systémovej úrovni (netreba vymýšľať appky a systémy) . Tak neviem kde je problém
Až na to zneplatnenie. Wallet nijako nezabezpečí, že policajtovi ukážem fejk wallet kde je starý QR kód. To sa musí kontrolovať inde. Ešte keby takéto niečo bolo na Android natívne tak netreba nič riešiť.
Ak sa nemylim, wallet passy mozu byt zneplatnene na dialku, ale mozu byt aj casovo obmedzene. Zalezi na aplikacii “overujuceho”, ci mu ukaze stav potvrdenia. Plus policajt overi aj totoznost (co je v medziach zakona). Ten system je vcelku premakany, odporucam si pozriet minimalne WWDC videa k tejto teme. Co sa tyka androidu, tam ano, bolo by potrebne nakodit nejaku appku, ale to predsa neznamena, ze na iOS sa to musi robit tiez. Usetria sa peniaze aj development cykly…my 2cents
Ja rozumiem že z wallet sa to dá zneplatnit na diaľku, ale to je len pre používateľa nie funkcia pre overujúceho. Ten zo zásady neverí ničomu, čo sa mu ukáže na nejakom cudzom zariadení.
Áno, veď to je ten zásadný princíp. Dostaneš na zariadenie wallet pass, ktorý nevieš nijakým spôsobom modifikovať bez toho, aby to kontrolujúci subjekt neodchytil. A keďže je ten Wallet Pass modifikovateľnosti len subjektom, ktorý pass vydal/notarizoval, môže kontrolujúci subjekt jednoducho pri naskenovaní zistiť, či je aktuálny, platný a nemodifikovaný. Schválne si cekni tech spec, je to fascinujúco jednoduché.
Áno, zobrazí to “obrázok”, ale trik je v tom, že ten obrázok vie byť na diaľku modifikovaný, revokovaný. Usecase. Z NCZI ti pošlú certifikát, importuješ si ho do walletu. V tomto kroku je to rovnaké ako PDFko/obrázok, to je pravda. Výhoda je ale napríklad v tom, že to vie fungovať aj s lokáciou užívateľa, resp. pomocou iBeaconu sa to vie surfacnut podľa požiadaviek developera. Tu. napríklad na letiskách, v obchodoch, na úradoch, na hraničných priechodoch. Je to na to naviazaná aj notifikačná služba (tá vie aj pass modifikovať/zmeniť/upraviť/upgradovať). To znamená, že ak je ten tvoj GP naviazaný v určitom čase na test, vie sa automaticky updatovať, keď si spravíš nový test. Odpadá potreba posielať a “organizovať” PDF potvrdenia. Usecasov je mnoho a je to imho užívateľsky príjemnejšie, ako appka, alebo PDFko/obrázok. Ak sa teda má niečo kódiť, určite by som skôr investoval do wallet riešenia, ako samostatnej app
Chapem spravne, ze “appku” do walletu moze urobit akakolvek krajina v EU a ktokolvek ju moze pouzit pretoze DGC sa riesi na celo europskej urovni? Podobne ako do sk appky si bude mozne naskenovat DGC vydany v Dansku, tak do danskej wallet implementacie bude mozne nahrat slovensky DGC.
DGC sa riesi na celoeuropskej urovni avsak specialne wallet app + verifier app + national backend si kazdy clensky stat moze vyvijat prakticky ako chce ak dodrzi veci ohladom formatov, verifikacie DGC a komunikacie s DGCG (gateway ktory sluzi na zdielanie certifikatov ktorymi su podpisane DGCs) ako su zadefinovane. Prave specifikacia volume 4 ktora riesi ako maju vyzerat appky, nieje normativna a je to skor popis toho ako Podobne ako do sk appky si bude mozne naskenovat DGC vydany v Dansku, tak do danskej wallet implementacie bude mozne nahrat slovensky DGC.vyzera referencna implementacia (ale viac ci menej sa toho clenske staty drzia lebo je to najblizsia vec k nejakej spolocnej specifikacii toho ako maju tie appky vyzerat).
Toto nieje nikde vyzadovane a teda sa neda ocakavat ze to bude vzdy tak. Napriklad Danska wallet appka vyzaduje login cez nejaku Dansku verziu mID alebo co a nasledne clovek svoj DGC dostane automaticky. Svajciarska appka podobne chcela nejaky Svajciarsky login a clovek DGC asi nebude skenovat ale dostane priamo do appky. Referencna implementacia wallet app DGC naskenuje ale potom pozaduje TAN a vlastne je nefunkcna lebo komunikuje s backendom ktory nieje setupnuty. Idea referencnej appky nieje ze ju nejaky jednotlivec spusti ale ze ju nejaky stat forkne a bude pouzita wallet + verifier + issuer apps aj bude prevadzkovat vlastny referencny backend.
Prave pre toto by sa (aj vam v SKITe) hodilo mat analyzu tychto appiek a keby som mal viac casu a menej vyskumu tak by som o tom aj nieco zacal spisovat lebo z hladiska bezpecnosti to urcite bude aspon 20 roznych chyb v rieseniach.
d) sú najmenej 21 dní, ale nie viac než 12 mesiacov po aplikácii prvej dávky očkovacej látky proti ochoreniu
COVID-19 s dvojdávkovou schémou, pokiaľ bola aplikovaná druhá dávka očkovacej látky proti ochoreniu
COVID-19,
Preco v certifikate NCZI o ockovani nie je uvedeny aj datum 1. ockovania? Ja som po 2. ockovani a je tam len datum 2. ockovania. ako to bude policajt kontrolovat, ked nevidi datum 1. ockovania?
Už NCZI prideluje DGC (teda QR kód ktorý má po naskenovaní obsah text v tvare HC1:...)?
A k téme: To je teda dosť fail že ÚVZ vydalo takúto vyhlášku a vztiahlo to na dátum prvej dávky aj keď má človek už obe (napríklad v ČR je sú tieto pravidlá napísané podobne ale je to vztiahnuté na 12 mesiacov od dátumu druhej dávky). DGC pre druhú dávku budú mať iba dátum druhej dávky a teda ÚVZ silno narazí na to, že má vo vyhláške blbosť a nevie z informácii na DGC určiť či má človek výnimku alebo nie.
EDIT: Poslal som email na ÚVZ&MZ tak uvidíme, že čo.
Certifikát o očkovaní proti Covid-19 zobrazí aj appka štátnej poisťovne Chvalyhodny pocin VsZP, nic nie je potrebne robit, kto je poisteny vo VsZP a mal alebo si nainstaluje APPky VsZP, tak Covid EU certifikat do nej dostane automaticky a bude ho mat tam ulozeny aj offline. Koncene nieco co sa da pochvalit.
tel.linky
, ochrana osobnych údajov 