ja by som rad videl harmonogram dalsich krokov…beriem toto ako uvod do debaty, ale co bude dalej nasledovat? myslim, ze viacero ludi, subjektov, ktore sa budu o tuto temu zaujimat, by ocenilo mat prehlad o dalsich aktivitach:
teraz sa zbieraju podnety? zbieraju sa len tu na platforme alebo ak nieco NCZI pride inak, tak to sem nahodi, aby mali vsetci rovnake info?
zistovalo si NCZI stav na trhu, ci uz sa niekto tymto nezaobera? ja mam info, ze su spolocnosti, ktore riesia napr. pre restauracie overovanie ludi na zaklade QR kodu
Moj nazor: harmonogram nemaju (okrem konecneho terminu z EU resp. terminu kedy SK obcania budu chciet vyuzit vyhody cestovania na zaklade DGC, ale palti to aj opacnym smerom abvy obyvatelia EU mohli cestovat na Slovensko, takze tlak tam bude), zistuju co vsetko maju urobit a ako. Predpokladam, ze nositel ulohy je jasny na Slovensku (NCZI). Vela casu vsak nemaju.
V Trust Framework sa pise o “Health certificate revocation list” teda pojde o CRL potvrdeni.
Ale asi to nie je tak vela - EU je radovo 100k novych daily cases, takze pri 30byte per revocation to bude 85MB mesacne, ak by aj 100% trebalo revokovat (co tipujem ze bude skor 1%), takze to asi nebude taky problem.
Mozno sa oplati zamysliet sa nad backoffice procesmi ked revoknes issuer-a (ak bude viac ako jeden u nas), ako sa budu kontaktovat ludia ktorym zrazu prestanu fungovat potvrdenia.
pindy/example
Alebo je to edge-case, ktory nebudeme riesit a kedze niekto ukradne issuer cert v nemocnici kde som bol ockovany tak ostanem stat niekde na hranici Talianska a Rakuska.
Na úvod: V rámci rychlejsie.sk sme už otestovali približne 350 000 ľudí na Slovensku a v Česku. Táto vec sa nás bytostne týka keďže zelené certifikáty evidentne musíme implementovať my. Sme radi, že nás NCZI aspoň touto cestou (ako širokú verejnosť) prizvalo k diskusii.
Treba si definovať víziu. Podľa mňa by to malo byt niečo v zmysle “Navrátenie ľudí do bežného života”
Uvedomenie si, že zelený certifikát nie je cieľ, ale prostriedok k dosiahnutie vízie.
NCZI má aktuálne problém s dátami. Veľa odberných miest neposiela menovité dáta do NCZI. NCZI aktuálne pokiaľ viem nerobí aktivity k tomu aby sa k týmto údajom dostalo. U nás ich máme v elektronickej podobe. (NCZI ich nechce) Ďalšie miesta čo testujú systémom šatňových lístkov tieto údaje asi ťažko budú posielať…
Tie princípy čo sú definované v tomto dokumente by sme mali podľa mňa plne zachovať:
A) Fraud Resistant - musí to byť bezpečné
B) Convenient - ľahko použiteľné, ľahko overiteľné
C) Implementable - niekto to musí financovať, musí sa to dať naprogramovať
D) Flexible - overenie musí byť dostupné aj cez API, zadarmo pre end usera
E) Private - GDPR complient
F) Consensus-Based - Podporované v rakúsku, na slovensku, česku, aj amerike číne, a rusku
G) Open Source
H) Scalable - Toto v dokumente nie je, ale evidentne je to potrebné.
Challenge nie je teda vytvorenie jedného QR kódu s informáciami, ale vytvorenie aplikácie na overenie týchto údajov. Tak aby na Pohode na vstupnej bráne mohol existovať systém ktorý nascanuje qr kód zeleného certifikátu a tento zelený certifikát môže byť vydaný rôznymi autoritami, rôzne typy pravidiel bude kontrolovať, a podobne… Ja som navrhoval NCZI už od januára že im urobím systém na vyhodnocovanie týchto pravidiel, že si to jednoducho nadefinujú a bude im to vyhodnocovať všetky typy s rôznymi časovými platnosťami (npr ag test má platnosť 3 dni, pcr test 7 dní, a test na protilátky 90 dní, a vakcína npr 180 dní) Samozrejme že som bol NCZI úspešne odignorovaný aj starým aj novým predsedom…
Trochu pochybujem, že NCZI je schopné urobiť bezpečný systém. Z našej implementácie vznikli smerom na NCZI vážne bezpečnostné podnety a naposledy keď som to kontroloval tak stále neboli opravené. Ako ukladať heslá v plain texte a posielať to všetkým užívateľom nemohlo prejsť žiadnym bezpečnostným auditom… A ak hej, tak NCZI má vážne chyby v bezpečnostnej politike.
Preto si musíme definovať hlavne kto je oprávnený vytvárať zelené certifikáty. Ja si myslím že v štandardnej spoločnosti by to malo byť NCZI a všetci provideri by mali poskytovať všetky údaje NCZI. Neschopnosť NCZI však evokuje, že certifikáty by mali byť vydávané skôr laboratóriami alebo poverenými osobami. Možno v iných EU krajinách tiež neagregujú všetky zdravotnícke informácie do jednej databázy (predpokladám že npr v Nemecku to tak nerobia/nebudú robiť)…
Teda osobne som skôr za to, aby každé oprávnené laboratórium malo možnosť vydávať certifikáty a urobiť systém ktorý to zjednotí.
Takže poďme to rozdeliť na 2 časti: Generovanie QR kódu, Overovanie QR kódu
Generovanie QR kódu
Ako overíme, že QR kód vystavila oprávnená osoba?
Máme k dispozícii npr systém zabehaných Certifikačných autorít.
Vieme z NCZI urobiť certifikačnú autoritu ktorá bude ostatným vydávať certifikáty.
Dá sa to urobiť bez podpisovania so spätnou kontrolou (ako npr SMSky)
Vieme to urobiť validáciou na web stránke vydavateľa.
Ktorou cestou idú ďalšie štáty?
Overovanie QR kódu
QR kód musí byť schopný overiť hocikto.
Myslím že by bolo ideálne mať formy overenia: 1) cez web 2) cez api … teda by tam boli 2 QR kódy… jeden s url adresou kde sa dá overiť certifikát a druhý pre strojové overovanie
Bude existovať centrálny systém pre Slovensko kde sa budú dať overovať pravidlá?
Bude existovať jeden centrálny systém pre každý členský štát kde sa budú dať overovať pravidlá?
Ak by som si načítal QR kód zo španielskeho laboratória, ako sa dozviem, že je test platný a vydavateľ tohto pdf aj keď sa dostanem na španielsku stránku je oprávnený vydávať certifikáty?
Ako overím čas výkonu testu? TSA alebo blockchain? Ak je to TSA, kde je zoznam oprávnených osôb na vydávanie časových pečiatok? Ak je to blockchain, tak ktorý? Aká je štruktúra údajov? Npr Algorand vkladá transakciu za 4 sekundy za poplatok cca 0,1 centa. Kto zaplatí za službu TSA alebo blockchain?
Slovensko vie viac ako 3 mesiace, ze nieco take ako DGC bude (nespadlo to z neba vcera), to znamena, ze vie viac ako 3 mesiace, ze bude potrebovat spolahlive, bezpecne a nezneuzitelne data nielen z ockovania, ale aj z testov a z ochorenia a prekonania Covid. To, ze za 3 mesiace nic neurobilo povazujem za vazny problem. Ci ich bude mat centralne NCZI alebo budu decentralizovane (aj spolahlive ci bezpecne) je vecou SK implementacie, ale voci inym statom bude musiet mat 1 branu na overovanie. Ano toto je sice nestandardne, ale asi na Slovensku vacsi challenge ako samotna aplikacia nad tym (aby sa obcan dostal k certifikatu (nie je trvaly) a aby sa certifikat overil, tak ako predpisuje EU).
Trochu mi unika pointa, tak ked uz je znamy dokument ako to ma fungovat, tak co sa ide presne riesit ?
Vydavanie certifikatu ? Jeho overovanie ? Alebo backendova evidencia ?
No a je jasne kto tym bude povereny ? Pretoze to je politicke rozhodnutie, ktore musi tomu predchadzat.
Ciste teoreticky, ide o rovnaky problem ako je uz vyrieseny pri dokladoch a pasoch, tie sa uz vydavaju a overuju na celom svete ( nie len v EU ). Len sa nejde riesit ochrana dokumentu pred kopirovanim.
( aspon zatial )
ale zrejme dat to za ulohu vnutru asi nejde, alebo ano ?
A aku odbornost hlada NCZI ? SD aby odstranili kritiku ? Alebo co nevedia a chcu sa dozvediet ?
no ved tie co su uvedene na zaciatku,
a su tam 3 casti
1.collection and registration of data about the medicaleventsfor competent authorised entities in a health information system,
2.the issuance of the Covid-19 health certificate, and
3.the presentation of the Covid-19 health certificate to a verifier (e.g. a border guard or a healthcare professional)for its verification
Toto je zdrojova evidencia, ktoru musi vytvorit NCZI, a je to skor procesny ako IT problem. Vysledok je jeden register, ktory sluzi ako podklad na vydanie certifikatu. Jeho graficka podoba je podruzna ale z dokumentov je jasne ake data bude mat. A s ochranou ako pre zdravotne data, nie ako doteraz.
A co by si chcel riesit tu ? Je potrebne bezpecne zbierat a kontrolovat data od ockovacich centier, testovacich centier a lekarov co vystavuju potvrdenie o prekonani Covidu. A bud to uz existuje alebo ide dalsi pruser ze nie. Ale toto sotva vie spravit niekto mimo struktury NCZI, to sa neda implementovat mimo NCZI.
Samotne vydanie certifikatu, znovu viac procesny ako technicky problem, kto napriklad vyda certifikat ludom co nevedia pracovat s pocitacom ? Akym sposobom sa bude “revidavat” ? Staci zadat doklad s ktorym je parovany ? Alebo bude uchovavany aj email ci mobil ? Dvojkrokova autentifikacia alebo radsej nie ? Atd, samotne technicke riesenie je ale potom trivialne.
Overovanie a CRL je oddelene uplne mimo a poskytuje api na stiahnutie revokacnej listiny a na overenie ci dane cislo je platny certifikat alebo nie a api bude evidovane v nejakej europskej sluzbe.
Ale stale chyba biznis scenar pre pouzitie, ocakava sa hromadne overovanie platnosti ? A potom bude potrebna appka na jeho rychle overenie, tak aby to casnik zvladol za par sekund, alebo naopak pojde o papierovu podobu a overovanie len v pripade podozrenia ? V takom pripade to ale treba zasielat a musi to mat aspon nejake ochranne prvky. Ale to znovu nie je hlavne technicky problem.
Ano presne toto je podla mna klucova vec. Lebo pamatame si ake boli manevre na UOOU a vselikde inde ked sa mal niekto niekde co i len preukazat negativnym testom na papieri. To som fakt zvedavy, ako niekto rozluskne, ze nahodny clovek v nejakom bare sa ma bude pytat taketo osobne udaje a nebodaj si pytat OP, aby ma stotoznil, ze ci neukazujem vytlaceny certifikat niekoho ineho. Lebo toto policajt/autorita moze, inde by som to videl aj ako bezpecnostne riziko.
teraz A bude to platit aj o tyzden ? Ake su predstavy pre SK ? Bude otvaranie napriklad fitcentier podmienene covid passom ? Budeme totiz v stave ze pol populacie bude ockovana a pol nie. To nie je EU problem ale problem statov,
Otvranie restauracii, fitnescentie na Slovensku je vecou SLovenkska, ziadne EU do toho nic rozpravat nebude DGC vymyslelo EU a vsetky krajiny EU ho musia implementovat kvoli cestovaniu a nicomu inemu, ak ho Slovenkso pouzije aj na nieco ine, tak je to vysostne jeho vec, ale podla mna je to blbost pouzivat takto, na to to nebolo vymyslene.
Technicky to az taka blbost to asi nie je, lebo v opacnom pripade by to znamenalo, ze sa to niekde na hraniciach bude musiet preklapat do nasho systemu. Ale skor by som rad videl co na toto povie UOOU.
Ak nie, tak to ale musi byt opat politicke rozhodnutie, nie technicke. Niekto musi povedat ze “sice ste sa nechali ockovat ale hromadne podujatia neotvorime kedze to je riziko pre tych neockovanych”. A musi dufat ze ho ludia nebudu defenestrovat ale solidarne budu trpiet s tymi co nechcu cipy. Alebo naopak povie ze sloboda chodit do krcmy je obmedzena covid passom a dufat ze ho nebude defenestrovat ta druha polovica naroda.
Ale ak sa rozhodne pre druhu moznost tak je blbost vytvarat paralelne preukazy.
Izrael ( a to sa bude tykat aj turistov, teda aj naseho covid pasu)
otvoriť by sa čoskoro mali aj posilňovne, hotely, plavárne aj niektoré kultúrne a športové podujatia. Zrejme však len pre tých, ktorí už budú mať za sebou obe dávky vakcíny.
“Dať sa zaočkovať je morálna povinnosť. Je to súčasť našej vzájomnej zodpovednosti,” uviedol podľa denníka New York Times izraelský minister zdravotníctva Yuli Edelstein. “Kto sa nedá zaočkovať, zostane pozadu,” dodáva.
Cestovanie musia zimplementovat do leta, dalsie rozsirovanie je podla mna mozne (ale to budu protesty na oboch stranach, aj u obcanov aj u prevadzkovatelov) a je to vecou jednotlivych statov. Ked ides na letisku alebo cez hranicu budes mat povinnost identifikacie a k Tvojej identite je vzdany DGC. Ked vsak ides na podujatie, doi restiky tak urcite nemas povinnost sa identifikovat (ani Ta podla mna nemozu donutit) a ukazovat sice platny certifikat, ale susedov ci kamaratov je pekna blbost (toako pred tyzdnom pytaju od TEba vakcinaciu ci test na vstupe do Hornbachu (ale ci dokument ukazujes), tak to je im jedno, tak take certifikacia je uplne na figu (tak ja pre to nie a len pre testovanie)
mam sice iny nazor, ale to je teraz nepodstatne. Len hovorim ze miesto technickych debat je potrebne naopak rychlo urcit zodpovednost a vyjasnit politicke zadanie ( ergo material do vlady), ktore bude komunikovat minister zdravotnictva. inak to dopadne ako obycajne.
NCZI je podla mna nositelom ulohy (aj v inych statoch to je narodny implementator eHealth) a urcite jeho nadriadenz organ MZ a dtto aj MZV, takze politicka uloha a zodpovednost je tam u tychto 3 organizacii. Kedze samo NCZI zacalo toto vlakno, tak si je zrejme vedome tejto ulohy. Ano vlada tak vyznamnu ulohu projekt musi sledovat a urcit jedneho generala na ulohu, ale musi mu dat aj kompetencie a peniaze. Inak nemyslim si, ze Sl.digital je ta platforma kde sa take veci maju diskutovat. Je to projekt, ktory musi bezat, musi mat svoj plan, svojich riesitelov a ak chcu nieco diskutovat tak musia povedat jasne, ze co, komunita sa tu sice bavi, ale na ci ucet a preco? Niekto z NCZI otvoril vlakno a neprispel dalej nicim aspon to sleduje? K comu je to dobre?
A bude to platit aj o tyzden ? Ake su predstavy pre SK ? Bude otvaranie napriklad fitcentier podmienene covid passom ? Budeme totiz v stave ze pol populacie bude ockovana a pol nie. To nie je EU problem ale problem statov,