@Scholtz - Citam takmer pravidelne. Z pohladu NCZI nebol zamer otvorit diskusiu otazkou, ale skor otvorit samotnu temu. V priebehu nasledujucich dni predpokladam, ze dojde k specifikacii oblasti, ktorymi by sa mohli zodpovedat otazky, ktore boli doteraz adresovane na NCZI alebo na VS ako taku. To,ze sa k teme zivo diskutuje mozem potvrdit.
@peter_k chat som myslel s pozitivnou konotaciou…myslene skor k intenzite prispevkov, nie ako nejaku volnocasovu zabavnu aktivitu…prispevky su pomerne dobre formulovane a neplytvaju slovami (niektore aj kritikou )
Postrehol som v diskusii aj “predpokladany scenar” p.Fitosa. Musim pripustit,ze niektore body vnimam podobne a nechcem aby sa naplnili najma posledne body toho scenara.
Neviem ci existuje nejake obmedzenie, ktore by branilo firmam prezentovat svoje riesenia v ramci platformy SD ale na zaklade vyjadrenia p.Suchala asi nie.
Na koniec chcem znova pripomenut, ze to co som napisal je subjektivnym popisom autora (teda mna) a nie stanovisko NCZI (napriek tomu,ze je tam jednoznacny prienik medzi mojou osobou a NCZI a v niektorych vyjadreniach mozem vyuzit znalost, ktorou ostatni diskutujuci pravdepodobne nedisponuju) - tento “disclaimer” uz v pripadnych buducich prispevkoch nebudem uvadzat
MV je jedna z prirodzenych moznosti pre certifikacnu autoritu, ale to je uplne minoritna uloha. ( vydat par certifikatov dokaze kazda)
Urcit vlastnika ulohy je zaciatok. Ja nemam dost informacii o moznostiach ale tak nahodne co si myslim o moznostiach
NCZI - ma za sebou dlhsiu historiu zlyhani ale inak je to prirodzeny riesitel
Poistovne - tie maju udaje o ockovaniach a su schopne to spravit, staci sa venovat sposobu ako to zafinancovat
MV - ak na to vedia pouzit existujucu zmluvu tak vedia zabezpecit vydavanie aj overovanie certifikatov. Ale nemaju udaje a tak to urcite nevedia riesit samostatne
Subjekty ktore vakcinuju, toto je asi najhorsia moznost. Za prve nemaju na to infrastrukturu, je ich prilis vela, su docasne ( vakcinacia v dohladnej dobe skonci, kedze nebude koho ockovat a ostane ich par a mozno aj ine ). Tuto uvahu povazujem len za snahu dostat tam vlastne riesenie nie za rozumny navrh
Ad hoc niekto kto ma otvorenu zmluvu, od NASES, SK IT, MZV, atd.
Google/Apple API by nebolo vobec podstatna cast, iba cukricek - mail ktory by obsahoval potvrdenie by mal aj tlacidlo pre pridanie do tychto “zapamatavacov”. Rovnako dobre by ti vsetko fungovalo aj s vytlacenym mailom. Ak clovek chce si to ulozit niekam na cloud tak to urobi tak ci tak (napr. to necha ako email).
skusim
este raz otazku, preco to nemozu riesit poistovne?
Z biznisoveho pohladu - maju apky, maju data, vedia s poistencami komunikovat aj inak (mail, posta), dokonca poskytnu novym uzivatelom dalsie benefity v apke, dorobenie noveho preukazu v existujucich app asi bude lacnejsie ako nove statne riesenie
Z technickeho pohladu - brani tomu nieco?
Z legislativneho pohladu - brani tomu nieco?
Áno, už dnes toho o nás vedia priveľa, ale pandémia nesmie byť zámienkou ďalších ústupov.
Verím však, že vyspelé krajiny si veľmi dobre uvedomejú skryté riziko zhltnutia takejto návnady.
suhlas… aj poistovne nech maju moznost generovat zelene certifikaty…
ale poistovne zase nemaju vsetky udaje, takze to nebudu robit vyhradne poistovne
navyse ak by som si ako slovak a poistenec v cr isiel na slovensku pichnut vakcinu, tak nedostanem zeleny certifikat ak by to robili iba poistovne?
Vasa snaha je aby sme my ako zdroj dat nemohli generovat zelene certifikaty? Alebo nechapem tym utokom. Predsa je najrozumnejsie ak miesto ktore ti vydava osvedcenie o vykone testu ti rovno posle aj zeleny certifikat. Ci nie?
Detto plati hlavne pre laboratoria ktore robia PCR testy, testy na protilatky, vakcinacne centra a podobne.
Samozrejme je tu varianta ze NCZI zacne zbierat vsetky zdravotnicke udaje, urobi sa centralizovany system, a ani poistovne, ani my ani nikto nebude potrebovat vydavat zeleny certifikat. Nam umoznia nahlasovat vsetkych do ezdravia, nie len slovakov, daju nam pristup do testovacieho rozhrania a podobne… Toto sa vsak tiahne uz mesiace tak trochu pochybujem ze by to NCZI zvladlo… Navyse stale neevidujem ze by chceli mat vsetky udaje, ale uz sa tesim ked p. Suja alebo niekto z NCZI prehlasi ze chcu spolupracovat a chcu zbierat tie data…
EU legislativa jasne hovori na co sa to ma pouzivat medzi statmi EU (a to musi mat aj jednotny EU termin)
Clensky stat - na co vseetko to vo vnutri pouzije je jeho rozhodnutie (a moze to riesit aj dodatocne)
Staty mimo EU - sa rozhodnu same ci bdue mozne tieto EU DGC pouzit v danej krajine a na co
No ja verim ze ked sa implementuje tan zakladny EU navrh na zelene certifikaty tak bude pouzitelny pre vnutrostatne pouzitie…
Takze ak by sme uz vcera mali tu vnutrostatnu branu od NCZI tak uz mozme zabezpecit vstup ludi na pohodu pouzitim zelenych certifikatov nie len zo slovenska ale z celej EU…
A este by ma zaujimalo ako urobime napojenie na obdobny system mimo EU… Npr ak by chcel ist vakcinovany american na pohodu…
Nuz, ale plati, co uz bolo napisane vyssie, ockovacie centra budu vznikat a zanikat, dtto testovacie centra, to je hlavne obmedzenie preco nie centra, ale nema nic proti tomu, ak to bude centralny system púre svetky centra akzde centrum bude mat vlastny certifikat. Takze ono otazka kto to robi (no najlepsie automat) a centralne (zucastnuju sa centra aj s ich certifikatmi)
Niekto hackne NCZI a ukradne im privatny kluc. NCZI nahlasi ze privatny kluc bol leaknuty, certifikat sa revokuje.
Ludia co mali zelene certifikaty od NCZI pojdu na pohodu s myslienkou ze maju platny zeleny certifikat.
Hacker si vyda certifikat o vakcinacii s datumom vystavenia s casom rovnakym ako clovek co chce ist na pohodu.
Pridu dvaja ludia na pohodu… jeden s fakovym certifikatom, druhy s realnym… Automat nie je schopny rozoznat koho ma pustit lebo sa tie certifikaty javia rovnake.
Toto moze vyriesit TSA alebo ulozenie do blockchainu. V navrhu sa mi javi akoby sa s tym nepocitalo.
Nepredpokladam ze ked budu tisice certifikatov po celej EU vydavat zelene certifikaty tak ani jeden nebude leaknuty, takze je to realna hrozba.
ja by som bol velmi rad aby to robil centralny system… navyse za nas by mohol rovno posielat aj SMSky a emaily s vysledkami testov… Ale akosi NCZI sa zatial vyjadrilo ze od nas nechce data od vacsiny testovacich miest ktore prevadzkujeme lebo to technicky nezvladaju.
A ja im aj rad urobim ten centralny system… Akurat by museli prejavit aspon trochu vôle/potreby/ochoty…
Verim ze aj dalsie softwarove firmy by radi urobili obdobny system… Konkurencia je dobra vec…
Co tak urobit par dnovy hackathon a nczi nech si vybere najlepsie riesenie a prvym trom rieseniam naklady za tych par dni aj prefinancuje… A dalsi support/vyvoj moze byt zaplateny pre najlepsie riesenie…
Akurat nech si najskor nadefinuju co vobec chcu a podla coho sa budu hodnotit riesenia…
Toto som navrhoval uz pred hromadnym testovanim a akosi som nebol vypocuty… Cele testovanie mohlo byt uz vtedy 4x lacnejsie. Komu dame zosobnit tie naklady?
Lenze takto nefunguje, ked sa revokuje certifikat, tak su neplatne vsetky podpisy aj ten spravny aj ten falosny, automat odmietne oba. TSA ani blockchain s tym nic neurobia. To co sa udeje je ze NCZI zazije dalsiu hanbu a bude musiet verejne oznamit ze si VSETCI co maju certifikat od nich musia ziskat novy a potom pride na pohodu jeden z novym a jeden zo starym neplatnym. A automat pusti toho s novym. Ako vidis TSA do toho nijako nevstupilo.
A k realnosti hrozby, ak to budu vydavat mnohi tak sa to moze stat, ale velky vydavatel ma privatne kluce ulozene v HSM module a tam je sanca na ukradnutie fakt mala, to dokaze nie hacker ale organizovana skupina s lupicmi, vykonym labakom a obrovskym pocitacom. A s malym efektom kedze sa ich robota do par dni strati s novymi certifaktmi.
Kedze udaje mas vytlacene na papieriku, a mas moznost ich desifrovat volne dostupnym klucom, tak zase ake riziko ides riesit ?
Podpisovanie riesi ze si nemozes certifikat jednoducho sam vytlacit, co je realna hrozba. Sifrovanie ale nic neprida.
ja navrhujem riesenia. Revokovat sa da k datumu a podpisy pred revokovanim su defacto platne. Podpisany cas sa da porovnat s casom revokacie… vsak toto je standardne riesenie v kryptografii ak sa nemylim… a ma to zabranit presne tomu aby sa vsetky podpisane dokumenty nemuseli znovu podpisovat…
Ak by to takto nefungovalo, tak ked predam svoj byt cez kvalifikovany podpis, tak ty tvrdis ze si moj byt mozem narokovat spet ked niekto ukradne moj obciansky?
zase sa dako nezhodujeme… ako mozes tvrdit ze nic to neprida? ked som popisal scenar ako v chybnom sa leakne rodne cislo, a v sifrovanom sa neleakne rodne cislo…
treba si hlavne uvedomit ze navhovany scenar od EU navrhuje potencialne leakovanie rodnych cisel… ten qr kod sa kde tade moze dostat ku kamere, npr ze budes drzat papier v ruke a niekto ta odfoti… riesenim je upovedomit tu osobu o rizikach nech to vytahuje iba fakt v nevyhnutnych pripadoch
Nuz, v navrhu sa nehovori nic o rodnych cislach, kedze tie nie su v EU rovnake.
Mas tam udaje
meno a priezvisko
datum narodena
cislo dokladu
nazov vakciny
datum ockovania
A suhlasim ze datum narodenia sa mi zda mozno zbytocny. Ak chces overit identitu tak musis dat sparovany doklad. A datum narodenia len riesi ze nestaci doklad menovca ale zase ak ides na jeho certifikat a mas jeho doklad, tak datum narodenia vela nepomoze.
A k casovej peciatke, ta potvrdzuje kedy sa ukon udial. Ale v tomto pripade nemas velmi co potvrtdit. Napriklad v tvojom pripade ak mam k dispozicii kluc, tak casovu peciatku mi tam prida kazda kvalifikovana sluzba, to len dokazuje ze som ju ziskal v danom case. A ockovanie ci test sa deju stale, co mi to teda povie ?
A este raz, davas z ruky PAPIER, kde je tvoj datum narodenia uvedeny. KAZDY kto ho drzi si ho moze zapisat.
Ak ale chceme ist dalej, tak podla mna staci cislo dokladu a cislo certifikatu ( plus vakcina ), preukazujes sa dokladom a certifikat overujes ci je platne podpisany ( a ak mas pristup na internet ci nie je revokovany)
ten zoznam je trochu cudny… urcite nie je uplny uz z dovodu toho ze sa jedna o vakcinaciu… zdroj? mas tam aj zoznam atributov pre PCR test, AG test, Test na protilatky?
Pri vakcinacii mi tam chyba typ vakciny… Ak sa niekto navakcinuje schvalenou vakcinou v state A, a a neschvalenou vakcinou v state B, chce ist na event do statu B, plati tam ten certifikat?
cislo dokladu aktualne nezbierame… predpokladam ze ani vackcinacne miesta to nezbieraju… ako chceme vydavat tieto certifikaty ak tieto udaje nemame? Ked je tam cislo dokladu tak mi tam trochu chyba typ dokladu. Co sa stane ak si na vakcinaciu zoberes pas, a na pohodu chces ist s obcianskym?
Podla mna na bezpecnost QR kodov by mala byt kladena trochu vyssia bezpecnostna politika ako na raw text… Ak odfotis obciansky, tak je podstatne komplikovanejsie vycucnut z neho rodne cislo z textu ako z toho textu co je urceny pre strojove spracovanie ktory ma crc a podobne…
Predpokladam preto je ten kod na druhej strane co standardne neukazujes…
)