Zelený certifikát (Digital Green Certificate)

Spolupráce so štátom a samosprávami
161

no tak rychly inziniersky odhad :slight_smile: ked si offline tak vies overit ci je podpis platny ak mas stiahnute kluce ( co je OK, kedze ich je pomerne malo ), ale ak by si mal udrziavat zoznam neplatnych certifikatov pre celu EU tak uz ide o cca 1-2 GB co uz nebude uplne pouzitelne.
A dovody preco bol certifikat revokovany mozu byt rozne, nie len ze bol testovany ale napriklad ze sa objavi mutacia na ktoru dana vakcina nestaci atd. Alebo kedze sa v datach nepocita s casovou platnostou tak po testovani plati povedzme dva tyzdne a potom by si ho mal revokovat.

162

Skusim tu spisat minimalisticky scope, ako ho vidim ja a kde vidim diery. Riesime primarne vakcinaciu na EU urovni, cize na testovacie certifikaty na chvilu zabudnime.

Scenar: Pridem na ockovacie miesto, zaockuju ma, vygeneruju mi podpisany QR kod, ktory mi bud vytlacia alebo poslu na email.

  • Kto to podpisuje? Lekar? Vakcinacne miesto? NCZI? MZ? Provider sluzby? Ktokolvek to bude, tieto privatne kluce je potrebne zaregistrovat do centralnej EU gateway a to tam dava nejaka zdravotnicka autorizacia od nas. Kto to je?
  • Revokaciu pri kompromitacii privatneho kluca vieme vybavit cez CRL, casove peciatky by pomohli tomu, aby sa nezrusili vsetky platne vydane green passy podpisane tym jednym klucom. EU na toto zatial nedava odpoved, ci to treba a ako velmi kvalifikovane tam nejake peciatky budu (to je drahy spas).
  • Revokaciu pri nejakej chybe konkretneho green passu (trebars sa zisti, ze niekomu to vydali omylom alebo cosi). Tohto by tiez nemuselo byt tak vela.

Scenar: Policajt/autorita u nas potrebuje overit green pass. Ukazem im na mobile/papieri QR kod, obciansky preukaz/pas v nejakej apke overia ze QR kod nie je tampered, overia ci som to ja a dovi.

  • na toto treba mat len zoznam public klucov, co podpisuju, vie to fungovat offline pokym to nenarazi na nejaky certifikat autority, co to lokalne nema, potom si ho musi dotiahnut z EU gateway. Pre online check to musi ist online, ale nepredpokladam, ze vakcinacny certifikat bude nejako velmi casovo senzitivna vec, taktiez pripadny negativny test z testovania ma len docasnu platnost sam o sebe, cize nejaka online revokacia mi pride komplikacia z pohladu komplexity projektu, pricom zatial nevidim pridanu hodnotou.

Pokial tam nechceme tahat nic SK specificke, by som aj tipol, ze na EU trhu budu takychto apps na overenie green pass coskoro stovky. Kedze vsak ide o osobne udaje, policajti by nejaku nahodnu aplikaciu pouzivat velmi asi nemali. Jeden team moze robit “overovaciu appku”, druhy (ak treba), komponent na podpisovanie green passov. Kedze API medzi tymito dvoma vecami bude z pohladu EU jasne definovane (dokonca cela jeho pointa je, ze musi byt interoperabilne napriec krajinami), krajsi priklad rozdelenia zakazky na dve casti malokedy najdeme :slight_smile:

Scenar: Ako vakcinacne miesto potrebujem vyrobit green pass.

  • na toto potrebujem softver, ktory bude podpisovat green passy. Je to chulostive miesto lebo ktokolvek k privatnemu klucu ma heslo/pristup, tak moze fejkovat green passy. Da sa to postavit decentralizovane alebo centralizovane. Ak by toto robila centrala - trebars NCZI, vedia spravit nejaky dohlad a kontrolovat, ze nie su vydavane podozrive green passy (na fake identity, rate limity, duplicity…) samozrejme za cenu toho, ze ked to bude dole, tak bude zle. Ale SLA pri vakcinacnom pass asi nebude hrozne dolezita pokial mi to vedia poslat emailom. V klude nech mi to vystavia aj o tyzden neskor. Pre papier by som nerad chodil niekde zase.

Otazka:
Vnutrostatne sa to bude pouzivat ako? Budu toto pouzivat na overovanie aj bezni smrtelnici (pri vstupe do kina, baru…)? Z architektury EU mi pride, ze ktokolvek sa dostane k public klucom, tak to overovat vie, ale rozhodnutie o tom je skor otazka na ustavnych pravnikov a UOOU.

3 Likes
163

na aku dobu? :slight_smile:

Podla mna ti tam chyba hlavny use case…

Clovek sa zaockuje, za 3 týzdne ochorie (pozitívny PCR test) … Tým sa má revokovať jeho zelený certifikát…

Ak by tam boli iba revokovane verejne kluce k podpisovaniu (predpokladam ze ziadny neunikne)
Tak potom sa jedna iba o revokovane zelene certifikaty … Tych ludi co ochoria po tom ako budú zaočkovaní alebo ako už budú mať test na protilátky už veľa asi nebude… 1-2GB je trochu prehnané…

Ale viem si predstaviť, že na vstupnej bráne na pohode si stiahnú čerstvé dáta ráno, a aj keby to malo 20 GB tak to nejaký mobil/tablet zvládne validovať offline aj keby to malo byť robené v PWA…

Plus tu asi nebudeme sťahovať všetko v rámci EU lebo na to ešte nebude štandard do leta si myslím… ale na vnútroštátnu validáciu by to bolo vhodné…

164

Pocita.

image

165

Na toto EU sama este nedala pokial viem odpoved, lebo v tom EU dokumente je online verifikacia este nedoriesena (for future consideration) a dokonca nie je povinna pre EU clenske staty.

166

Zabudni na verejne kluce, to je davno vyrieseny problem a nemusis sa mu venovat. Posles data do overovaca a ten vrati status. Rovnako procesy revokovania kompromitovaneho kluca existuju a v tomto projekte sa im netreba venovat. Takze ano, bavime sa len o certifikatoch o ockovani ( testovani, protilatkach a pod.).
A jasne, overovacia api ma aktualne data z celej EU a dokaze overit online akykolvek certifikat z EU ( a nezabudnime ze coskoro aj z okoliteho sveta, ak chceme napriklad ruskych turistov ci robotnikov z ukrajiny) . Len mam iste pochybnosti ze to zvladne aj offline appka. Ale ok, to je teraz asi detail. Aj overenie ze je platny podpis je fajn a zrejme na vacsinu problemov staci. ( V skutocnosti hrozba je ze dana prevadzka to kontrolovat nebude vobec )

167

Diky, pragmaticky pristup, ako jeden z mala si pochopil ze scope do velkej miery urcuje termin a riesenie, ktore niekto chce predstavit :slight_smile:
Priklad:ak ma niekto riesenie a s niecim prichadza tak predstavuje aj svoj pohlad na vec. Napr. chcem vydat certifikat cez svoj portal (ktory mam) a mail, lebo si myslim ze viem stihnut Za tym ucelom to mam urobene takto … (postup, use-case, proces - proste nieco ako to mam, a preco to mam, nejake hlboke know-how tu nie je treba ukazovat- kedze tie EU dokumenty same o sebe popisuju niektore detaily dost)…
A to vsetko co sme opisali je maximalisticky variant na zaklade zatial vyzbieranych vstupov - takze k tym komentom vyssie - jasne ze sa to cele neda stihnut, ale s tymto sa bude aj po 6.2021 pokracovat. Ale ak ma niekto uz hotove riesenie, s nejakym minimal-viable-product, tak ma aj svoj scope, ktory tymto popise - predstavi. To ze sa ho pytame napr. ako ma riesene zalohovanie, dostupnost, a ine veci nie je nejaka specialna raketova veda, ale tiez sa da vysvetlit jednoducho. Zase priklad. mam to urobene nad kubernetes, ako api pouzijem ingress od konghq, a backup bude velero. HOTOVO.
Ad-integracie, takisto, treba popisat to ci viem urobit, napr. “mam v rieseni integraciu robenu takto, a budem potrebovat sucinnost toho kto robi moje ezdravie, pretoze odtial chcem data o ockovani (struktura je dana minimal data-setom), naklady z mojej strany su pri dodrzani terminov $” - HOTOVO.

168

@rho Urobte mi prosím láskavosť a dajte si do profilu kto ste a aký máte vzťah s NCZI prípadne dodávateľmi softwaru pre NCZI

169

@jsuchal Otázočka trochu off topic… Prečo tu všetci majú tag “Víťaz Platforma Slovensko.Digital Awards 2016” a ja čom som vytvoril (asi 80% prace) appku volby.digital na ktorej slovensko.digital prakticky vyrástlo nemám nič? :slight_smile:

171

clen ak@ncizsk.sk
a snazim sa priebezne odpovedat, ak to ma zmysel

2 Likes
172

preco tak tajomne? zeby richard holly?

image
image742×131 12.9 KB

173

Kontroluje sa tak ako elektronicky, cita sa QR, teda je jedno ci to vytlacite alebo ukazete mobil, je jeden “dokument”, to nie poas ani dokument s vodotlacou ani nic ine.

174

Jasne, to je europsky scenar pre cestovanie cez hranice. Lenze okrem toho budu narodne scenare, ale fajn, tak pre jednoduchost ostanme pri elektronickom overovani. Na implementaciu je to jednoduchsie.
Ale pre kontrolu je potrebne overit identitu napriklad cez obciansky, nemusis to urobit ak uz ju poznas z niecoho ineho ( napriklad pri lietadle) ale obecne to bez toho nejde.

A teda spat k problemu . Mame tu tri oddelene problemy: spravne data, vydavanie certifikatu a overovanie certifikatu.

A este jeden podproblem : overovacia aplikacia, tych ale bude plno a musia byt kompatibilne vo vsetkych krajinach.
A len zopakujem : vydavanie certifikatu je podla mna jednoducha zalezitost, vhodna na prieskum trhu. Len ju treba jasne aplikacne oddelit od spravy udajov ( co ideogram NCZI nerobi ). A pri troche snahy, ju kludne mozu robit viaceri, hoci aj pre ine subjekty ( moja predstava je ze ak opravneny uzivatel vytvori zaznam napriklad na ockovacom stredisku, tak ho posle na api, ktore ho zapise a vrati ho podpisane. Tym je zarucene ze je spravne registrovane a zaroven nie je problem s klucami) Ci si potom vytvori vlastny formular alebo to necha na sluzbu vytvorenia certifikatu uz bude jedno.

1 Like
175

To si len problem s klucami preniesol na iny bod, lebo toto API musi byt nejako autentifikovane = kluce.

176

Pridal by som este jeden na zaciatok a to ockovacie centra a prenesenie udajov do zdravotnickeho systemu. Z tychto udajov sa na zaklade ziadosti vytvori green certifikat.

Mozno pre upresnenie pojmov aby sa certifikaty a certifikaty neplietli:
PKI certifikatom sa podpisu udaje ktorymi su udaje o osobe a ockovani - green certifikat.

Toto podpisovanie by sa malo robit vo vnutri systemu na zaklade udajov o tej osobe ktore k nej stat ma (IIS) a ktora o vydanie green certifikatu ziada (napr. ockovat sa mohla na viacerych miestach).
Cize asi by to nemalo byt len autorizovane potvrdenie o zaockovani vydane na mieste ockovania.
Tato PKI zalezitost vo vnutri tohoto sytemu je podla mna skorej pre dodavatelov ktori maju skusenosti s doveryhodnymi sluzbami.

177

Asi sa nerozumieme, podpisuju sa udaje o osobe+ cislo certifikatu, a podpisuje sa to klucom autority aby sa to nedalo falsovat. Napr, certfikatom NCZI. Teda to nie je len autorizovane potvrdenie, je to potvrdenie od opravnenej osoby ( napr. ockovacie centrum) a potvrdene narodnou autoritou (napr, NCZI). A podpisat par dat dokaze bez problemov kazdy bezny dodavatel, navyse predpokladam ze toto je len volanie funkcii HSM modulu.
Ak ockovacie centrum ma opravnenie ockovat a posielat udaje do centralnej db, tak kde vidis problem ?

178

Nevidim problem len som ta doplnil podla toho obrazku v tom dokumente co je hore uvedeny. .
Nenapisal so nic ine ako hovoris ty. Len som doplnil a inymi slovami napisal to iste.

179

OK :slight_smile: v takom pripade, len som doplnil preco si nemyslim ze PKI je problem, ktory treba riesit.

2 Likes
180

Dobrý deň,
pridali sme checklist na link:
Zelený certifikát (Digital Green Certificate) - checklist - Čo sa deje v e-Governmente - platforma.slovensko.digital

181

Ano tento link tu je uz 2 dni a diskutuje sa o nom. Zelený certifikát (Digital Green Certificate) - #134 by jsuchal