Підробити COVID QR сертифікат?

Розглянемо структуру цифрового сертифікату про вакцинацію EU Digital COVID Certificate (Digital Green Certificate).

Для розшифрування даних збережених у сертифікаті є скрипти на Python які дозволяють розпакувати дані.

Крім цього формату ICAO пропонував QR код Visible Digital Seal – NC (VDS-NC): формат JWT, містить додатково номер документу (паспорта).

Частина іноформації була актуальна у 2021 році …

Якщо ви раніше отримати EU Digital COVID Certificate з допомогою Дія+Дія.підпіс, то варто заново перегенерувати. Дата народження у невірному форматі, переплутані місцями прізвище і ім’я. І аплікації деяких країн розпізнавали код як невірний.

Обов’язково створіть скриншот QR коду (він є статичний).

Сертифікат QR, підписаний Дія а не МОЗ…

Правоохоронці заявляють про виявлення зловмисників, які продавали фальшиві сертифікати. Но чогось у списку відкликаних сертифікатів їх немає… https://greenca.diia.gov.ua/crls

Офіційна відповідь НСЗУ Національна служба здоров’я України із відповіді не бачу технічних обмежень, щоб “Зелений сертифікат” засвідчувати у юрисдикції НСЗУ, а не дія. Тобто зараз без Дія.підпіс не можливо згенерувати QR сертифікат. Обіцяють (згодом) що в подальшому QR можна буде отримати у сімейного лікаря….

 

 

Я тут подумав, а що забороняє зробити державну шину даних (типу Mulesoft). Я маю свій публічний транспортний ключ. Відповідно якщо я хочу отримати сертифікат про вакцинацію, я роблю ріквест на запит, підписую своїм закритим ключем підпису, шифрую дані публічним транспортним ключ МОЗ, і відправляю шину. Шина тільки знає, що я щось відправив у МОЗ, дату, і забезпечує забирання мого зашифрованого запису МОЗ сервером. Далі МОЗ перевіряє мій запит, порівнюю із своїми даними, і формує сертифікат вакцинації. Шифрує моїм публічним транспортним ключем, і відправляє в шину. Я забираю дані із шини, розшифровую документ. І хто якщо зловмисник отримає доступ до шини, нічого не може зробити з зашифрованими даними. Я часом не трембіту описав?