Mange vaccinepas har sikkerhedsmangler – sådan gør du dem sikrere

COVID-vaccinationspas har vist sig ekstremt splittende under coronavirus-pandemien på grund af spørgsmål vedrørende borgerlige frihedsrettigheder eller deres potentiale til at diskriminere de mere vaccine-tøvende grupper i samfundet.

Men da mange regeringer rundt om i verden skubber fremad med deres implementering i et forsøg på at bremse spredningen af ​​COVID-19, er sikkerheden af ​​vores data blevet en væsentlig årsag til bekymring.

Mange COVID-pas fungerer ved at producere en QR-kode eller 2D-stregkode for hver bruger, der kan scannes som bevis for vaccination. Stregkoderne, der bruges i nogle af disse pas, er ikke så sikre, fordi de ikke er genereret med krypterede data. De kan dog gøres sikre, hvis nationale regeringer, internationale organisationer og globale teknologivirksomheder arbejder sammen for at få mest muligt ud af de spændende muligheder, denne teknologi giver.

Indlejret i stregkoden er en verificerbar legitimation, som beviser vaccinationsstatus, og en række personlige detaljer afhængigt af stregkodens format. Disse vil sandsynligvis omfatte brugerens fulde navn og fødselsdato. For at sikre ægthed og forhindre svindel indeholder stregkoden også en unik digital signatur, som genereres baseret på dens indhold.

En række vaccinepasprogrammer er allerede kommet under beskydning på grund af manglende sikkerhed, herunder dem i New York og Quebec, som er blevet kritiseret for at tillade folk at få andres stregkoder ved at indtaste deres detaljer. For at afbøde nogle bekymringer har EU etableret sin egen åbne standard for vaccinepas – EU Digital COVID-Certificate (EUDCC). Den er vedtaget af de 27 EU-stater og 18 andre lande.

Dette har dog ikke adresseret det faktum, at indholdet af certifikatet ikke er krypteret, så alle med adgang til stregkoden (og de nødvendige færdigheder) kan afkode den og hente de personlige oplysninger, der er indeholdt heri. Dette gælder for COVID-pas i EU, Canada, Storbritannien, Californien og New Zealand. Der er kun små forskelle i, hvordan dataene er kodet - men i alle disse tilfælde er de ikke krypteret.

For at kryptere COVID-certifikatets indhold skal der være en såkaldt krypteringsnøgle tilknyttet certifikatet og ejerens digitale identitet. I øjeblikket krypterer de fleste COVID-stregkoder ikke deres indhold på grund af manglen på digital identitetsinfrastruktur samt kravet om at operere offline. Dette bringer en brugers personlige oplysninger i fare.

Der er også et andet problem med de nuværende COVID-certifikater. De er underskrevet af udstederen (for eksempel NHS) ved hjælp af en regions- eller landespecifik nøgle eller kode. Hvis nogen skulle opnå nøglen, kunne de oprette et falsk certifikat. Myndighederne ville skulle reagere på de svigagtige COVID-pas ved at tilbagekalde den kompromitterede nøgle, hvilket ville betyde, at alle allerede eksisterende COVID-certifikater ville blive ugyldige.

Hvorfor bruge stregkoder

Indtil for nylig har digital identitetsstyring for en computerbruger bestået af et simpelt brugernavn og adgangskode. Det er et system, der stort set har fungeret i mere end 60 år. Men den nuværende eksplosion i onlineindhold, cybersikkerhedsudfordringer og privatlivsproblemer driver behovet for, at en bruger har mere kontrol over deres egen digitale identitet.

Vores identitet består i det væsentlige af millioner af små sandheder om os selv. Verificerbare legitimationsoplysninger i en stregkode kunne gøre det muligt for os at dele kun en enkelt sandhed i stedet for hele vores identitet, for at passe til den særlige situation, hvis dataene er tilstrækkeligt krypteret.

Til sin ære gør COVID-certifikatet netop det. Det er et simpelt bevis på en individuel sandhed, der i teorien gør det muligt for dig at påvise, at du er blevet vaccineret uden at oplyse andre detaljer. Det faktum, at certifikatet ikke er helt sikkert, indikerer fraværet af en mere robust digital identitetsinfrastruktur.

Potentielle risici

Fraværet af denne brik i det digitale identitetspuslespil skal rettes op på et tidspunkt i fremtiden. Indtil da kan de nuværende COVID-pas være åbne for misbrug.

De personlige oplysninger, der er involveret i vaccinationsattesten, er ikke særligt følsomme for pålydende værdi, fordi de ofte let findes andre steder, såsom kørekort, skolejournal eller pas. Men i fremtiden, når denne teknologi er mere udbredt, vil vi sandsynligvis bruge lignende certifikater, som indeholder verificerbare legitimationsoplysninger i stort set alle aspekter af vores liv – såsom for at få adgang til en bygning eller tjenester eller til at godkende køb (både i butikken og online). ).

Dette har positive og negative konsekvenser for brugerne. På den positive side skal vi kun give den minimale mængde personlige oplysninger på en meget brugervenlig måde. For eksempel vil vi være i stand til at tilmelde os websteder uden selv at indtaste et navn.

Men hvis vi præsenterer ikke-sikre stregkoder mange steder, som hver indeholder små enkeltsandheder om os selv, så kan disse i sidste ende potentielt kombineres, og identiteten på den person, de vedrører, kan blive kompromitteret.

Sådan arbejder mange cyberkriminelle i øjeblikket ved at kombinere data fra forskellige informationskilder, som gør det muligt at konstruere en persons digitale identitet over tid. Dette kan føre til en øget risiko for identitetstyveri og potentielt blive brugt som grundlag for en række cyberkriminalitet.

Men for alle disse bekymringer om digitale pas, bør vi huske, at hvis det kan gøres sikkert på internationalt plan, har denne form for digital identitetsteknologi et betydeligt potentiale for borgerne – og ikke kun for vaccinationsattester.