[vc_row][vc_column][vc_column_text]Myndighederne frygter, at danskerne vil snyde med coronapasset. Derfor har de en række sikkerhedsmekanismer i ærmet, der skal forhindre snyd.
Af Frank Ulrich, frank@indblik.net
Indblik har for nylig fået aktindsigt i en række dokumenter fra Digitaliseringsstyrelsen, der omhandler udviklingen af det digitale coronapas.
Herunder også en aktindsigt i deres kravsspecifikation, der beskriver arbejdsgangene og arkitekturen i det digitale coronapas.
Denne kravspecifikation beskriver også detaljeret hvordan Digitaliseringsstyrelsen vil forhindre danskerne i at snyde coronakontrollen med deres vaccine- og teststatus.
Herunder er en kort beskrivelse af nogle af de forskellige sikkerhedsmekanismer i det digitale coronapas.
Kontrol med QR-kode
Det digitale coronapas benytter ikke billede-ID. I stedet benyttes to signerede QR-koder som visuel verifikation for coronakontrollen.
Den første QR-kode viser COVID19-status og tidsstempel for dannelsen af QR-koden.
Den anden QR-kode viser COVID19-status samt brugers navn og fødselsdato og et tidsstempel.
Tidsstemplet beskriver QR-kodernes “gyldighedstid”, så de ikke frit kan deles med andre over en længere periode.
Borgeren kan skifte imellem de to koder og koderne kan fremvises, selvom telefonen ikke er på internettet.
Coronakontrollanten som skal verificere passet, kan derefter scanne QR-koden med sin telefon og se om borgeren er vaccineret eller testet for COVID19.
Grønt flueben for vaccineret/testet. Rødt flueben hvis ikke.
Digitaliseringsstyrelen anbefaler desuden, at fremtidige udgaver af coronapasset kun bør benytte hver enkelt QR-kode en gang.
Dette skal forhindre, at folk deler deres QR-koder. Her skal borgeren trykke på en knap for at danne en ny kode.
Denne feature i coronapasset er dog planlagt ude i fremtiden.
Visuel kontrol med digitalt vandmærke
Indblik har tidligere beskrevet, at digitaliseringsstyrelsen anbefaler hvordan coronakontrollanten kan forlange at se supplerende ID i form af kørekort, sundhedskort, pas osv., der kan verificere personens fødselsdato.
Dertil vil coronapasset også have et digitalt vandmærke på QR-koden, der bruger telefonens gyroskop.
Denne sikkerhedsmekanisme er implementeret, så brugerne af coronapasset ikke kan fremvise et skærmbillede af en anden persons coronapas.
Dertil skriver Digitaliseringsstyrelsen, at visuel kontrol af supplerende ID kan blive nødvendigt, da der ikke er nogen validering af QR-kodens ægthed.
Du kan maksimalt have coronapasset på tre telefoner
Digitaliseringsstyrelsen anbefaler, at borgerne kun samlet kan installere coronapasset på op til tre telefoner.
Dette skal forhindre at borgerne “låner” deres coronapas ud til en masse andre ved at installere appen på deres telefon.
Hvis borgeren installerer sit coronapas på en fjerde telefon, vil den første installation således blive deaktiveret. [/vc_column_text][/vc_column][/vc_row]