Koronatodistus

[HiTec]

No johan ovat taas hökötyksen kiireessä koodanneet

Elikkäs tuolta HUS:n https://koronatietoni.fi/ palvelusta voi käydä itselleen latailemassa "certin" jotta korona-negatiivisia ollaan, jotta matkustaminen olisi hiukka helpompaa. Vaan se tuolta ladattu PDF on täysin suojaamaton, avoin tiedosto, jonka editointi ei todellakaan vaadi mitään hiukkasfysiikkaa = aivan lapsellisen helppo väärennettävä jotta olisi mukamas 2pv sitten käyty testissä ja saatu neg.tulos, jep jep

Paljonkohan tuohonkin turhuuteen on taas HUS varoja hukannut, kun tuolla lappusella ei oikeasti ole tasan mitään arvoa

[Arcca]

Voisi olla hyvä lähettää tiedoksi jonnekin vastuullisille tuo, että voivat korjata asap.

[Sande]

Paljonkohan tuohonkin turhuuteen on taas HUS varoja hukannut, kun tuolla lappusella ei oikeasti ole tasan mitään arvoa

3,5 miljoonaa TiVin mukaan.

[Urlaub]

Voisi olla hyvä lähettää tiedoksi jonnekin vastuullisille tuo, että voivat korjata asap.

Krista.kiuru@eduskunta.fi on varmaan oikea osoite. Vai sittenkin ministeri Pekonen, joka on kadonnut jonnekin?

[HiTec]

Voisi olla hyvä lähettää tiedoksi jonnekin vastuullisille tuo, että voivat korjata asap.

No tuolla oli palaute-lomake, johon asiasta jo winkkasin. Olenko nyt siis ns. valkohattu-häkkeri, wauzi

[Penguin]

Kerrotko miten tuo korjataan niin, että paperin aitous on tarkistettavissa missä tahansa, kenen tahansa toimesta. Minun nähdäkseni tuohon ei ole toimivaa ratkaisua, jonka yksi sairaanhoitopiiri tai edes yksi valtio voisi yksin luoda.

[jti]

Kerrotko miten tuo korjataan niin, että paperin aitous on tarkistettavissa missä tahansa, kenen tahansa toimesta. Minun nähdäkseni tuohon ei ole toimivaa ratkaisua, jonka yksi sairaanhoitopiiri tai edes yksi valtio voisi yksin luoda.

Miten on setelipaino? Joo vähän hidas ja ehkä kallis.

Mobiilissa vastaava kuin on mobiibilippusysteemit, animaatio ja tunniste jonka voi tarkistaa palvelusta online.

[Penguin]

Mistä palvelusta se valtion X rajaviranomainen tuo tarkistaa ja miten hän tunnistaa että palvelu luotettava? Voinhan minä laittaa oman palvelun pystyyn.

Ei niitä e-Passejakaan ihan päivässä tempaistu käyttöön ja vielä vuosien jälkeenkään ne eivät ole koko maailmassa käytössä, saati että pystyttäisiin tarkistamaan ne kaikkialla.

Mihin muuhun tuota edes tarvitaan kuin matkustettaessa?

[HiTec]

Kerrotko miten tuo korjataan niin, että paperin aitous on tarkistettavissa missä tahansa, kenen tahansa toimesta. Minun nähdäkseni tuohon ei ole toimivaa ratkaisua, jonka yksi sairaanhoitopiiri tai edes yksi valtio voisi yksin luoda.

No järjestelmähän vaatii vahvan tunnistautumisen jotta tuon paperin edes saa sieltä ulos. No miksi tuohon paperiin ei sitten tulosteta vaikka QR-koodina webapin osoitetta tunnistetietoineen, josta tuon saa myöskin chekattua online? Tuohon riittäisi tunnistetiedoksi pelkkä tuon paperin UUID, jolla tuon voisi chekata onko tulos kuinkakin vanha ja mille hetulle. Ja niistä muista matkustusasiakirjoista sitten selviää onko kyseinen hlö kyseisen hetun omistaja vaiko eikö. Ja koska kyseessä on URL, niin sen QR-koodinhan lukaisee helposti vaikka kännykällä ja chekkaa onko asia kunnossa vaiko eikö

Entäs sitten jos joku vaan kalastelee syöttämällä tuonne webapiin randomisti erilaisia UUID-tunnisteita ja nuuskii niihin liitettyjä hetuja? No mitä hän tuolta sitten lopulta saa? UUID-tunnisteen (esim. 796317e8-0597-47b5-becd-e1383dae2f43), johon kuuluu hetu (esim. 230961-618S) ja negatiivisen koronatestin pvm. Joilla tiedoilla hän tekee ... niin mitä? Aika turhaa on yrittää esim. certiä noilla tiedoilla väärentää, jos ei ole rajaviranomaiselle tyrkätä myös passia ko. hetulla varustettuna. Ja pelkkä hetuhan ei ole tietoturvankaan kannalta uhka, koska siihen ei ole yhdistetty nimi- tms. tietoja lainkaan

Näitä UUID-tunnisteita ja hetuja jokainen pystyy generoimaan itsekin esim.
https://www.uuidgenerator.net/version4
https://www.telepartikkeli.net/tunnusgeneraattori

[Penguin]

Ja mistä tämä satunnainen ulkomainen koronatodistuksen tarkistaja varmentaa tuon URL:ssä sijaitsevan palvelun aitouden? Hetukaan ei ole passeissa mikään yleismaailmallinen asia, toisin kuin passinnumero, joka löytyy jokaisesta passista, mutta ei varmasti löydy aidosta koronatodistuksesta.

Sinä teet myös oletuksen, että jollain maahantulovirkailijalla olisi Internet-käytettävissä ja pääse jollekin random koronatodistuspalvelimelle. Tuskin on edes Suomessa, puhumattakaan että olisi muualla maailmassa.

[HiTec]

Ja mistä tämä satunnainen ulkomainen koronatodistuksen tarkistaja varmentaa tuon URL:ssä sijaitsevan palvelun aitouden? Hetukaan ei ole passeissa mikään yleismaailmallinen asia, toisin kuin passinnumero, joka löytyy jokaisesta passista, mutta ei varmasti löydy aidosta koronatodistuksesta.

Ei ole tietoteknisesti kummoinenkaan juttu siellä passintarkastuksessa whitelistata routerille näitä kansallisia hyväksyntäpalvelimia, jolloin sen väärennetyn palvelimen osoitteen tunkeminen paperin QR-koodiin ei "yllättäen" johdakaan mihinkään. Ja passinsakin numeron tuohon todistukseen voi lisätä, sillä tuo todistuspalveluhan sitä myös ehdottaa, jotta joissain maissa se tarvitaan ja näin se olisi hyvä siihen myös lisätä = tuskin olet palvelua edes kokeillut kun jo vedät omiakin johtopäätöksiäsi sen toiminnasta

Eli kuten sanoin, tuosta olisi helposti tehtävissä jo varsin luotettavakin todistus - ja taas toisaalta maailmassa on vielä paljon maita joissa se leimojen lukumäärä paperissa mukamas jotenkin takaisi sen aitouden ja ihan suomessakin kummasti kaikenlaiset valtakirjatkin kelpaa jos vaikka mihin paikoihin, vaikka tuossa lapussa ei muuta olisikaan kuin joku epämääräinen nimikirjoitukseksi kutsuttu, kynällä piirretty viivan pätkä, jolla ei todellisuudessa tartte olla yhtään mitään tekemistä itse valtuuden antajan kanssa. Tai sitten tulee näitä lakikukkasia kun huoltajalla ei ole valtuutta hakea alaikäisen lapsensa passia, mutta hänellä on valtuus antaa valtakirja lapsensa puolesta asiointiin => huoltaja kirjoittaa itse itselleen valtakirjan ja näin sen passin luovutus onkin sitten yllättäen ihan ok

[Arcca]

Mielestäni riittää, että se muutetaan pois "lapsellisen helppo väärentää" statuksesta. Turhaa miettiä jotain palvelimien aitouden varmistamista.

Tuo QR koodi samalla paperilla on hyvä idea. Voisi jo riittää että siinä on jotain avaintietoja paperista tuplattuna . Se jo poistaa 95% väärinkäytöksistä, joka riittää. Palvelinyhteydellä 99,99%.

Täytyy nyt muistaa mihin tarkoitukseen tätä käytetään, vaiva väärentämisestä vs hyöty, ja tavan ihmisten osaamattomuuteen asian kiertämisen kanssa.

[CorAveRav]

Terveystalosta saanee rokotustodistuksen, kun työterveys tulee piikittämään työterveysasiakkaita aikanaan
https://www.talouselama.fi/uutiset/terveystalo-aikoo-tarjota-asiakkailleen-koronarokotustodistuksen-maksutta-kansallista-rokotustodistusta-suunnitellaan-vasta/3f4ee089-d2ac-4db0-88d7-058c19d0b847